شرکت به‌پرداخت ملت (شرکت PSP بانک ملت) در اقدامی عجیب لیست بیش از 750نفر از سایت‌هایی که درگاه پرداخت آنلاین دارند را منتشر کرد. همه این اتفاقات به خاطر اطلاع رسانی از خدمت جدید به‌پرداخت بود. این شرکت چند روز قبل از این اتفاق، شرکت به پرداخت از طریق پیامک اعلام کرده بود که تغییراتی در سیستم پرداخت آنلاین انجام داده است که در روز‌های آتی اطلاعات کامل‌تر را ارسال خواهد کرد.

درست چند روز بعد از این اطلاعیه، ایمیلی به دست دارندگان درگاه پرداخت اینترنتی بانک ملت رسید که در متن آن آمده بود:

پذیرنده گرامی با سلام و احترام به استحضار میرساند شرکت به پرداخت ملت امکان ذخیره شماره کارت و تاریخ انقضای کارت را به درگاه پرداخت اینترنتی خود افزوده است . ضمنا مستندات مربوطه (11صفحه) به پیوست ارائه میگردد. با سپاس فراوان

اما پیوست این ایمیل علاوه بر مستندات، یک فایل اکسل بود که اطلاعات 776نفر از مشتریان را شامل می‌شد. البته بدترین قسمت ماجرا این بود که دوباره ایمیلی از طرف به‌پرداخت ارسال شد که متن آن به شرح زیر بود:

پذیرنده گرامی با سلام احترام به استحضار می‌رساند، فایل اکسل ارسالی ضمیمه ایمیل قبلی به اشتباه ارسال شده است. لذا خواهشمند است ضمن نادیده گرفتن و عدم انتشار، نسبت به حذف آن اقدام فرمایید.


محتوای فایل اکسل به‌پرداخت

در چند روز گذشته موضوع لو رفتن اطلاعات به‌پرداخت ملت باعث شده تا برخی افراد اقدام به سودجویی و پخش اطلاعات نادرست کنند. به عنوان مثال میزان درآمد روزانه یک سایت خاص را اعلام کردند و منبع را فایل ارسال شده توسط بانک ملیت اعلام کرده‌اند. بنابراین قصد دارم اطلاعات این فایل را به شما اعلام کنم.

یکی از وب‌سایت‌هایی که اطلاعاتش در فایل اکسل قرار داشت، وب‌سایت rond.ir بود که توسط بنده مدیریت می‌شود. بنابراین برای مثال به سراغ اطلاعات درز کرده وب‌سایت Rond می‌رویم.

ستون اول = شماره ترمینال مربوط به به‌پرداخت

ستون دوم = مبلغی است که به نظر می‌رسد مربوط به مانده حساب یک دوره زمانی خاص است و به هیچ عنوان درآمد ماهانه یک وب‌سایت تلقی نمی‌شود. به عنوان مثال عددی که برای مجموعه Rond اعلام کرده است اصلا ارتباطی به درآمد ماهانه آن ندارد.

ستون سوم = 500 تراکنش موجود در فایل است که اصلا مفهوم آن‌را متوجه نشدم.

ستون چهارم = این ستون شامل یک نام‌خانوادگی است که ارتباطی با اطلاعات مشتری ندارد.

ستون پنجم = عنوان این ستون نتیجه تماس است. به نظر می‌رسد هدف از این ستون نوشتن نتیجه تماس با مدیر سایت بوده است.

ستون ششم = نام مشتری در این ستون قرار گرفته است. شرکت‌های حقوقی با نام شرکت و افراد حقیقی با نام و نام‌خانوادگی مشخص شده‌اند.

ستون هفتم = نام وب‌سایت به زبان فارسی در این ستون قرار دارد.

ستون هشتم = ایمیل ارتباط با وب‌سایت در این ستون قرار گرفته است.

ستون نهم = آدرس وب سایتی که درگاه اینترنتی بانک ملت را دارد.

ستون دهم = شماره تلفن ثابت سایت یا مدیریت سایت.

ستون یازدهم = شماره تلفن همراه مدیریت سایت.

ستون دوازدهم = این ستون به عنوان آخرین ستون این فایل مربوط به آدرس CallBack سایت‌ها می‌باشد.


تمام اطلاعات این فایل همین دوازده ستون است و هیچ اطلاعات دیگری در این فایل وجود ندارد. مهمترین نکته اما مبلغی است که در ستون دوم آمده است. موضوعی که به قطعیت می‌توان به آن اشاره کرد این عدد نشان دهنده درآمد یک سایت نیست و به احتمال زیاد این عدد مانده حساب باشد نه درآمد در یک بازه زمانی خاص.

اگر در جایی اطلاعاتی پخش شد و منبع آن فایل اکسل لو رفته به‌پرداخت بود، دقت کنید که با اطلاعات این دوازده ستون یکسان باشد. همچنین به هیچ عنوان درآمد یک سایت در این فایل مشخص نیست.


ورود شاپرک به موضوع

شاپرک که یک نهاد حاکمیتی و رابط میان بانک مرکزی، شبکه بانکی و شرکت‌های PSP است با ورود به ماجرا قصد آرام کردن فضای ناامن را داشت. به همین منظور شاپرک در بیانیه‌ای اعلام کرد:

اتقال پیش آمده توسط کارشناسان این مرکز در حال بررسی است و گزارش کامل آن پس از تکمیل به بانک مرکز ارائه خواهد شد. بعد از این رخداد تیم نظارت و امنیت شاپرک با حضور در محل شرکت به‌پرداخت ملت، این اتفاق را بررسی و شرکت به‌پرداخت موظف شد گزارشی را ظرف 24ساعت آینده به این مرکز ارائه نماید. 


بربادرفته

شرکت به‌پرداخت ملت علاوه بر اعتباری که نزد مردم و مشتریان خود از دست داده، نشان داده که در سازمان خود به عنوان زیرمجموعه یکی از بزرگترین بانک‌های کشور نیز مشکلات پیچیده‌ای دارد. اینکه این ایمیل اطلاع رسانی توسط چه فردی یا بخشی از شرکت ارسال شده که به اطلاعات مشتریان بدون رعایت سلسله مراتب دسترسی داشته و چه اطلاعات حساس و مهم دیگری در اختیار این افراد یا بخش‌ها قرار داد نکته‌ای است که باید مسئولان پاسخگوی آن باشند.

فرض کنید اطلاعات مالی یکسال درگاه بانکی یک وب‌سایت منتشر شود یا لیست شماره مدیران وب‌سایت‌ها پخش شود. وب‌سایت‌هایی که در این فایل اکسل اطلاعات‌شان منتشر شده، از امروز شاهد پیام‌ها و تماس‌های تبلیغاتی بیشماری خواهند بود و این فقط کوچکترین ضربه‌ای است که به آنها وارد شده. اگر این اطلاعات بیشتر و حساس‌تر بود قطعا این فاجعه جبران ناپذیر بود.