افشا اطلاعات مشتریان بانک مین استریت آمریکا

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، در اسنادی که روز جمعه بعدازظهر به کمیسیون بورس و اوراق بهادار ایالات متحده (SEC) ارائه شد، شرکت مادر این بانک، مین استریت بنکشیرز (MainStreet Bancshares)، اعلام کرد که در ماه مارس مطلع شده فروشنده مورد نظر دچار نفوذ امنیتی شده است.

این شرکت بیان کرد:

اگرچه هر فروشنده‌ای پیش از همکاری، فرایند بررسی امنیتی دقیقی را پشت سر می‌گذارد، اما ما به‌سرعت تمام فعالیت‌ها با این ارائه‌دهنده را متوقف کردیم. بررسی دامنه این حادثه در اواخر آوریل به پایان رسید.

این بانک در پاسخ به سوالاتی در مورد تعداد مشتریان آسیب‌دیده و نوع اطلاعات افشاشده، اظهارنظری نکرد.

این بانک واقع در فرفکس، دارای ۵۵ هزار دستگاه خودپرداز و شعبه در ایالت ویرجینیا و منطقه واشنگتن دی‌سی است.

نتیجه تحقیقات نشان داده که سیستم‌های داخلی بانک مین استریت (MainStreet) دچار نفوذ نشده‌اند و هیچ تراکنش غیرمجازی صورت نگرفته است.

همچنین شواهدی از سرقت پول از حساب‌ها یافت نشد و مشتریان همچنان قادر به انجام تراکنش‌های خود بوده‌اند.

بانک مین استریت اعلام کرد که مقامات ناظر را در جریان این حادثه قرار داده و مشتریان را در تاریخ ۲۶ می مطلع ساخته است.

همچنین، این شرکت سامانه‌هایی برای نظارت بر فعالیت‌های مشکوک راه‌اندازی کرده و ابزارهایی برای کنترل آن‌ها در اختیار مشتریان آسیب‌دیده قرار داده است.

بر اساس این گزارش، این حادثه تأثیر مهمی بر عملکرد عملیاتی شرکت نداشته است.

بانک مین استریت در سه‌ماهه گذشته سپرده‌هایی به ارزش تقریبی ۱.۹ میلیارد دلار و درآمد خالص ۲.۵ میلیون دلار گزارش داده است.

در سال ۲۰۲۴، این شرکت زیانی معادل ۹.۹۸ میلیون دلار ثبت کرده بود.

انتشار این پرونده تنها چند روز پس از آن صورت گرفت که پنج انجمن بزرگ بانکی در نامه‌ای به کمیسیون بورس و اوراق بهادار ایالات متحده خواستار لغو قانون افشای حوادث سایبری شدند؛ قانونی که بانک‌ها را ملزم می‌کند تا حملات سایبری را گزارش دهند.

این قانون که از سال گذشته اجرایی شده، بارها مورد انتقاد اعضای کنگره و بانک‌ها قرار گرفته است.

منتقدان می‌گویند که این قانون، ریسک، هزینه و پیچیدگی بیشتری را به شرکت‌های تحت نظارت کمیسیون بورس و اوراق بهادار ایالات متحده تحمیل می‌کند و برخلاف مأموریت این کمیسیون در تسهیل تأمین سرمایه است، ضمن اینکه اطلاعات مفیدی برای تصمیم‌گیری سرمایه‌گذاران نیز فراهم نمی‌کند.

در این نامه آمده که نگرانی‌های اولیه صنعت مالی اکنون به واقعیت پیوسته‌اند.

شرکت‌ها مجبور شده‌اند حتی زمانی که حادثه هنوز در جریان است، تحقیقات کامل نشده و هیچ راه‌حلی برای آن اجرا نشده، اطلاعات آن را به‌صورت عمومی افشا کنند.

آن‌ها افزودند:

این افشای زودهنگام به شرکت‌ها آسیب زده، در حالی‌که نتوانسته اطلاعات معنادار و قابل‌اقدامی را در اختیار بازار قرار دهد.

در این نامه اشاره شده که با وجود تلاش‌های مکرر اف بی آی (FBI)، وزارت دادگستری و کمیسیون بورس و اوراق بهادار ایالات متحده برای شفاف‌سازی قانون، هنوز هم بانک‌ها و شرکت‌های تحت نظارت این کمیسیون نمی‌دانند دقیقاً چه زمانی باید حوادث را گزارش کنند.

بانک‌ها مدعی شدند که هکرها از این الزامات برای اعمال فشار بیشتر سوءاستفاده کرده‌اند و آن را به عنوان اهرم باج‌گیری بیشتر استفاده کرده‌اند؛ از جمله در ماجرای باج‌افزار ای ال پی اچ وی (AlphV) در سال ۲۰۲۳ که شرکت نرم‌افزار مالی مریدیان لینک (MeridianLink) را هدف قرار داد.

به گفته آن‌ها، در چند مورد دیگر نیز هکرها هنگام تهدید و باج‌خواهی به همین قانون استناد کرده‌اند.

آن‌ها اظهار کردند:

الزام به افشای حادثه به ابزاری برای باج‌گیری مجرمان سایبری تبدیل شده و شرکت‌های افشاکننده را در معرض تهدیدات امنیتی بیشتر قرار داده است. بخش مالی پیش از این نیز باید به بیش از ۱۰ الزام محرمانه گزارش‌دهی حادثه پایبند باشد.

یکی از بزرگ‌ترین چالش‌ها، موضوع تأثیرگذار بودن حادثه بر وضعیت مالی شرکت است که همچنان موجب سردرگمی شده است.

از میان ۳۲ پرونده‌ای که تاکنون ثبت شده، تنها ۹ مورد در گزارش اولیه خود تأثیر مالی مهم را ذکر کرده‌اند، و فقط دو مورد دیگر این موضوع را در گزارش‌های اصلاح‌شده بعدی درج کرده‌اند.

در پایان نامه آمده است:

به جای ایجاد شفافیت، استفاده ناهماهنگ از این مقررات باعث ایجاد سردرگمی در بازار شده و هدف افشای استاندارد و مفید برای تصمیم‌گیری را تضعیف می‌کند.