از نپذیرفتن موضوع هک تا انتشار اسامی مشتریان / بانک ملت پاسخگو نیست

وقتی بانک ملت این موضوع را حتی تایید هم نمی‌کند چطور قرار است باگ امنیتی خود را حل کند و این آسودگی را به مشتریانش بدهد که این اتفاق دیگر نمی‌افتد؟

به گزارش رصد روز ، ظاهرا ۲۲ اردیبهشت ماه اطلاعات مشتریان به‌پرداخت ملت که وابسته به بانک‌ ملت است، افشا شده و برای فروش و معامله با بیت‌کوین در اینترنت قرار گرفته است. بر اساس گزارش مهر اطلاعات این مشتریان که بیش از ۳۰ میلیون نفر بوده‌اند، شامل شماره مشتری، نام و نام‌خانوادگی، کد ملی، شماره شناسنامه، تاریخ تولد، شماره حساب، شهر و استان تولد، شهر و استان محل سکونت و شماره موبایل است.


بانک ملت در پاسخ به این ادعا در اطلاعیه‌ای اعلام کرد که ابعاد این موضوع در حال بررسی است اما ماهان مهدوی امیری، مدیر امنیت به‌پرداخت ملت به تجارت‌نیوز اعلام می‌کند: «بر اساس بررسی‌هایی که انجام شده تا به این لحظه هیچ‌گونه شواهدی مبنی بر هک اطلاعات در دست نیست».

این مقام مسئول از هرگونه توضیح بیشتر در این زمینه خودداری می‌کند.

اطلاعات بیش از اندازه از مشتریان ایرانی دریافت می‌شود
در حالی که بانک ملت زیر بار شفاف‌سازی دقیق ماجرا نمی‌رود، جریان‌سازی هک اطلاعات شبکه بانکی ایران مسبوق به سابقه است و اواخر سال ۹۷ هم اعلام شد که به دلیل بروز خطای انسانی اطلاعات تعدادی از کاربران به‌پرداخت ملت لو رفته است. آن زمان هم اعلام شد که داده‌های منتشر شده حاوی اطلاعات محرمانه مشتریان نبود و هیچ سو استفاده‌ای از حساب بانکی آنان صورت نگرفته است.

میلاد نوری، کارشناس فناوری، در این باره به تجارت‌نیوز می‌گوید: امکان هک همه جای دنیا وجود دارد اما در تمام دنیا قانون‌گذاری و رگولاتوری انجام شده که هر کسب و کاری به اندازه نیازش مجاز به دریافت اطلاعات باشد. ما در ایران هنوز برای دسترسی به سطوح مختلف اطلاعات مشتری از سوی بخش‌های خصوصی و غیرخصوصی، قانون مشخص نداریم.
او ادامه می‌دهد: در گام دوم باید نظارت باشد بر این که مرکزی که از مردم اطلاعات گرفته، از این اطلاعات چطور نگهداری می‌کند؟ گام سوم هم روش برخورد بعد از نشر احتمالی اطلاعات است.

به جای جبران خسارت شاکی می‌شوند!
به باور این کارشناس  قانون ما آنقدر ضعیف است که حتی مجموعه‌ای که نتوانسته از اطلاعات حفاظت کند به راحتی در جایگاه شاکی قرار می‌گیرد. این کارشناس می‌افزاید: به‌پرداخت ملت دفعه قبل اعلام کرد افشای اطلاعات به دلیل خطای انسانی بوده در حالی که باید به طور روشن مشخص می‌شد چه افرادی به اطلاعات مشتریان دسترسی دارند؟ اگر از طریق کوتاهی یک کارمند اطلاعات افشا شده از کجا معلوم که این مشکل حل شده باشد؟ وقتی با این مشکل نه قانون برخورد کرده، نه سازمان آسیب‌شناسی کرده، پس طبیعتا در جهت رفع آن هم اقدامی نشده.

نوری ادامه می‌دهد: وقتی بانک ملت این موضوع را حتی تایید هم نمی‌کند چطور قرار است باگ امنیتی خود را حل کند و این آسودگی را به مشتریانش بدهد که این اتفاق دیگر نمی‌افتد؟ درحالی که وقتی نقصی پذیرفته ‌شود پای کارشناسان بیشتری برای رفع نقص به ماجرا باز می‌شود و جلوی تکرار آن گرفته می‌شود.

آنطور که این کارشناس می‌گوید در حال حاضر این آگاهی باید به مردم داده شود که چه نوع اطلاعاتی از کاربران منتشر شده؟ چون خود مجموعه وظیفه دارد مشتریانش را آگاه کند که حجم اطلاعات از دست رفته چقدر بوده و چه آسیبی ممکن است به کاربر وارد شود.

او در نهایت این سوال را مطرح می‌کند: افشای اطلاعات از سمت بانک ملت نبوده بلکه از سمت به‌پرداخت ملت بوده. بانک‌ها لایه‌های امنیتی بیشتری دارند و دسترسی به اطلاعات آن‌ها راحت نیست. حالا یکی از انتقادات این است که اصلا چرا این اطلاعات باید در دست به‌پرداخت باشد؟ اطلاعات پذیرنده طبیعی است که در دست به‌پرداخت باشد اما این اطلاعات نه.
نوری می‌گوید: طبق اطلاعات غیررسمی سامانه‌ای وجود داشته و اطلاعات از طریق آن منتشر شده که البته خارج از به‌پرداخت است. برخی کارشناسان حقوقی دسترسی به‌پرداخت به این سامانه ملت را غیر قانونی می‌دانند.

امکان شکایت برای کاربران وجود دارد
محمدجعفر نعناکار، وکیل پایه یک دادگستری و عضو هیئت مدیره فناوتک، درباره حق دسترسی به‌پرداخت به اطلاعات کاربران عنوان می‌کند: « معمولا هنگام افتتاح حساب از صاحب حساب وکالت و مجوز این را می‌گیرند که اطلاعات کاربر را با شرکای تجاری که شرکت‌های زیر مجموعه‌شان است به اشتراک بگذارند.

با این حال پروتکل‌هایی که سازمان ‌های مالی بین‌المللی اعلام می‌کنند می‌گوید که اطلاعات باید در دسترسی حداقلی باشد. این یعنی جایی مثل به‌پرداخت باید اطلاعاتش را به صورت مجموعه اطلاعاتی بگیرد نه این که مستقیما به تمام داده‌ها دسترسی داشته باشد. دسترسی به‌پرداخت ملت به کل داده‌ها منطقی نیست. البته هنوز معلوم نیست انتشار اطلاعات دقیقا از سمت به‌پرداخت بوده یا خود بانک ملت. این موارد باید اطلاع‌رسانی و بررسی شود».

او می‌گوید: «طبق قانون تجارت‌الکترونیکی و مسئولیت مدنی در صورتی که اطلاعات حفاظت شده منتشر شود مسبب باید جبران خسارت کند. این یعنی هر کسی اطلاعاتش فاش شده می‌تواند در دادگستری دادخواست بدهد و طلب خسارت کند. اگر مردم این کار را نکنند در مواردی شبیه این که پای اطلاعات ۳۳ میلیون نفر در میان است. مدعی‌العموم می‌تواند طبق قانون وارد شود و صاحب پلتفرم را در محکمه بخواهد. در نهایت اگر ثابت شود طبق قانون مسئولیت مدنی باید جبران خسارت مادی و معنوی شود، طبق قانون تجارت الکترونیک هم زندان و جرائم مالی را مشمول می‌شود».

او درباره پاسخگو نبودن ملت درباره این موضوع هم معتقد است که وقتی بانک پاسخگو نیست برای مردم امکان مراجعه به محکمه قضایی وجود دارد و شخص می‌تواند درباره پاسخگویی اطلاعاتش ادعا کند.

 

تجارت نیوز

مطالب مرتبط