داستان لو رفتن ایمیلی اطلاعات محرمانه ۷۷۵ نفر از مشتریان بهپرداخت ملت
در حالی که درگاه اینترنتی بهپرداخت ملت در گافی عجیب اطلاعات محرمانه بیش از ۷۷۰ نفر از مشتریان خود را منتشر کرده، مسئولان مربوطه هنوز حاضر به توضیح و پاسخگویی نشدهاند.
۱۹:۳۶ - ۱۷ اسفند ۱۳۹۷
وانانیوز|
۲۵۰ میلیون تومان ناقابل درگاه اینترنتی «به پرداخت ملت» برای ساخت هر قسمت مسابقه استعدادیابی «عصرجدید»، ۲۵۰ میلیون تومان به مجری مسابقه، احسان علیخانی پرداخت کرده است. این موضوعی است که ابراهیم تبار در توییتر خود به آن اشاره کرده است. بهپرداخت ملتی که این روزها حسابی حاشیه ساز شده است. کاربران در فضای مجازی با هشتگ «بهپرداخت» ابعاد مختلفی از ماجرای یک ایمیل محرمانه را بررسی کردهاند.
چند روز پیش، برخی از مشتریان بانک ملت ادعا کردند که برای آنها ایمیلی حاوی اطلاعات محرمانه کاربران ارسال شده و ساعاتی بعد دوباره ایمیلی رسیده که: لطفا ایمیل قبلی را نادیده بگیرید و آنرا حذف کنید!
مجید شریفی یکی از مشتریانی است که در توییتر خود نوشته است: «امروز یک فایل اکسل از طرف بهپرداخت به ایمیلم ارسال شده که اطلاعات آماری و فنی همه پذیرندههای درگاه اینترنتی ملت چه دولتی چه شخصی، در آن وجود داشت. مثلا من الان میدونم تامین اجتماعی در ماه گذشته چقدر تراکنش داشته است»
توحید ارسطو هم نوشته است: ماجرای لو رفتن اطلاعات کاربران بهپرداخت اصلا برای من عجیب نیست. متاسفانه همه شرکتها و ارگانهای دولتی و شبه دولتی فایلهای اکسل حساسی دارند که روش حفاظت جالبی برای آن در نظر نگرفتهاند و بعضا حتی آنها را در اینترنت آپلود میکنند.
سوالی که در این میان گویا مسئولان مربوطه ترجیح دادند در برابر جواب به آن سکوت کنند این است که آیا قرار نیست از تجربه تلخ لو رفتن اطلاعات ۳ میلیون مشتری در سال ۹۰، درس بگیریم؟ چه ساز و کاری در مجموعه عریض و طویل بهپرداخت بانک ملت تعریف شده که یک فایل اشتباه به راحتی ضمیمه ایمیلها شده و برای مشتریان ارسال میشود؟
سوال بعدی این است که با توجه به گذشت بیش از ۷۲ ساعت از لو رفتن دادهها چطور هنوز پاسخ قانعکنندهای توسط این شرکت به افکار عمومی داده نشده است؟
چه اطلاعاتی لو رفته است؟
اما ایمیل فرستاده شده حاوی چه اطلاعاتی است؟ اطلاعات مالی و صورت حساب ۷۷۵ نفر از پذیرفتگان دریافت درگاه اینترنتی به پرداخت بانک ملت در قالب یک فایل اکسل که به اشتباه ضمیمه ایمیل شده، لورفته است. اگرچه انتشار این اطلاعات موجب سو استفاده مالی دیگران از صاحبان حساب نمیشود، اما واقعیت این است که تمامی اطلاعاتی که در یک فایل اکسل تحت ساز و کاری توجیهناپذیر برای مشتریان ارسال شده اطلاعات محرمانه کسب و کارها و شرکتهای مختلف به شمار میروند و درز آنها خیانت در امانت است. آیا بانک ملت برنامهای برای جبران این پیمانشکنی دارد؟
به نظر میرسد که «نه» قاطعی در این پاسخ به این سوال داده شده که حالا در حالی که بیش از سه روز از انتشار از اطلاعات محرمانه به پرداخت میگذرد، هنوز بانک ملت در سکوت رسانهای به سر میبرد. تا جایی که شاپرک به عنوان نهاد نظارتی مجبور به صدور اطلاعیهای در این باره شده است: ابعاد مختلف اتفاقی که در یکی از شرکتهای ارائه دهنده خدمات پرداخت الکترونیک رخ داده توسط کارشناسان شاپرک در حال بررسی است و به زودی گزارشی کاملی تهیه و به بانک مرکزی ارائه خواهد شد. این نهاد ناظر تا ۲۴ ساعت به درگاه اینترنتی بهپرداخت فرصت داده بود که سکوت خود را در این باره بشکند و درباره اطلاعات لو رفته، توضیح دهد. البته که آن ۲۴ ساعت هم تمام شد و هنوز گزارشی به شاپرک و بانک مرکزی ارائه نشده است. اما آیا صرف صدور یک بیانیه ساده برای پیگیری موضوع به این مهمی کافی است؟
بستر دادهها در شبکه بانکی ایران ناامن است
این دومین بار است که اطلاعات محرمانه بانکهای ایرانی در ابعادی گسترده افشا میشود. نا امن بودن بستر دادهها در ایران بارها و بارها رسانهای شده و این بار نوبت نشت اطلاعات از درز بانک ملت است. دیگر همه میدانیم که پروتکلهای امنیتی توسط شرکتهای ارائه دهنده خدمات پرداخت رعایت نمیشود.
پیش از این و در تیرماه سال ۹۰، هکری با نام اختصاری «خ. ز. ف»، اطلاعات حدود ۳ میلیون مشتری بانکهای ایرانی (در قالب بیش از هزار کارت بانکی) را به شکل کاملی برای برای مدیران عامل آن بانکها ارسال کرده و موضوع ناامن بودن بستر تبادل اطلاعات، نرم افزار و سختافزار مربوطه را به آنان گوشزد کرده بود. اگرچه شرکت فن آوران انیاک، به عنوان یکی مهمترین درگاههای پذیرنده در آن سالها، لغو مجوز شد و هرگز به میدان رقابت بازنگشت، اما مشکل ناامنی شبکه بانکی حل نشد.
سوالی که در این میان مطرح میشود، چرا نباید روش حفاظتی درستی برای اکسلهایی که حاوی اطلاعات مهم و محرمانه است، (آنهم در بستر گستردهای مثل بستر پرداخت بانک ملت) تدوین شود؟ چرا باید یک اشتباه سادهی کاربری که جایزالخطاست، ابعاد گستردهای را در بر بگیرد و تبدیل به معضلی حل نشدنی شود؟
گفتنی است شرکت به پرداخت ملت (سهامی عام) با هدف توسعه ابزارهای پرداخت الکترونیکی فعالیت خود را از سال ۱۳۸۴ بعنوان ارائه دهنده خدمات پرداخت الکترونیکی (PSP) با اخذ مجوز رسمی از بانک مرکزی جمهوری اسلامی ایران آغاز کرده است، همچنین پس از تشکیل شرکت شاپرک در سال ۱۳۹۱ مجوزهای لازم جهت ادامه فعالیت از شرکت مذکور اخذ شده است.
چند روز پیش، برخی از مشتریان بانک ملت ادعا کردند که برای آنها ایمیلی حاوی اطلاعات محرمانه کاربران ارسال شده و ساعاتی بعد دوباره ایمیلی رسیده که: لطفا ایمیل قبلی را نادیده بگیرید و آنرا حذف کنید!
مجید شریفی یکی از مشتریانی است که در توییتر خود نوشته است: «امروز یک فایل اکسل از طرف بهپرداخت به ایمیلم ارسال شده که اطلاعات آماری و فنی همه پذیرندههای درگاه اینترنتی ملت چه دولتی چه شخصی، در آن وجود داشت. مثلا من الان میدونم تامین اجتماعی در ماه گذشته چقدر تراکنش داشته است»
توحید ارسطو هم نوشته است: ماجرای لو رفتن اطلاعات کاربران بهپرداخت اصلا برای من عجیب نیست. متاسفانه همه شرکتها و ارگانهای دولتی و شبه دولتی فایلهای اکسل حساسی دارند که روش حفاظت جالبی برای آن در نظر نگرفتهاند و بعضا حتی آنها را در اینترنت آپلود میکنند.
سوالی که در این میان گویا مسئولان مربوطه ترجیح دادند در برابر جواب به آن سکوت کنند این است که آیا قرار نیست از تجربه تلخ لو رفتن اطلاعات ۳ میلیون مشتری در سال ۹۰، درس بگیریم؟ چه ساز و کاری در مجموعه عریض و طویل بهپرداخت بانک ملت تعریف شده که یک فایل اشتباه به راحتی ضمیمه ایمیلها شده و برای مشتریان ارسال میشود؟
سوال بعدی این است که با توجه به گذشت بیش از ۷۲ ساعت از لو رفتن دادهها چطور هنوز پاسخ قانعکنندهای توسط این شرکت به افکار عمومی داده نشده است؟
چه اطلاعاتی لو رفته است؟
اما ایمیل فرستاده شده حاوی چه اطلاعاتی است؟ اطلاعات مالی و صورت حساب ۷۷۵ نفر از پذیرفتگان دریافت درگاه اینترنتی به پرداخت بانک ملت در قالب یک فایل اکسل که به اشتباه ضمیمه ایمیل شده، لورفته است. اگرچه انتشار این اطلاعات موجب سو استفاده مالی دیگران از صاحبان حساب نمیشود، اما واقعیت این است که تمامی اطلاعاتی که در یک فایل اکسل تحت ساز و کاری توجیهناپذیر برای مشتریان ارسال شده اطلاعات محرمانه کسب و کارها و شرکتهای مختلف به شمار میروند و درز آنها خیانت در امانت است. آیا بانک ملت برنامهای برای جبران این پیمانشکنی دارد؟
به نظر میرسد که «نه» قاطعی در این پاسخ به این سوال داده شده که حالا در حالی که بیش از سه روز از انتشار از اطلاعات محرمانه به پرداخت میگذرد، هنوز بانک ملت در سکوت رسانهای به سر میبرد. تا جایی که شاپرک به عنوان نهاد نظارتی مجبور به صدور اطلاعیهای در این باره شده است: ابعاد مختلف اتفاقی که در یکی از شرکتهای ارائه دهنده خدمات پرداخت الکترونیک رخ داده توسط کارشناسان شاپرک در حال بررسی است و به زودی گزارشی کاملی تهیه و به بانک مرکزی ارائه خواهد شد. این نهاد ناظر تا ۲۴ ساعت به درگاه اینترنتی بهپرداخت فرصت داده بود که سکوت خود را در این باره بشکند و درباره اطلاعات لو رفته، توضیح دهد. البته که آن ۲۴ ساعت هم تمام شد و هنوز گزارشی به شاپرک و بانک مرکزی ارائه نشده است. اما آیا صرف صدور یک بیانیه ساده برای پیگیری موضوع به این مهمی کافی است؟
بستر دادهها در شبکه بانکی ایران ناامن است
این دومین بار است که اطلاعات محرمانه بانکهای ایرانی در ابعادی گسترده افشا میشود. نا امن بودن بستر دادهها در ایران بارها و بارها رسانهای شده و این بار نوبت نشت اطلاعات از درز بانک ملت است. دیگر همه میدانیم که پروتکلهای امنیتی توسط شرکتهای ارائه دهنده خدمات پرداخت رعایت نمیشود.
پیش از این و در تیرماه سال ۹۰، هکری با نام اختصاری «خ. ز. ف»، اطلاعات حدود ۳ میلیون مشتری بانکهای ایرانی (در قالب بیش از هزار کارت بانکی) را به شکل کاملی برای برای مدیران عامل آن بانکها ارسال کرده و موضوع ناامن بودن بستر تبادل اطلاعات، نرم افزار و سختافزار مربوطه را به آنان گوشزد کرده بود. اگرچه شرکت فن آوران انیاک، به عنوان یکی مهمترین درگاههای پذیرنده در آن سالها، لغو مجوز شد و هرگز به میدان رقابت بازنگشت، اما مشکل ناامنی شبکه بانکی حل نشد.
سوالی که در این میان مطرح میشود، چرا نباید روش حفاظتی درستی برای اکسلهایی که حاوی اطلاعات مهم و محرمانه است، (آنهم در بستر گستردهای مثل بستر پرداخت بانک ملت) تدوین شود؟ چرا باید یک اشتباه سادهی کاربری که جایزالخطاست، ابعاد گستردهای را در بر بگیرد و تبدیل به معضلی حل نشدنی شود؟
گفتنی است شرکت به پرداخت ملت (سهامی عام) با هدف توسعه ابزارهای پرداخت الکترونیکی فعالیت خود را از سال ۱۳۸۴ بعنوان ارائه دهنده خدمات پرداخت الکترونیکی (PSP) با اخذ مجوز رسمی از بانک مرکزی جمهوری اسلامی ایران آغاز کرده است، همچنین پس از تشکیل شرکت شاپرک در سال ۱۳۹۱ مجوزهای لازم جهت ادامه فعالیت از شرکت مذکور اخذ شده است.
با توجه به اتفاقات اخیر و رسانهای شدن این موضوع سیستم بهپرداخت رفته رفته اعتبارش را نزد مردم و کسب و کارها از دست خواهد داد. باید منتظر بمانیم که مدیران این شرکت چه تدبیری برای جلب اعتماد دوباره در نظر میگیرند.
بهپرداخت ملت چگونه اطلاعات کسبوکارها را لو داد؟
لینک کپی شد
گزارش خطا
آهن ملل
ارسال نظر
جدیدترین اخبار
دیگران چه میخوانند؟
برچسب های منتخب
پرطرفدارترین