سیاسی / اقتصادی / اجتماعی / فرهنگی / تاریخی

نتیجه هک ۱۰۰ سال اطلاعات بانک سپه

پیامدهای خطرناک مخفی‌کاری برای مشتریان قدیمی ترین بانک ایران!

ملی مذهبی _ ششم فروردین۱۴۰۴ یک گروه هکری مدعی شد که سیستم‌های بانک سپه را هک کرده و موفق شده اطلاعات شخصی ۴۲ میلیون مشتری این بانک را در یک بازه زمانی صد ساله استخراج کند. این خبر ابتدا با تکذیب مسوولان این بانک همراه شد اما پس از انتشار برخی اطلاعات مورد ادعا از سوی هکرها سرانجام بانک سپه هک سیستم این بانک قدیمی را پذیرفت.  حمله سایبری به سیستم‌های اطلاعاتی قدیمی‌ترین و نخستین بانک ایران، بانک سپه، می‌تواند ابعاد فاجعه‌بار امنیتی، خصوصا برای مشتریان به‌همراه داشته باشد.
به گزارش رادیو زمانه، نبود شفافیت و اطلاع‌رسانی سریع، پنهان‌کاری و تکذیب اولیه در واکنش به این حمله، نقض آشکار قوانین مصوب امنیت سایبری در ایران است و  فرصت مقابله جمعی و امکان دفاع در مقابل  تهدیدات سایبری را از مشتریان می‌گیرد.
برخی رسانه‌های حکومتی این هک بزرگ را تلاش ضدانقلاب برای ترور شخصیتی توصیف کرده‌اند اما تکرار حملات هکری و سایبری به مهم‌ترین مراکز دارنده اطلاعات محرمانه مردم، ضعف شدید امنیتی در زیرساخت‌های دیجیتالی، به‌ویژه در نهاد‌های حساس را آشکار می‌کند و نسبت به لزوم بازنگری اساسی و اجرای فوری قوانین نظارتی بر بانک‌ها هشدار می‌دهد.

این گزارش به خطرات درز اطلاعات برای مشتریان و موارد قانونی حفاظت از امنیت اطلاعاتی در چنین حملاتی پرداخته است.

پنهان‌کاری و فرار رو به جلو بانک سپه

در تاریخ ۶ فروردین۱۴۰۴، یک گروه هکری موسوم به «کدبریکرز  (Codebreakers)» مدعی شد که موفق به هک سیستم‌های بانک سپه شده و و با نفوذ به سیستم‌های اطلاعاتی  این بانک، بیش از ۱۲ ترابایت داده که حاوی اطلاعات شخصی و بانکی ۴۲میلیون مشتری در بازه زمانی صد ساله از تاریخ افتتاح در ۱۳۰۴ تا ۱۴۰۴ را استخراج کرده است.

این اطلاعات شامل دو فایل «بیشترین دارایی حساب‌ها» و «بیشترین وام‌‌های اخذ شده» بوده است.

هکرها در کانال تلگرامی خود مدعی شده‌اند که پیش از انتشار این اطلاعات، به بانک سپه پیشنهاد مذاکره داده و از مسوولان این بانک خواسته‌اند که برای جلوگیری از فروش اطلاعات تا پیش از ۷۲ساعت با هکرها وارد مذاکرده شوند.  اما در پستی که در کانال تلگرامی هکرها منتشر شده، آمده است: «مدیران این بانک برای مشتریان خود ارزشی قایل نشده و حاضر به پرداخت حتی ۱ دلار برای حفظ اطلاعات هر مشتری نبودند.»

هکر‌ها در کانال تلگرامی خود نوشته‌اند که اطلاعات افراد نظامی نیز در میان داده‌های به‌دست‌آمده وجود دارد و در تصاویری که این گروه منتشر کرده، اسنادی با عنوان «شناسنامه انباره داده» دیده می‌شود که سربرگ شرکت «داتین» – از زیرمجموعه‌های هلدینگ داده‌ورزی سداد و ارایه‌دهنده خدمات فناوری اطلاعات به بانک‌ها – را دارد. روابط عمومی بانک سپه اما این خبر را تکذیب کرد و هرگونه نفوذ به سامانه‌های این بانک را بی‌اساس دانست. «رضا همدان‌چی»، رییس اداره روابط عمومی بانک سپه، حتی تاکید کرد که این ادعاهای کذب با هدف تشویش اذهان عمومی صورت می‌گیرد و مشتریان بانک سپه از این نظر خیال‌شان راحت باشد.

ماجرا اما به همین‌جا ختم نشد و  گروه هکری در واکنش به  تکذیب بانک سپه،  بخشی از اطلاعات مورد ادعا از جمله داده‌‌های برخی مشتریان و حتی حساب رییس روابط عمومی بانک سپه را منتشر کرد.

بعد از این اقدام تهدیدآمیز، سرانجام بانک سپه این موضوع را پذیرفت و در یک فرار رو به جلو، خبرنگاران و رسانه‌ها را تهدید قضایی کرد که اطلاعات را بازنشر نکنند. و در اطلاعیه‌ای قابل تامل اعلام کرد که «هرگونه بازنشر اطلاعات ادعایی مربوط به حساب‌های اشخاص حقیقی و حقوقی، به‌ویژه نهادهای نظامی، به‌منزله نقض اصل محرمانگی اطلاعات منتسب به نیروهای مسلح محسوب شده، می‌تواند مشمول پیگرد قضایی قرار گیرد.»

در کلیه واکنش‌های بانک سپه اعم از تکذیب و پنهان‌کاری غیر صادقانه، تنها عاملی که دیده نمی‌شود توجه و مسوولیت بانک سپه نسبت به اصل محرمانه بودن اطلاعات مردم و مسوولیت قانونی این بانک در اطلاع‌رسانی سریع به مردم در خصوص سرقت اطلاعات بوده که به نظر می‌رسد برای مسوولان این بانک، حتی ارزش اشاره کردن هم ندارد.

همزمان با این اقدامات عجیب بانک سپه، هشتک #بانک_سپه_غلط_کرد  در توییتر و اینستاگرام ترند شد.

خطر درز اطلاعات بانک‌ها برای مشتریان

انتشار اطلاعات مشتریان در حملات سایبری بسته به نوع اطلاعات فاش شده می‌تواند خطرات جدی و قابل توجهی را برای مشتریان به همراه داشته باشد.

سرقت هویت: کلاهبرداران و جاعلان می‌توانند اطلاعات مشتریان مانند نام، شماره ملی، تاریخ تولد و آدرس را خریداری یا سرقت کرده و از این داده‌ها برای جعل هویت با اهداف مختلف استفاده کنند. افتتاح حساب‌های بانکی جعلی و انتقال و شستشوی پول‌‌های کثیف حاصل از  قاچاق اسلحه، مواد مخدر، قاچاق انسان و…  از طریق این حساب‌ها به نام مشتریان با هویت واقعی و البته از همه‌جا بی‌خبر که می‌تواند برای این افراد در آینده دور و نزدیک، پیامدهای پیش‌بینی نشده و جدی به همراه داشته باشد.

گاهی پیامدهای مخرب این نوع کلاهبرداری‌ها بعد از سال‌های طولانی و پس از انجام حجم بزرگی از کلاهبرداری ظاهر می‌شوند که در آن صورت، تشخیص چگونگی افشای اطلاعات هویتی قربانی، بسیار دشوار خواهد بود.

کلاهبرداری مالی: هکرها می‌توانند از اطلاعات کارت بانکی، حساب‌های بانکی یا رمزهای عبور برای سرقت پول، انجام تراکنش‌های غیرمجاز یا خرید اینترنتی استفاده کنند. حتی در صورت نداشتن رمز کارت بانکی، کلاهبرداران با مهندسی اجتماعی و روانی، می‌توانند مشتریان را فریب داده و اطلاعات حساس بیشتری دریافت کنند.

در صورتی که ه کرها از اطلاعات قربانی برای انجام فعالیت‌های غیرقانونی استفاده کنند، ممکن است فرد بدون اینکه اطلاعی داشته باشد، درگیر مشکلات حقوقی و اعتباری شود.

حملات فیشینگ: کلاهبرداران و سارقان می‌توانند از اطلاعات لو رفته برای ارسال ایمیل‌ها، پیامک‌ها یا تماس‌های جعلی استفاده کنند تا قربانیان را به افشای اطلاعات بیشتر ترغیب کنند. برای مثال، اگر اطلاعات حساب بانکی درز کرده باشد، ممکن است فردی پیامی دریافت کند که از طرف بانک است و از او خواسته شود رمز عبور خود را تغییر دهد درحالی‌که لینک ارایه‌شده جعلی است. سوءاستفاده از اطلاعات خصوصی: در صورت افشای اطلاعاتی مانند شماره تماس، آدرس یا سوابق خرید و معاملات مالی، این امکان به‌وجود می‌آید که افراد در معرض تبلیغات ناخواسته، اخاذی یا تهدیدات شخصی قرار بگیرند. اگر ایمیل و رمز عبور لو رفته باشد، ممکن است حساب‌های شبکه‌های اجتماعی، ایمیل و حتی حساب‌های کاری قربانی هک شود. در مواردی که اطلاعات حساس‌تری مانند سوابق پزشکی یا سوابق حقوقی فاش شود، افراد ممکن است با سوءاستفاده‌های جدی‌تر و خطرناک‌تری مواجه شوند.تهدید سازمانی: درز اطلاعات کارکنان سازمان‌ها نیز می‌تواند منجر به حملات داخلی، جاسوسی صنعتی و نشت اطلاعات حساس‌تر شود. اگر اطلاعات مشتریان یا شرکتی که در بانک حساب دارد افشا شود، ممکن است شرکت‌ها با حملات سایبری گسترده‌تر، اخاذی دیجیتالی یا از دست دادن اعتماد عمومی روبه‌رو شوند.

قوانین حفاظت از اطلاعات مشتریان بانک‌ها

 در ایران، قوانین و مقرراتی برای حفاظت از اطلاعات مشتریان بانک‌ها و مقابله با حملات سایبری وجود دارد.

طبق ماده ۵۸ قانون «تجارت الکترونیکی»، مصوب ۱۳۸۲، فروشگاه‌ها و بانک‌ها موظف‌اند، اطلاعات مالی کاربران را محرمانه نگه دارند و در صورت افشای غیرمجاز اطلاعات، مسوول خواهند بود. همچنین در ماده ۶۳ این قانون آمده که بانک‌ها و کسب‌وکارهای آنلاین باید از پروتکل‌های امنیتی برای تبادل اطلاعات مالی مشتریان استفاده کنند.

به علاوه،  بانک مرکزی جمهوری اسلامی هم برای حفاظت از اطلاعات مشتریان، دستورالعمل‌های مختلفی را صادر کرده است. از جمله آن‌که، بانک‌ها موظف‌اند سرورها و پایگاه‌های داده خود را در داخل کشور نگه‌داری کنند تا از نشت اطلاعات جلوگیری شود.هر بانک باید تیمی تخصصی برای مقابله با حملات سایبری و هک شدن داشته باشد و در صورت حمله سایبری یا نشت اطلاعات، بانک باید سریعا موضوع را به بانک مرکزی و مراجع قضایی گزارش دهد.

همچنین مطابق آیین‌نامه نظام ملی مدیریت امنیت اطلاعات (افتا)، بانک‌ها موظف‌اند در صورت نشت اطلاعات یا حمله سایبری، سریعا کاربران و مراجع قانونی را مطلع کنند.

ضمنا مطابق پیش‌نویس قانون حمایت از حقوق کاربران در فضای مجازی هم که برای تصویب تهیه شده، بانک‌ها و شرکت‌های مالی باید هرگونه حمله سایبری را ظرف ۲۴ ساعت گزارش دهند و در صورت سهل‌انگاری، بانک در حفاظت از اطلاعات مشتریان، جریمه‌های سنگین در نظر گرفته شود.

تکرار چندین مورد افشای گسترده اطلاعات کاربران در ایران نشان می‌دهد که امنیت داده‌ها به‌اندازه کافی جدی گرفته نشده است.

نمونه‌های مشابه حمله های سایبری در ایران و سایر کشورها و نحوه واکنش‌ها

حملات سایبری به زیرساخت‌ها و نهادها و سازمان‌های دولتی در سال‌های گذشته کم نبوده است. حمله هکری گروهی موسوم به «گنجشک درنده» به سامانه سوخت ایران در ۴آبان ۱۴۰۰ به از کار افتادن ۴۳۰۰ جایگاه سوخت در سراسر کشور انجامید و ارایه بنزین سهمیه‌ای را برای مدت بیش از یک هفته مختل کرد.

در ۳۱ مرداد ۱۴۰۱ هم، گروهی هکری که خود را «عدالت علی» می‌نامد با هک سیستم‌های دوربین مداربسته زندان‌های جمهوری اسلامی، ویدیوهایی را منتشر کرد که که حاوی بدرفتاری با زندانیان، قاچاق مواد مخدر به درون زندان، درگیر شدن ماموران با یکدیگر و همچنین اقدام به خودکشی زندانیان بود.

حمله سایبری به شبکه‌های رادیو و تلویزیونی دولتی در دی ۱۴۰۰، هک شرکت هواپیمایی ماهان و شرکت راه‌آهن جمهوری اسلامی در اسفند ۱۴۰۲، حمله سایبری به سامانه‌های شهرداری تهران در خرداد ۱۴۰۱ و دانشگاه تهران، هم از نمونه‌های این گونه حملات بوده که واکنش اولیه مقامات جمهوری اسلامی در اغلب این موارد، سکوت، پنهان‌کاری و حتی تکذیب و یا متهم کردن غرب و اسراییل بوده است.

نشت اطلاعات مشتریان بانک ملت (۱۳۹۹) و فروش اطلاعات هزاران کاربر در دارک وب، افشای اطلاعات ۴۲ میلیون کاربر تلگرام در ایران (۱۳۹۸)،  نشت اطلاعات سامانه ثبت احوال ایران (۱۴۰۰) و نشت اطلاعات مشتریان برخی اپلیکیشن‌های پرداخت که در آن اطلاعات کارت‌های بانکی برخی کاربران به دلیل ضعف امنیتی به فروش گذاشته شد، از مواردی هستند که  نشان می‌دهند، بسیاری از شرکت‌ها، بانک‌ها و سازمان‌های ایرانی، استانداردهای امنیتی قوی ندارند.

از طرفی حمله سایبری گسترده و عمیق به بانک سپه و دسترسی به اطلاعات محرمانه مشتریان، نشان می‌دهد که به مدد سیستم‌های غیرایمن در ایران، حمله‌های سایبری به  مرحله جدیدی از دزدی اطلاعات رسیده‌اند.

نمونه‌های این حملات در سایر کشورهای دنیا هم دیده می‌شود. حمله به وب‌سایت چند بانک اسراییلی در آوریل ۲۰۲۳ در خدمات آنلاین این بانک‌ها برای ساعاتی اختلال ایجاد کرد. حمله به بانک کره جنوبی هم در مارس ۲۰۱۳ باعث ایجاد اختلال در خدمات آنلاین و دستگاه‌های خودپرداز شد.

در کلیه موارد بالا، واکنش مقامات از سطح بالای شفافیت و اطلاع‌رسانی گسترده برخوردار بود. مثلا در اسراییل پس از حملات سایبری آژیرهای هشدار و خطر در شهرهای اورشلیم و ایلات به صدا درآمد. درخواست کمک بین‌المللی و تحقیقات درباره نشت اطلاعات و تحقیقات داخلی و برگزاری نشست‌‌های دفاع سایبری با کشورهایی مانند امارات متحده عربی، بحرین، و مغرب از دیگر اقدامات مقامات اسراییل در واکنش به این حمله بود که در نهایت به راه‌‌اندازی پروژه گنبد آهنین سایبری انجامید.

شفافیت بالا و اطلاع‌رسانی به جای پنهان‌کاری و تکذیب، مسوولیت‌پذیری و پذیرش ضعف و تقویت سیستم‌های حفاظتی به جای اتهام‌زنی و تهدید، استفاده از همکاری‌های بین‌المللی و اشتراک و تبادل اطلاعات برای دستیابی به راهکارهای مناسب، مواردی هستند که در رفتار و واکنش مقامات کشورهای مورد اشاره، آشکارا قابل مشاهده هستند.

در ایران، بسیاری از نهادها پس از نشت اطلاعات، اطلاع‌رسانی نمی‌کنند و کاربران تا زمانی که اطلاعات‌شان لو نرود، متوجه حمله هکری به اطلاعات محرمانه خود، نمی‌شوند. در حالی‌که در کشورهای پیشرفته مانند اتحادیه اروپا (طبق GDPR) شرکت‌ها موظف‌اند در صورت نشت اطلاعات، کاربران را سریعاً مطلع کنند.

علاوه بر همه این موارد، بانک‌ها و شرکت‌های متخلف که اطلاعات کاربران را در معرض خطر قرار داده‌اند، جریمه یا مجازات نمی‌شوند و همین باعث شده بسیاری از بانک‌ها و سازمان‌ها و نهادهای حاوی اطلاعات محرمانه و مهم  در ایران برای کاهش هزینه‌ها همچنان از سیستم‌های قدیمی و آسیب‌پذیر استفاده می‌کنند.

در ایران هنوز یک قانون جامع و سخت‌گیرانه مانند «جی‌دی پی‌آر (GDPR)» اروپا برای حفاظت از اطلاعات شخصی وجود ندارد و بر اجرای مقرراتی که وجود دارند هم نظارتی صورت نمی‌گیرد.

مطالب مرتبط

از سربازان تا کودکان و غیرنظامی ها

روایت‌هایی از کشته‌شدگان غیرنظامی حملات اسراییل

کاربران شبکه‌های اجتماعی از کشته شدن سه سرباز به نام‌های «امیرعلی فضلی»، ۱۹ ساله، «امیرمحمد رحمتی»، ۲۲ ساله و یک سرباز دیگر به نام «علیرضا محمودی»، اهل خمین در حمله اسراییل به ورودی زندان اوین خبر داده‌اند

«گنجشک درنده» چگونه نظام مالی ایران را مختل کرد؟

هجوم هکرها به سیستم‌های مالی ایران همزمان با حملات اسرائیل

هکرها در عملیات علیه «نوبیتکس» کلیدهای کیف‌پول‌های رمزارزی این صرافی را که در اختیار افراد کلیدی در شرکت بود، به‌دست آورند. به گفته آقای راد، این کلیدها در اختیار کارکنان معتمد بوده است

دریای خزر در حال کوچک شدن است

قزاق‌ها نگران آینده‌ کاسپین

فعالان محیط زیست قزاقستان می‌گویند حتی با چشم غیرمسلح هم می‌توان دید که دریای خزر در حال کوچک شدن است. مطالعات می‌گویند تا پایان این سده ممکن است ۳۴ درصد از مساحت دریای خزر از دست برود.

مطالب پربازدید

سایر اخبار ...

مقاله

سایر مقاله ها...
Telegram Instagram Twitter

این سایت از نظر هویتی ملی – مذهبی و از نظر حقوقی مستقل است