VPBank و 9Pay درباره حادثه امنیت سایبری که در CIC رخ داد چه می‌گویند؟

VPBank و 9Pay هر دو پس از یک حادثه امنیت سایبری در مرکز اطلاعات اعتباری ملی ویتنام (CIC) برای اطمینان خاطر مشتریان صحبت کرده‌اند. این دو واحد تأیید کردند که سیستم امنیتی ایمن است، هیچ اطلاعات حساسی به اشتراک گذاشته نمی‌شود و مشتریان مستقیماً تحت تأثیر این حادثه قرار نمی‌گیرند.

VietnamPlus•12/09/2025

بعدازظهر ۱۲ سپتامبر، بانک تجاری سهامی خاص ویتنام ( VPBank ) اطلاعیه‌ای در مورد یک حادثه امنیت سایبری که در مرکز اطلاعات اعتباری ملی ویتنام (CIC) رخ داده بود، صادر کرد.

پیش از این، مرکز واکنش اضطراری سایبری ویتنام (VNCERT) نتایج اولیه‌ای را اعلام کرده بود که نشانه‌هایی از نقض اطلاعات شخصی را نشان می‌داد.

طبق گفته VPBank، گزارش داده‌ها به CIC توسط بانک‌ها، از جمله VPBank، مطابق با مقررات بانک ایالتی انجام می‌شود. این بانک تأیید کرد که برخی از اطلاعات مهم مشتری به سیستم CIC ارسال نمی‌شود، بلکه در VPBank محرمانه نگه داشته می‌شود.

این داده‌ها شامل اطلاعات ورود به سیستم بانکداری الکترونیکی (نام کاربری، رمز عبور، داده‌های بیومتریک)؛ اطلاعات کارت بدهی و اعتباری (شماره کارت، کد CVV/CCC) می‌شود.

در اطلاعیه VPBank آمده است که سیستم بانکداری الکترونیکی این بانک مطابق با استانداردهای امنیتی بین‌المللی مانند ISO 27001 و PCI DSS است. تراکنش‌ها از طریق لایه‌های چندگانه، از جمله احراز هویت بیومتریک، OTP و SmartOTP محافظت می‌شوند.

طبق گفته VPBank، کدهای OTP/SmartOTP داده‌های یک‌بار مصرف هستند، ذخیره نمی‌شوند و فقط در صورتی که مشتری مستقیماً آنها را به اشتراک بگذارد یا دستگاه در اختیار کسی قرار گیرد، قابل افشا هستند.

در حال حاضر، وزارت امنیت سایبری و پیشگیری از جرایم فناوری پیشرفته (A05) به همراه واحدهای عملیاتی بانک دولتی و شرکت‌های امنیت سایبری در حال هماهنگی برای به‌کارگیری اقدامات فنی و حرفه‌ای برای پاسخگویی، تأیید و تضمین ایمنی سیستم هستند.

VPBank به مشتریان توصیه می‌کند که اطلاعات را از منابع رسمی دنبال کنند، از وحشت پرهیز کنند و نسبت به کلاهبرداری‌هایی که از این حادثه سوءاستفاده می‌کنند، هوشیار باشند. این بانک تأکید می‌کند که مجرمان نمی‌توانند مستقیماً دارایی‌ها را از این حادثه تصاحب کنند، اما می‌توانند از این اطلاعات برای انتشار بدافزار و ایجاد سناریوهای جعلی استفاده کنند.

بنابراین، مشتریان نباید برنامه‌ها را از منابع غیررسمی نصب کنند و به هیچ وجه کدهای OTP/SmartOTP را در اختیار هیچ‌کس، از جمله افرادی که ادعا می‌کنند کارمند بانک هستند، قرار ندهند.

همچنین در رابطه با این حادثه، شرکت 9Pay نیز تأیید کرد که هیچ داده‌ای از 9Pay و مشتریان 9Pay را به CIC به اشتراک نگذاشته یا منتقل نکرده است. بنابراین، تمام اطلاعات شخصی، اطلاعات کارت و داده‌های تراکنش مشتریانی که از خدمات 9Pay استفاده می‌کنند تحت تأثیر حادثه فوق قرار نگرفته است.

این واحد تأیید کرد که سیستم 9Pay اقدامات امنیتی سختگیرانه‌ای را اعمال کرده است، از جمله: رعایت همیشگی قوانین حفاظت از داده‌های اطلاعاتی و داشتن استانداردهای PCI DSS برای تضمین امنیت اطلاعات کارت طبق مقررات بانک دولتی؛ رمزگذاری تمام اطلاعات پرداخت و شناسایی شخصی؛ فرآیند ارزیابی و بررسی دوره‌ای سه ماهه؛ ارزیابی مستقل سالانه توسط سازمان‌های بین‌المللی.

به طور خاص، به 9Pay گواهینامه PCI DSS سطح 1 اعطا شده است - بالاترین و سختگیرانه‌ترین سطح استاندارد امنیت داده‌های صنعت کارت پرداخت، که تضمین می‌کند تمام تراکنش‌های انجام شده از طریق درگاه پرداخت 9Pay با استانداردهای امنیتی بین‌المللی مطابقت دارند. 9Pay به عنوان یک فین‌تک متخصص در پلتفرم‌های پرداخت دیجیتال، هر روز به صدها هزار مشتری و تراکنش خدمات ارائه می‌دهد. 9Pay با آگاهی از اهمیت امنیت داده‌های پرداخت، همیشه به طور پیشگیرانه تمام فعالیت‌های ذخیره‌سازی، انتقال، محافظت و استفاده از داده‌های شخصی را در طول فرآیند بهره‌برداری از محصولات و خدمات بررسی می‌کند./.

در ۱۲ سپتامبر، بانک دولتی ویتنام اطلاع داد که این آژانس گزارشی از مرکز اطلاعات اعتباری ویتنام (CIC) در مورد حادثه‌ای مربوط به اطلاعات اعتباری در CIC دریافت کرده است.

بانک مرکزی فوراً به CIC دستور داد تا فوراً گزارش دهد و با سازمان‌های ذیصلاح دولتی برای تأیید و رسیدگی به موضوع، هماهنگی‌های لازم را انجام دهد، ضمن اینکه از عملکرد مداوم و روان CIC اطمینان حاصل کند.

منبع: https://www.vietnamplus.vn/vpbank-9pay-noi-gi-ve-su-co-an-ninh-mang-xay-ra-tai-cic-post1061509.vnp