Nach Darstellung von Lloyds ereignete sich der Vorfall, als ein fehlerhaftes Update Transaktionsdetails aus den Girokonten von Nutzern für andere App-Anwender sichtbar machte. Voraussetzung war, dass beide Personen ihre Transaktionslisten nahezu zeitgleich aufriefen. Gegenüber dem Treasury Committee erklärte die Bank: “Um die Transaktionen einer anderen Person zu sehen und damit die eigenen potenziell für andere Kunden sichtbar werden, musste ein Kunde seine eigene Transaktionsliste innerhalb von Sekundenbruchteilen abrufen, während eine andere Person dasselbe tat.”

Welche Daten einsehbar waren, hing von den Aktionen der Nutzer ab. Wer die Transaktionsliste öffnete, konnte Informationen zu fremden Transaktionen sehen, darunter Beträge, Daten und Zahlungskennungen, die auch National-Insurance-Nummern enthalten konnten. Wer einzelne Transaktionen anklickte, konnte zusätzlich Bankleitzahlen (Sort Codes) und Kontonummern, National-Insurance- oder Kfz-Kennzeichennummern sowie Texte in den Verwendungszweck-Feldern einsehen.

In manchen Fällen bezogen sich die sichtbaren Transaktionsinformationen auf Personen, die selbst keine Kunden der Lloyds Banking Group sind – etwa wenn eine Zahlung von einem Lloyds-Konto an einen Kontoinhaber bei einer anderen Bank ging.

Lloyds betont, dass die Kontostände der Nutzer unberührt blieben und Kunden “keine unbefugten Aktionen ausführen oder Geld von fremden Konten bewegen” konnten. Betroffene hätten fremde Daten nur für einen kurzen Moment sehen können; die sichtbaren Informationen reichten nach Einschätzung der Bank für sich genommen nicht aus, um Betrug gegen ein einzelnes Bankkonto zu begehen. Auch ein darüber hinausgehender Missbrauch sei sehr unwahrscheinlich.

Zum Ausmaß nannte die Bank konkrete Zahlen: Von ihren 21,5 Millionen Mobile-Banking-Nutzern meldeten sich während des Zeitfensters 1,67 Millionen an, doch nur 447.936 Kunden wurden fremde Transaktionen angezeigt oder ihre eigenen Transaktionen wurden anderen gezeigt. Maximal 114.182 Kunden hätten in dieser Zeit auf die Details einzelner Girokonto-Transaktionen geklickt und könnten so Angaben zu einzelnen Zahlungen gesehen haben.

Lloyds informierte seine Kunden nach eigenen Angaben über soziale Medien über den Vorfall. Zudem zahlte die Bank rund 139.000 Pfund (etwa 183.600 US-Dollar) an etwa 3.625 Kunden als “Kulanzzahlungen für Belastung und Unannehmlichkeiten”.