نشت اطلاعاتی، باج‌خواهی از بانک‌ها و مخفی‌کاری

بانک‌ها هک نشده‌اند، اما اطلاعات مردم بازیچه شده است

هفته قبل، از گوشه و کنار شبکه‌های اجتماعی و پیام‌رسان‌های موبایل باز هم خبر درز اطلاعات مشترکان تعدادی از بانک‌های کشور دست به دست شد. وقتی پای بانک‌ها در میان باشد به سرعت به همه چیز یک مهر امنیتی می‌خورد و کار سرکوب پخش اطلاعات برای حفظ اعتبار نظام بانکی، جلوگیری از هراس مردم و گاه برای حفظ آبروی یک بانک، شروع می‌شود.

اگرچه خبری از هیچ اطلاعیه رسمی و حتی یک تکذیب مرسوم و خشک و خالی نیست، اما وقتی خودت و دوستان و همکارانت با پیامک بانک مواجه می‌شوید که حساب بانکی‌ شما مسدود شده و برای تغییر رمز باید به خودپردازها مراجعه کنید، دیگر نیاز به اطلاعیه و تکذیب نیست و می‌توان حدس زد میلیون‌ها نفر از مردم و دارندگان حساب‌های بانکی، پایشان به میان یک سهل‌انگاری کشیده شده است.

روابط عمومی‌ها و مراکز پاسخگویی و پشتیبانی بانک‌ها در این مواقع حتی آخرین حلقه هم به حساب نمی‌آیند و خود نیز از وضع موجود شاکی هستند! چون بالاسری‌ها به پایین‌دستی‌ها و کارمندان‌شان در روابط عمومی و مراکز تماس جواب نمی‌دهند و اصولا هم نیازی به این کار نمی‌بینند، چون آنها خودشان همه‌چیزدان هستند و از قضا هیچ‌گاه اسم‌شان در خبرها برجسته نمی‌شود.

همه آدرس یک نهاد بالادستی را می‌دهند که دستور از آنجا آمده و آنها نیز ناچار به اجرا بوده‌اند. در نهایت هم به درستی معلوم نمی‌شود ماجرا چه بوده است.

اما همان‌طور که ذکر شد اختفای اطلاعات به دلایلی که ذکر شد، همیشه هم جواب نمی‌دهد و بالاخره نمی‌توان به سادگی از کنار ماجرا گذشت.

حالا گفته می‌شود هکی در کار نبوده است و باز هم نشت اطلاعاتی بوده و یک کارمند خودسر با برداشت اطلاعات بانکی مردم شروع به باج‌خواهی کرده است. در این میان برخی بانک‌ها مشتریان خود را مجبور به تغییر رمز کرده‌اند.

می‌گویند هکی در کار نبوده و فرد باج‌خواه صرفا اطلاعات پایه نظیر اسم و مشخصات، کد ملی، شماره کارت، شماره حساب و شماره CVV2 مشتریان را در اختیار دارد و در نتیجه امکان برداشتی از حساب ندارد. اما وقتی سوال می‌شود، پس مسدودسازی حساب و گروگان‌گیری پول مردم و الزام آنها به تغییر رمز چیست و مگر با تغییر رمز سایر اطلاعات پایه‌ای مشتری هم تغییر می‌کند؟! این پاسخ را دریافت می‌کنید که تغییر رمز برای احتیاط انجام شده است!

به عبارت دیگر اگرچه این جواب‌ها رسمی و قانع‌کننده نیستند، اما حتی اگر موضوع نشت اطلاعاتی باشد، باید گفت اطلاعات بانکی مردم به دلیل سهل‌انگاری‌ها، تعدد واسطه‌های بانکی و شرکت‌های وابسته به برخی بانک‌ها، حالا تبدیل به بازیچه‌ای شده است که فشار آن به مردم می‌آید.

چرخه شناخته‌شده و تکراری این اتفاق که سال‌ها قبل نیز رخ داده بود به این ترتیب است که ابتدا یک کارمند، اطلاعات مشتریان بانکی را سرقت می‌کند، بعد وارد مذاکره و تهدید با بانک مربوطه برای باج‌خواهی و حق‌السکوت می‌شود، باج‌گیری به نتیجه نمی‌رسد، سارق اطلاعات را در اینترنت پخش می‌کند، بانک حساب مردم را مسدود می‌کند و سپس میلیون‌ها نفر از مشتریان بانکی باید به خط شده و برای حل مشکل بانک‌ها، پای خودپردازها بروند و رمز خود را تغییر دهند.

به روابط عمومی یکی از بانک‌ها می‌گفتم، آیا می‌دانید معادل فیزیکال و سنتی کاری که با مشتریان خود می‌کنید چیست؟ این مثل آن است که از شعب بانک‌ها سرقت مسلحانه شود، سپس بانک برای کاهش مشکلات امنیت خود، به مردم پیامک فرستاده و از آنها بخواهد برای حفظ امنیت حساب خود، به صورت شیفتی به یکی از شعب مراجعه کرده و در کار نگهبانی کمک کنند!

اما ماجرای هفته قبل چه بود؟

آن‌طور که در شبکه‌های اجتماعی آمده است، هفته گذشته برخی از کاربران ایمیلی را دریافت کردند که حاوی لینکی بود که داخل آن اطلاعات کارت عده زیادی از مشتریان برخی بانک‌ها قرار گرفته بود. در این ایمیل ادعا شده بود که اطلاعات ۱۰ میلیون کارت بانکی در آن دیتابیس وجود دارد.

بر اساس این گزارش اندکی بعد در شبکه‌های اجتماعی اعلام شد که اطلاعات حساب‌های بانکی صحیح هستند، همچنین تاریخ بسیاری از این کارت‌ها منقضی شده و این موضوع حکایت از آن دارد که نشت اطلاعات حساب‌‎های بانکی هموطنان از مدت‌ها پیش اتفاق افتاده و تعدادی از سودجویان اقدام به سرقت اطلاعات حساب‌های بانکی و هک آنها کرده‌اند. به دنبال این اتفاق، رمز اول کارت بانکی تعدادی از مشتریان برخی بانک‌ها تغییر کرده و بانک‌ها از آنها خواسته بودند که نسبت به تغییر رمز اول خود اقدام کنند، سپس برای این مشتریان پیامکی مبنی بر تغییر رمز آنها به چهار رقم آخر کد ملی ارسال و تاکید شد که نسبت به تغییر رمز خود از طریق دستگاه‌های خودپرداز اقدام کنند.

این اتفاق سبب شد، مشتریان بانکی نسبت به مشکل ایجاد شده در بانک‌های خود دچار نگرانی شوند.

اما در جریان افشای اطلاعات مشتریان بانک‌ها، ظاهرا اطلاعات منتشر شده صرفا اطلاعات سطح اول مشتریان بانکی بوده است، اما از زمانی‌که خبر انتشار اطلاعات کارت مشتریان برخی بانک‌های کشور در فضای مجازی پیچید، اخبار متفاوتی از جزییات این اتفاق ارایه شد.

برخی گزارش‌ها حاکی است اطلاعات برخی مشتریان بانک‌ها در این فرایند افشا شده است اما گفته می‌شود اطلاعات منتشر شده صرفا اطلاعات سطح اول مشتریان بانکی است، هرچند که هیچ مقام مسوولی رسما در این مورد اظهارنظر نکرده است.

هفته گذشته یک منبع آگاه بانکی در این باره به فارس گفت: تنها شماره کارت و تاریخ انقضای آنها افشا شده است که این اطلاعات امکان نقل و انتقال پول را به‌وجود نمی‌آورد.

بررسی‌های بیشتر نشان می‌دهد بخشی از کارت‌هایی که شماره آنها افشا شده، تاریخ اعتبارشان منقضی شده و تاریخ انقضای بعضی دیگر از کارت‌ها هم مربوط به روزهای باقی مانده تا پایان سال جاری می‌شود.

این منبع آگاه تاکید کرده: تاکنون برداشتی از حساب هیچ‌یک از دارندگان کارت‌های بانکی نشده و شکایتی در این باره به بانک‌ها نرسیده است و ظاهرا در راستای پیشگیری از هرگونه سرقت اینترنتی و با افزایش امنیت کارت‌های بانکی، بانک‌ها از مشتریان خود خواسته‌اند با مراجعه به خودپردازها رمز دوم خود را تغییر داده و یا از بستر رمز دوم پویا استفاده کنند.

در این مدت، بانک مرکزی هیچ واکنشی به این اتفاق نشان نداده است. هنوز معلوم نیست اطلاعات منتشر شده، هر چند که اطلاعات چندان ارزشمندی محسوب نمی‌شود، از چه طریقی افشا شده است و ظاهرا این اتفاق هنوز در حال بررسی است.

اما وزیر ارتباطات و فناوری اطلاعات به جای مسوولان بانک مرکزی و نظام بانکی کشور، گوشه‌ای از مشکل را باز کرد.

آذری جهرمی گفت: چند درصد سازمان‌ها از این مدیریت سطوح امنیتی برخوردار هستند. اصلا در کشور ما مدیریت طبقه‌بندی اطلاعات یعنی چه؟ این به‌هم‌ریختگی و بی‌نظمی در مدیریت سطوح دسترسی را در مجموعه‌های مختلف کشور می‌بینیم و عمده درز اطلاعات هم ناشی از همین مساله است. این روزها بحث دستبرد به برخی بانک‌ها مطرح‌ شده و عده‌ای مدعی شده‌اند که بانک‌ها هک شده‌اند. این در حالی است که بانک‌ها هک نشده بودند بلکه پیمانکار فنی سابق یک مجموعه از اطلاعاتی که به آنها دسترسی داشت نسخه پشتیبان گرفته بود و اکنون با دسترسی به این نسخه در حال تهدید و باج‌گیری است.

وی گفت: اگر برای آن سازمان مدیریت سطوح امنیتی مهم بود، فکر می‌کنید اجازه می‌داد که مدیر فنی نسخه‌ای از اطلاعات را در اختیار داشته باشد. این مجموعه‌ها به مدیریت سطوح امنیتی دسترسی اطلاعات اهمیت نمی‌دهند بعد که دچار مشکل می‌شوند انتظار دارند که مرکز ماهر تمام مشکلات‌شان را حل کند.

متاسفانه تجربه نشان داده است که در این گونه مواقع بیش از آنکه اطلاع‌رسانی کافی صورت گیرد، مخفی‌کاری انجام می‌شود و با این مخفی‌کاری‌ها حاشیه امنی برای مدیران بی‌کفایت درست می‌شود. لذا مشخص نیست که قانون در این موارد چه می‌گوید و اساسا با متخلف یا متخلفان چه برخوردی قرار است صورت گیرد؟