تاریخ انتشار :سه شنبه ۲۹ فروردین ۹۱.::. ساعت : ۱۲:۰۵ ق.ظ

   569 بازدید

ادعاي اين فرد ‌ داراي تناقض‌هاي بيشماري است

به گزارش جوان به نقل از روزنامه جوان، ديروز برخي از سايت‌هاي خبري از هك شدن حساب ۳ ميليون نفر خبر دادند و گفتند كه هكر اين حساب‌ها سال گذشته به شبكه بانكي اخطار داده بود.

يكي از مسؤولان بانكي در گفت‌وگو با «جوان» گفت: داستان اين است كه يك فرد در وبلاگ شخصي خود تعدادي از شماره كارت‌هاي چند بانك را منتشر و مدعي شده كه با هك شبكه بانكي موفق شده شماره كارت و رمز دارندگان اين حساب‌ها را به دست آورد. ‌

اما براساس اطلاعات به دست آمده مشخص شده كه ادعاي اين فرد ‌ داراي تناقض‌هاي بيشماري است كه در اين نوشتار به چند تناقض اشاره مي‌كنيم:

نخست: اگر وي مدعي است كه موفق به كسب رمز عبور و اينترنتي حساب ۳ ميليون نفر شده است چرا در اين مدت هيچ اقدامي در برداشت از حساب‌ها نكرده تا بنا به حرف خود مشكلات مالي اش در خارج از كشور را برطرف كند!

دوم: وي اشاره‌اي به سوابق خود و نحوه دسترسي به شماره كارت‌هاي بانكي نكرده است. او چند سال پيش دريكي از شركت‌هاي psp كه مرتبط با فعاليت‌هاي نرم‌افزاري بانكي مي‌شود، مشغول به كار بوده كه در نهايت از اين شركت كناره‌گيري مي‌كند. وي با توجه به حضورش در اين شركت توانسته اطلاعات شماره كارت بانكي برخي از مشتريان را به دست آورد. او پس از خروج از شركت سعي در اخاذي مي‌كند كه باز هم در اين كار شكست خورده و راه ديگري را برمي‌گزيند.

سوم:اگر سخنان وي درست است مي‌توانست براي اثبات ادعاي خود رمز عبور و اينترنتي حداقل نيمي از اين حساب‌ها را نيز در وبلاگ خود منتشر كند تا ادعاي خود را ثابت مي‌كرد، اما او در اين مورد نيز شكست خورده است.

چهارم: اگر او مدعي است كه حق و حقوق خود را بابت نرم افزاري دريافت نكرده چرا بايد اقدام به اخاذي ‌ از مشتريان كند؟

پنجم: چرا وي مدعي است كه فاقد امنيت جاني و مالي است؟اين حرف نشان مي‌دهد كه وي از انتشار برخي شماره كارت‌هاي بانكي هدف خاصي را دنبال مي‌كند و تنها براي كسب وجهه و زندگي در كشور ديگري است.

نگران نباشید
با اين حال بانك مركزي در كاهش جو رواني در اين موضوع كمي دير وارد قضيه شده است. بانك مركزي مي‌توانست اسير اين خبر وبلاگي نشود و با اطلاع‌رساني زودتر شايعه را خنثي كند، اما متأسفانه بانك مركزي در اقدامي عجولانه و در ساعات پاياني روز شنبه اطلاعيه‌اي صادر كرده و خواهان تغيير رمز عبور از سوي مشتريان بانك‌ها شده است. همين موضوع نيز براي فرد مورد نظر فرصت جذابي را ايجاد كرد تا بيشترين نفع شخصي را ببرد.

از سوي ديگر بانك مركزي بايد در امنيت شركت‌هاي همكار خود از جمله شركت مدعي فرد منتشر كننده برخي شماره كارت‌هاي بانكي بازنگري و ميزان حساسيت و سختگيري خود را افزايش دهد. آنچنان كه خبرگزاري مهر مدعي شده اين شركت در سال ۸۳ توانسته موافقت اصولی «ارائه خدمات پرداخت» از بانک مرکزی دریافت کند. در حال حاضر شرکت مذکور تنها شرکت خصوصی دارای مجوز پرداخت الکترونیک از بانک مرکزی است.

اما در همين باره مدیر نظام‌های پرداخت بانک مرکزی با كمي تأخير در نهايت براي كاستن از فشار رواني روي مشتريان بانك‌ها به فارس گفت: اطلاعات افشا شده از کارت‌های بانکی به هیچ وجه برای برداشت از حساب‌ها کافی نیست و تاکنون برداشت غیر مجازي از این حساب‌ها صورت نگرفته است. ناصر حکیمی افزود: چند روز قبل تیم پایش رسانه ای بانک مرکزی گزارشی ارائه داد مبنی بر اینکه فردی در وبلاگ خود ادعا کرده که اطلاعات مربوط به تعدادی از کارت‌های بانکی شهروندان را در اختیار دارد و پیرو این ادعا شماره برخی از این کارت‌ها را هم منتشر کرده بود.

وی ادامه داد: بلافاصله بعد از دریافت این گزارش و از آنجایی که صرف این ادعا هم یک تهدید بالقوه امنیتی به حساب می‌آمد، ما در قالب اطلاعیه‌ای از شهروندان خواستیم تا رمز‌های کارت‌های خود را تغییر دهند. این اقدام نیز از آن رو انجام گرفت که طبیعتاً بررسی‌ها زمان می‌برد و احتیاط حکم می‌کرد برای رفع تهدید منتظر نتایج بررسی‌ها نباشیم.

ناصر حكيمي گفت: با اتفاقي كه پيش آمده با شركتي كه اطلاعات مشتريان بانكي از آن درز كرده است قطع همكاري مي‌شود. همچنين هيچ برداشتي از حساب‌ها صورت نگرفته و اكنون امكان هيچ‌گونه سوء‌استفاده اينترنتي وجود ندارد.

مدیر نظام‌های پرداخت بانک مرکزی در مورد تعداد کارت‌هایی که اطلاعاتشان منتشر شده است، گفت: در وبلاگ ادعا شده بود اطلاعات حدود ۱/۵ درصد از کل کارت‌های بانکی را در اختیار دارد که با توجه به حدود ۱۶۰ میلیون کارت موجود این رقم حدود ۳ میلیون کارت می‌شد، البته بررسی‌های ما نشان داد که حدود یک سوم از اطلاعات منتشر شده مربوط به کارت‌هایی است که فعال نبوده‌اند یعنی یا تاریخ انقضای آنها گذشته بود یا به هر علتی مجاز به فعالیت نبودند.

وی افزود: از تعداد باقی مانده هم فرد مدعی برخی از اطلاعات را ساخته است و اصلاً چنین کارتی در سیستم بانکی وجود ندارد. با این وجود بررسی‌ها در مورد تعداد دقیق کارت‌ها ادامه دارد.

حکیمی تأکید کرد: به تمامی شهروندان اطمینان می‌دهیم که اطلاعات افشا شده به هیچ وجه برای برداشت از حساب‌ها کافی نیست، اطلاعات منتشر شده شامل شماره حک شده روی کارت و یک کد است که در واقع رمز کارت نیست بلکه رمز کارت در قالب این اعداد، کد‌گذاری شده است و قابل استفاده نیست.

وی ادامه داد: برای برداشت از حساب‌ها اولاً باید اصل کارت وجود داشته باشد، ثانیاً رمز کارت هم در اختیار باشد که در شرایط فعلی هیچ کدام از این دو در اختیار فرد مدعی نیست، بنا بر این امکان برداشت غیر مجاز از حساب‌ها وجود ندارد.

حکیمی در مورد خریدها و تراکنش‌های اینترنتی هم گفت: دارندگان حساب‌های اینترنتی استحضار دارند که انجام هر گونه تراکنشی در قالب این حساب‌ها مستلزم اطلاع از تاریخ انقضا و cvv۲ است که این دو مورد تنها روی کارت‌ها حک شده است و هیچ کجا در سیستم‌های بانکی ثبت نمی‌شود تا امکان درز یا هک آنها وجود داشته باشد، ضمن اینکه رمز دوم که برای خرید اینترنتی لازم است هم در اختیار فرد مدعی نیست.

مدیر اداره پرداخت‌های بانک مرکزی در مورد چگونگی این اتفاق هم گفت: این اتفاق به هیچ وجه هک نیست بلکه در اثر یک اشتباه نرم افزاری این اطلاعات از یکی از شرکت‌های خصوصی فعال در این حوزه درز پیدا کرده است.

وی ادامه داد: بخشی از اطلاعات کارت‌ها که برای رفع مغایرت‌ها در تراکنش‌ها برای مدتی در اختیار حسابداری‌های بانک‌ها و. . . قرار می‌گیرد باید بعد از مدت مشخصی پاک می‌شده اما سال گذشته در اواسط مرداد ماه مشخص شد که در پی یک اشتباه و اختلال نرم افزاری در یک مورد این اطلاعات پاک نشده و فردی هم در یک شرکت خصوصی با برداشت این اطلاعات در واقع اقدامی غیر قانونی انجام داده است.

وی در پاسخ به اینکه تا کنون گزارشی مبنی بر برداشت از حساب‌ها داشته‌اید، گفت: خیر، تمام کارت‌هایی که اطلاعاتشان منتشر شده بود بررسی شده است و مشخص شد که هیچ برداشت غیر‌مجازی از این حساب‌ها صورت نگرفته است با این حال اگر فردی احساس می‌کند چنین اتفاقی برای موجودی حسابش افتاده می‌تواند به بانکی که در آن حساب دارد مراجعه کند تا مسئله بررسی شود.

حکیمی افزود: در حال حاضر با هماهنگی‌های به عمل آمده با بانک‌ها، انجام هر تراکنشی توسط خودپردازها و دستگاه‌های خرید و سیستم‌های اینترنت بانک در صورتی قابل انجام است که ابتدا دارنده کارت و حساب نسبت به تغییر رمز خود اقدام کند و پس از تغییر رمز‌ها تمام تراکنش‌ها ممکن خواهد بود.

Print Friendly, PDF & Email
کدخبر : 2894




یک دیدگاه

  1. علی رضا کیارزم گفت:

    با سلام
    موضوع کاملا درست است
    به عنوان مثال شماره کارت من به همراه کلمه عبورم در لیست قرار داشت و درست هم بود.
    در خصوص مورد نخست: خیلی ها به این حفره امنیتی واقف هستند ولی دلیل ندارد که به حساب مردم دسبرد بزنند.
    در خصوص مورد دوم: پست ایشان تنها این امکان را می دهد که راحتر به این اطلاعات دستیابند برای یک هکر کافیست بداند این حفره وجود دارد می تواند از یک دستگاه کارت خوان تمام کلمات عبور کارت هایی که روی آن کشیده می شود را بردارد پس پست ایشان نمی تواند دلیل بر عدم وجود حفره امنیتی باشد.
    در خصوص مورد سوم: شماره کات و کلمه عبور آنرا درست منتشر کرده بود پس می تواند درست باشد در ضمن کار خوبی کرده که در یک عبارت قرار داده است (هر چند که اینکار هم از امنیت برخوردار نیست ولی بهتر از پیشنهاد شماست که کامل منتشر کند!)
    در خصوص مورد چهارم و اخاذی تا جایی که من می دانم اگر منظور بانکها باشد حق باشماست ولی ربطی به حفره امنیتی داشتن و نداشتن ندارد.

    در انتها به این موضوع اشاره کنم که برای شناسایی داشتن حفره امنیتی بهتر است از کارشناس آن پرسیده شود نه از یک کارشناس امور بانکی که از امنیت اطلاعی ندارد و بجای پرداختن به ادعای صورت گرفته از طریق عملی فلسفه بافی نماید.

    جهت اطلاع دوستان عرض می کنم این حفره امنیتی وجود دارد ولی دستیابی به اطلاعات مشتریان به این سادگی ها هم نیست مگر اینکه در این مدت زمان استاندارد PCIPED را اجرا کرده باشند که بعید میدانم.

دیدگاه خود را به ما بگویید.