بانکها هک نشدهاند، اما اطلاعات مردم بازیچه شده است
هفته قبل، از گوشه و کنار شبکههای اجتماعی و پیامرسانهای موبایل باز هم خبر درز اطلاعات مشترکان تعدادی از بانکهای کشور دست به دست شد. وقتی پای بانکها در میان باشد به سرعت به همه چیز یک مهر امنیتی میخورد و کار سرکوب پخش اطلاعات برای حفظ اعتبار نظام بانکی، جلوگیری از هراس مردم و گاه برای حفظ آبروی یک بانک، شروع میشود.
اگرچه خبری از هیچ اطلاعیه رسمی و حتی یک تکذیب مرسوم و خشک و خالی نیست، اما وقتی خودت و دوستان و همکارانت با پیامک بانک مواجه میشوید که حساب بانکی شما مسدود شده و برای تغییر رمز باید به خودپردازها مراجعه کنید، دیگر نیاز به اطلاعیه و تکذیب نیست و میتوان حدس زد میلیونها نفر از مردم و دارندگان حسابهای بانکی، پایشان به میان یک سهلانگاری کشیده شده است.
روابط عمومیها و مراکز پاسخگویی و پشتیبانی بانکها در این مواقع حتی آخرین حلقه هم به حساب نمیآیند و خود نیز از وضع موجود شاکی هستند! چون بالاسریها به پاییندستیها و کارمندانشان در روابط عمومی و مراکز تماس جواب نمیدهند و اصولا هم نیازی به این کار نمیبینند، چون آنها خودشان همهچیزدان هستند و از قضا هیچگاه اسمشان در خبرها برجسته نمیشود.
همه آدرس یک نهاد بالادستی را میدهند که دستور از آنجا آمده و آنها نیز ناچار به اجرا بودهاند. در نهایت هم به درستی معلوم نمیشود ماجرا چه بوده است.
اما همانطور که ذکر شد اختفای اطلاعات به دلایلی که ذکر شد، همیشه هم جواب نمیدهد و بالاخره نمیتوان به سادگی از کنار ماجرا گذشت.
حالا گفته میشود هکی در کار نبوده است و باز هم نشت اطلاعاتی بوده و یک کارمند خودسر با برداشت اطلاعات بانکی مردم شروع به باجخواهی کرده است. در این میان برخی بانکها مشتریان خود را مجبور به تغییر رمز کردهاند.
میگویند هکی در کار نبوده و فرد باجخواه صرفا اطلاعات پایه نظیر اسم و مشخصات، کد ملی، شماره کارت، شماره حساب و شماره CVV2 مشتریان را در اختیار دارد و در نتیجه امکان برداشتی از حساب ندارد. اما وقتی سوال میشود، پس مسدودسازی حساب و گروگانگیری پول مردم و الزام آنها به تغییر رمز چیست و مگر با تغییر رمز سایر اطلاعات پایهای مشتری هم تغییر میکند؟! این پاسخ را دریافت میکنید که تغییر رمز برای احتیاط انجام شده است!
به عبارت دیگر اگرچه این جوابها رسمی و قانعکننده نیستند، اما حتی اگر موضوع نشت اطلاعاتی باشد، باید گفت اطلاعات بانکی مردم به دلیل سهلانگاریها، تعدد واسطههای بانکی و شرکتهای وابسته به برخی بانکها، حالا تبدیل به بازیچهای شده است که فشار آن به مردم میآید.
چرخه شناختهشده و تکراری این اتفاق که سالها قبل نیز رخ داده بود به این ترتیب است که ابتدا یک کارمند، اطلاعات مشتریان بانکی را سرقت میکند، بعد وارد مذاکره و تهدید با بانک مربوطه برای باجخواهی و حقالسکوت میشود، باجگیری به نتیجه نمیرسد، سارق اطلاعات را در اینترنت پخش میکند، بانک حساب مردم را مسدود میکند و سپس میلیونها نفر از مشتریان بانکی باید به خط شده و برای حل مشکل بانکها، پای خودپردازها بروند و رمز خود را تغییر دهند.
به روابط عمومی یکی از بانکها میگفتم، آیا میدانید معادل فیزیکال و سنتی کاری که با مشتریان خود میکنید چیست؟ این مثل آن است که از شعب بانکها سرقت مسلحانه شود، سپس بانک برای کاهش مشکلات امنیت خود، به مردم پیامک فرستاده و از آنها بخواهد برای حفظ امنیت حساب خود، به صورت شیفتی به یکی از شعب مراجعه کرده و در کار نگهبانی کمک کنند!
اما ماجرای هفته قبل چه بود؟
آنطور که در شبکههای اجتماعی آمده است، هفته گذشته برخی از کاربران ایمیلی را دریافت کردند که حاوی لینکی بود که داخل آن اطلاعات کارت عده زیادی از مشتریان برخی بانکها قرار گرفته بود. در این ایمیل ادعا شده بود که اطلاعات ۱۰ میلیون کارت بانکی در آن دیتابیس وجود دارد.
بر اساس این گزارش اندکی بعد در شبکههای اجتماعی اعلام شد که اطلاعات حسابهای بانکی صحیح هستند، همچنین تاریخ بسیاری از این کارتها منقضی شده و این موضوع حکایت از آن دارد که نشت اطلاعات حسابهای بانکی هموطنان از مدتها پیش اتفاق افتاده و تعدادی از سودجویان اقدام به سرقت اطلاعات حسابهای بانکی و هک آنها کردهاند. به دنبال این اتفاق، رمز اول کارت بانکی تعدادی از مشتریان برخی بانکها تغییر کرده و بانکها از آنها خواسته بودند که نسبت به تغییر رمز اول خود اقدام کنند، سپس برای این مشتریان پیامکی مبنی بر تغییر رمز آنها به چهار رقم آخر کد ملی ارسال و تاکید شد که نسبت به تغییر رمز خود از طریق دستگاههای خودپرداز اقدام کنند.
این اتفاق سبب شد، مشتریان بانکی نسبت به مشکل ایجاد شده در بانکهای خود دچار نگرانی شوند.
اما در جریان افشای اطلاعات مشتریان بانکها، ظاهرا اطلاعات منتشر شده صرفا اطلاعات سطح اول مشتریان بانکی بوده است، اما از زمانیکه خبر انتشار اطلاعات کارت مشتریان برخی بانکهای کشور در فضای مجازی پیچید، اخبار متفاوتی از جزییات این اتفاق ارایه شد.
برخی گزارشها حاکی است اطلاعات برخی مشتریان بانکها در این فرایند افشا شده است اما گفته میشود اطلاعات منتشر شده صرفا اطلاعات سطح اول مشتریان بانکی است، هرچند که هیچ مقام مسوولی رسما در این مورد اظهارنظر نکرده است.
هفته گذشته یک منبع آگاه بانکی در این باره به فارس گفت: تنها شماره کارت و تاریخ انقضای آنها افشا شده است که این اطلاعات امکان نقل و انتقال پول را بهوجود نمیآورد.
بررسیهای بیشتر نشان میدهد بخشی از کارتهایی که شماره آنها افشا شده، تاریخ اعتبارشان منقضی شده و تاریخ انقضای بعضی دیگر از کارتها هم مربوط به روزهای باقی مانده تا پایان سال جاری میشود.
این منبع آگاه تاکید کرده: تاکنون برداشتی از حساب هیچیک از دارندگان کارتهای بانکی نشده و شکایتی در این باره به بانکها نرسیده است و ظاهرا در راستای پیشگیری از هرگونه سرقت اینترنتی و با افزایش امنیت کارتهای بانکی، بانکها از مشتریان خود خواستهاند با مراجعه به خودپردازها رمز دوم خود را تغییر داده و یا از بستر رمز دوم پویا استفاده کنند.
در این مدت، بانک مرکزی هیچ واکنشی به این اتفاق نشان نداده است. هنوز معلوم نیست اطلاعات منتشر شده، هر چند که اطلاعات چندان ارزشمندی محسوب نمیشود، از چه طریقی افشا شده است و ظاهرا این اتفاق هنوز در حال بررسی است.
اما وزیر ارتباطات و فناوری اطلاعات به جای مسوولان بانک مرکزی و نظام بانکی کشور، گوشهای از مشکل را باز کرد.
آذری جهرمی گفت: چند درصد سازمانها از این مدیریت سطوح امنیتی برخوردار هستند. اصلا در کشور ما مدیریت طبقهبندی اطلاعات یعنی چه؟ این بههمریختگی و بینظمی در مدیریت سطوح دسترسی را در مجموعههای مختلف کشور میبینیم و عمده درز اطلاعات هم ناشی از همین مساله است. این روزها بحث دستبرد به برخی بانکها مطرح شده و عدهای مدعی شدهاند که بانکها هک شدهاند. این در حالی است که بانکها هک نشده بودند بلکه پیمانکار فنی سابق یک مجموعه از اطلاعاتی که به آنها دسترسی داشت نسخه پشتیبان گرفته بود و اکنون با دسترسی به این نسخه در حال تهدید و باجگیری است.
وی گفت: اگر برای آن سازمان مدیریت سطوح امنیتی مهم بود، فکر میکنید اجازه میداد که مدیر فنی نسخهای از اطلاعات را در اختیار داشته باشد. این مجموعهها به مدیریت سطوح امنیتی دسترسی اطلاعات اهمیت نمیدهند بعد که دچار مشکل میشوند انتظار دارند که مرکز ماهر تمام مشکلاتشان را حل کند.
متاسفانه تجربه نشان داده است که در این گونه مواقع بیش از آنکه اطلاعرسانی کافی صورت گیرد، مخفیکاری انجام میشود و با این مخفیکاریها حاشیه امنی برای مدیران بیکفایت درست میشود. لذا مشخص نیست که قانون در این موارد چه میگوید و اساسا با متخلف یا متخلفان چه برخوردی قرار است صورت گیرد؟(منبع:عصرارتباط)