به گزارش رصد روز ، ظاهرا ۲۲ اردیبهشت ماه اطلاعات مشتریان بهپرداخت ملت که وابسته به بانک ملت است، افشا شده و برای فروش و معامله با بیتکوین در اینترنت قرار گرفته است. بر اساس گزارش مهر اطلاعات این مشتریان که بیش از ۳۰ میلیون نفر بودهاند، شامل شماره مشتری، نام و نامخانوادگی، کد ملی، شماره شناسنامه، تاریخ تولد، شماره حساب، شهر و استان تولد، شهر و استان محل سکونت و شماره موبایل است.
بانک ملت در پاسخ به این ادعا در اطلاعیهای اعلام کرد که ابعاد این موضوع در حال بررسی است اما ماهان مهدوی امیری، مدیر امنیت بهپرداخت ملت به تجارتنیوز اعلام میکند: «بر اساس بررسیهایی که انجام شده تا به این لحظه هیچگونه شواهدی مبنی بر هک اطلاعات در دست نیست».
این مقام مسئول از هرگونه توضیح بیشتر در این زمینه خودداری میکند.
اطلاعات بیش از اندازه از مشتریان ایرانی دریافت میشود
در حالی که بانک ملت زیر بار شفافسازی دقیق ماجرا نمیرود، جریانسازی هک اطلاعات شبکه بانکی ایران مسبوق به سابقه است و اواخر سال ۹۷ هم اعلام شد که به دلیل بروز خطای انسانی اطلاعات تعدادی از کاربران بهپرداخت ملت لو رفته است. آن زمان هم اعلام شد که دادههای منتشر شده حاوی اطلاعات محرمانه مشتریان نبود و هیچ سو استفادهای از حساب بانکی آنان صورت نگرفته است.
میلاد نوری، کارشناس فناوری، در این باره به تجارتنیوز میگوید: امکان هک همه جای دنیا وجود دارد اما در تمام دنیا قانونگذاری و رگولاتوری انجام شده که هر کسب و کاری به اندازه نیازش مجاز به دریافت اطلاعات باشد. ما در ایران هنوز برای دسترسی به سطوح مختلف اطلاعات مشتری از سوی بخشهای خصوصی و غیرخصوصی، قانون مشخص نداریم.
او ادامه میدهد: در گام دوم باید نظارت باشد بر این که مرکزی که از مردم اطلاعات گرفته، از این اطلاعات چطور نگهداری میکند؟ گام سوم هم روش برخورد بعد از نشر احتمالی اطلاعات است.
به جای جبران خسارت شاکی میشوند!
به باور این کارشناس قانون ما آنقدر ضعیف است که حتی مجموعهای که نتوانسته از اطلاعات حفاظت کند به راحتی در جایگاه شاکی قرار میگیرد. این کارشناس میافزاید: بهپرداخت ملت دفعه قبل اعلام کرد افشای اطلاعات به دلیل خطای انسانی بوده در حالی که باید به طور روشن مشخص میشد چه افرادی به اطلاعات مشتریان دسترسی دارند؟ اگر از طریق کوتاهی یک کارمند اطلاعات افشا شده از کجا معلوم که این مشکل حل شده باشد؟ وقتی با این مشکل نه قانون برخورد کرده، نه سازمان آسیبشناسی کرده، پس طبیعتا در جهت رفع آن هم اقدامی نشده.
نوری ادامه میدهد: وقتی بانک ملت این موضوع را حتی تایید هم نمیکند چطور قرار است باگ امنیتی خود را حل کند و این آسودگی را به مشتریانش بدهد که این اتفاق دیگر نمیافتد؟ درحالی که وقتی نقصی پذیرفته شود پای کارشناسان بیشتری برای رفع نقص به ماجرا باز میشود و جلوی تکرار آن گرفته میشود.
آنطور که این کارشناس میگوید در حال حاضر این آگاهی باید به مردم داده شود که چه نوع اطلاعاتی از کاربران منتشر شده؟ چون خود مجموعه وظیفه دارد مشتریانش را آگاه کند که حجم اطلاعات از دست رفته چقدر بوده و چه آسیبی ممکن است به کاربر وارد شود.
او در نهایت این سوال را مطرح میکند: افشای اطلاعات از سمت بانک ملت نبوده بلکه از سمت بهپرداخت ملت بوده. بانکها لایههای امنیتی بیشتری دارند و دسترسی به اطلاعات آنها راحت نیست. حالا یکی از انتقادات این است که اصلا چرا این اطلاعات باید در دست بهپرداخت باشد؟ اطلاعات پذیرنده طبیعی است که در دست بهپرداخت باشد اما این اطلاعات نه.
نوری میگوید: طبق اطلاعات غیررسمی سامانهای وجود داشته و اطلاعات از طریق آن منتشر شده که البته خارج از بهپرداخت است. برخی کارشناسان حقوقی دسترسی بهپرداخت به این سامانه ملت را غیر قانونی میدانند.
امکان شکایت برای کاربران وجود دارد
محمدجعفر نعناکار، وکیل پایه یک دادگستری و عضو هیئت مدیره فناوتک، درباره حق دسترسی بهپرداخت به اطلاعات کاربران عنوان میکند: « معمولا هنگام افتتاح حساب از صاحب حساب وکالت و مجوز این را میگیرند که اطلاعات کاربر را با شرکای تجاری که شرکتهای زیر مجموعهشان است به اشتراک بگذارند.
با این حال پروتکلهایی که سازمان های مالی بینالمللی اعلام میکنند میگوید که اطلاعات باید در دسترسی حداقلی باشد. این یعنی جایی مثل بهپرداخت باید اطلاعاتش را به صورت مجموعه اطلاعاتی بگیرد نه این که مستقیما به تمام دادهها دسترسی داشته باشد. دسترسی بهپرداخت ملت به کل دادهها منطقی نیست. البته هنوز معلوم نیست انتشار اطلاعات دقیقا از سمت بهپرداخت بوده یا خود بانک ملت. این موارد باید اطلاعرسانی و بررسی شود».
او میگوید: «طبق قانون تجارتالکترونیکی و مسئولیت مدنی در صورتی که اطلاعات حفاظت شده منتشر شود مسبب باید جبران خسارت کند. این یعنی هر کسی اطلاعاتش فاش شده میتواند در دادگستری دادخواست بدهد و طلب خسارت کند. اگر مردم این کار را نکنند در مواردی شبیه این که پای اطلاعات ۳۳ میلیون نفر در میان است. مدعیالعموم میتواند طبق قانون وارد شود و صاحب پلتفرم را در محکمه بخواهد. در نهایت اگر ثابت شود طبق قانون مسئولیت مدنی باید جبران خسارت مادی و معنوی شود، طبق قانون تجارت الکترونیک هم زندان و جرائم مالی را مشمول میشود».
او درباره پاسخگو نبودن ملت درباره این موضوع هم معتقد است که وقتی بانک پاسخگو نیست برای مردم امکان مراجعه به محکمه قضایی وجود دارد و شخص میتواند درباره پاسخگویی اطلاعاتش ادعا کند.