اولین درز اطلاعاتی سال جدید؛ هک بیرونی یا نشت داخلی؟

به گزارش پیوست، موضوع نشت داده مشتریان بانک سپه، دو سناریو را مطرح می‌کند؛ اینکه هکرها واقعا به پایگاه داده بانک نفوذ کرده‌اند، یا این اطلاعات به نوعی، عمدی یا سهوی به بیرون درز کرده است. مسئله اینجاست که حتی اگر هک مستقیمی در کار نباشد، نشت چنین داده‌هایی نشان‌دهنده ضعف بزرگ در حفاظت از اطلاعات مشتریان است.

گروه هکری Codebreakers ادعا می‌کند با نفوذ به سرورهای بانک سپه، به ۱۲ ترابایت داده از ۴۲ میلیون مشتری دست یافته است. اما بانک سپه با تکیه بر اظهارات رسمی، هرگونه نفوذ را رد می‌کند. اگر هک صورت نگرفته، چگونه این حجم از اطلاعات دقیق و طبقه‌بندی‌شده در اختیار هکرها قرار گرفته است؟

تجربه گذشته نشان داده که بسیاری از نشت‌های اطلاعاتی بانک‌ها نه از طریق هک، بلکه به دلیل سهل‌انگاری کارکنان یا سو استفاده داخلی رخ می‌دهد.کارشناسان حوزه امنیت سایبری می‌گویند دسترسی بیش از حد برخی کارمندان به داده‌های حساس، نبود سیستم‌های نظارتی قوی و حتی فروش اطلاعات توسط پیمانکاران طرف قرارداد بانک‌ها می‌تواند منشا این رخداد باشد.

بانک سپه پاسخ رسمی نداده است

در یک دهه اخیر سالانه تعداد زیادی هک و حملات سایبری برای سامانه‌های بانکی و غیربانکی اتفاق افتاده است و در سال جدید اولین نشت اطلاعات مشتریان بانک سپه توسط هکرها انجام شد. این گروه هکری نمونه حساب‌ها، تسهیلات، اینترنت بانک، موبایل بانک و سایر اطلاعات مشتریان را از طریق لینکی در کانال تلگرامی خود منتشر کرد. Codebreakers گفت که اطلاعاتی از مشتریان بانک سپه مانند نام و نام خانوادگی، کد ملی، نام پدر، تاریخ تولد، محل تولد، شماره شناسنامه، تلفن همراه، شماره حساب، گردش حساب‌ و بسیاری از موارد دیگر را دارد.

در بیانیه‌ای که این گروه هکری در کانال تلگرامی خود منتشر کرده گفته شده است؛ «زیرساخت‌های امنیتی‌تان در Penetration Testing باگ‌های زیادی داشتند، ما با یه اکسپلویت زیرپوستی از نوع Zero-Day وارد زیرساخت‌های اطلاعاتی‌تان شده‌ایم که حتی آخرین وصله‌های امنیتی شما هم نتوانستند آن را شناسایی کنند. دیوارهای فایروالتون را با یک Attack SQL Injection تمیز دور زدیم، دیتابیس‌های رمزنگاری‌شده‌تان را با یک حمله Brute-Force کوانتومی باز کرده‌ایم، بعد با Escalation به سطح ادمین دسترسی پیدا کرده‌ایم و با Side-Channel Attacks کلیدهای شما را استخراج کردیم.»

همچنین گفته شد «در خیلی جاها رمزهای ضعیف و تکراری سیستم‌هایتان مثل ‘Password-123’ , ‘User-Sepah’ ما را به خنده انداخت.»

همچنین آنها مدعی شده‌اند که اطلاعات کامل مالی، تسهیلات، هویت و سکونت اشخاص و سازمان‌های نظامی در دسترس آنها است. آنها در کانال تلگرامی خود اعلام کردند با توجه به پاسخگو نبودن مسئولان بانک و مهم نبودن امنیت مشتریان برای بانک به زودی در کانال تلگرامی خود اطلاعات کامل ۲۰ هزار مشتری حقیقی و حقوقی این بانک منتشر می‌شود. هکرها ۷۲ ساعت به بانک سپه فرصت داده بودند که برای جلوگیری از فروش اطلاعات وارد مذاکره شوند اما این موضوع نتیجه‌ای نداشت. این گروه مدعی شده بیش از ۱۲ ترابایت داده از اطلاعات ۴۲ میلیون مشتری بانک سپه را از سال ۱۳۰۴ تا ۱۴۰۴ در اختیار دارد.

البته در این خصوص رضا همدانچی، رئیس اداره کل روابط‌عمومی بانک سپه گفت که این ادعا از اساس کذب است و سیستم‌های بانک سپه غیرقابل هک و نفوذ هستند. او تاکید کرد که این ادعاهای کذب با هدف تشویش اذهان عمومی صورت می‌گیرد و مشتریان بانک سپه از این نظر خیالشان راحت باشد، چون این ادعا از اساس کذب محض است.

بعدتر در اطلاعیه بانک سپه از همه همکاران رسانه‌ای خواسته شده است تا از انتشار، تحلیل یا دامن‌زدن به این موضوع، تا زمان روشن‌ شدن ابعاد دقیق آن، اکیدا خودداری شود. در این اطلاعیه هرگونه اقدام رسانه‌ای، تحلیلی یا تبیینی خارج از مسیر اداره کل روابط‌عمومی این بانک، فاقد اعتبار دانسته شده است.

نتیجه این موضوع تا الان مشخص نشده است که آیا واقعا هکی صورت گرفته است یا اطلاعات مشتریان به طریق دیگری منتشر شده است. از طرفی بانک سپه تا الان هیچ واکنش رسمی و مشخصی نسبت به این موضوع نشان نداده است.

آنچه پشت سر گذاشته‌ایم

در یک دهه اخیر، سیستم‌های بانکی ایران بارها هدف حملات سایبری قرار گرفته‌اند. شهریور ۱۴۰۱ بود که موج حملات سایبری گروه Anonymous به بانک مرکزی ایران رسید. در آخرین اطلاعیه‌ای که این گروه هکری در اکانت توییتر خود منتشر کرده بود، اعلام شد سایت بانک مرکزی ایران هدف حمله این گروه قرار گرفته و از دسترس خارج شده است.

فروردین سال ۱۳۹۱ بود که خبرگزاری دانشجو اعلام کرد که علاوه بر اطلاعیه بانک مرکزی، بانک‌های ملت، کارآفرین، اقتصاد نوین، سامان و برخی دیگر از بانک‌ها پیامک‌هایی را به مشتریان ارسال و یا اطلاعیه‌هایی را منتشر کرده‌اند که مشتریان رمز کارت‌‌هایشان را تغییر دهند. در آن زمان مطرح شد اطلاعات بانکی از شرکت الکترونیکی “ف. ا” به بیرون درز پیدا کرده است. ماجرا این گونه روایت شده است که در پی اخراج یکی از مدیران این شرکت به دلیل اختلاف با مدیریت، این مدیر، اطلاعات بانکی را افشا کرده است تا نشان دهد در این شرکت امنیت اطلاعات وجود ندارد و روابط ناصحیح در بخش نظارتی سیستم بانکی وجود داشته است. در پی این ماجرا، اطلاعات بانکی ۱۰ بانک کشور لو رفته است.

مهر ۱۴۰۱ نیز گروه انانیموس اعلام کرد بانک ملی ایران را هک کرده‌ است؛ این گروه مدعی شده بود علاوه بر بانک ملی، وب‌سایت پزشکی قانونی را هک کرده که درز ۱۰۰ مگابایت داده را به همراه داشته است. البته مرکز ملی فضای مجازی در اطلاعیه‌ای هک شدن سایت‌های مختلف و مراکز دولتی را تکذیب کرده است.

یکی دیگر از این جملات در اردیبهشت ماه سال ۱۴۰۰ رخ داد که مسئولان نسبت به این موضوع هم پاسخ‌گو نبودند. خبرگزاری مهر اعلام کرده بود که  اطلاعات ۳۰ میلیون مشتری بانک ملت لو رفته بود. این چندمین بار بود که نشت اطلاعات در بانک ملت رقم می‌خورد، اواخر سال ۹۷ نیز به دلیل خطای انسانی اطلاعات تعدادی از کاربران به پرداخت ملت درز کرد. در آن زمان نیز اعلام شد که اطلاعات درز کرده حاوی اطلاعات محرمانه نیست و هیچ آسیبی به حساب‌های بانکی افراد وارد نشده است.

تابستان ۱۴۰۳ نیز از نفوذی به تعدادی از بانک‌های کشور صورت گرفت که البته در نهایت داده‌ای از سوی حمله کنندگان منتشر نشد.

سال ۱۳۹۸ نیز خبر نشت اطلاعات ۵ بانک دولتی منتشر شد که نام بانک ملت نیز در میان آن بانک‌ها قرار داشت؛ البته آن زمان این خبر از سوی این بانک‌ها تکذیب شد؛ اما وزیر ارتباطات اعلام کرد که اطلاعات این بانک‌ها هک نشده بلکه پیمانکار این بانک‌ها باج‌خواهی کرده است.

طبق گفته متخصصان امنیت زیرساخت یکی از دلایل هک‌های شبکه و بانکی ضعف در زیرساخت‌های امنیتی است. بررسی‌ها نشان می‌دهد بسیاری از بانک‌های ایران از سیستم‌های قدیمی استفاده می‌کنند که در برابر حملات جدید آسیب‌پذیرند. اما در کنار این موضوع، نبود آموزش امنیتی به کارمندان باعث هک‌ می‌شود و بسیاری از نفوذها از طریق فیشینگ یا خطای انسانی رخ می‌دهد.