پولی از کارت‌ها برداشت نشده است

به گزارش خبرنگار جام‌جم، دو روز پیش در فضای مجازی خبری منتشر شد مبنی بر این‌که یک وبلاگ، اطلاعات کارت بانکی و رمز عابربانک حدود سه میلیون نفر را منتشر کرده است. این خبر ابتدا جدی گرفته نشد تا این که برخی بانک‌ها با ارسال پیامک‌هایی به مشتریان خود از آنها خواستند بلافاصله رمز کارت خود را عوض کنند.

همچنین استفاده از برخی کارت‌های بانکی مسدود شد. کمی پس از آن بانک مرکزی نیز در اطلاعیه‌ای با تایید تلویحی این ماجرا از همه شهروندان خواست رمز کارت بانکی خود را عوض کنند.

دیروز که این اطلاعیه منتشر شد موجی از نگرانی و پرسش افکار عمومی را فراگرفت و این پرسش‌ها با مراجعه شهروندان به دستگاه‌های خودپرداز ومشاهده مسدود بودن برخی کارت‌ها تشدید شد.

در چند روز گذشته یک وبلاگ بی‌نام و نشان راه‌اندازی شد که مدعی شده بود یکی از شرکت‌های فروشنده دستگاه‌های کارتخوان فروشگاهی یا همان POS بدون در نظر گرفتن مراتب امنیتی تعداد زیادی دستگاه به سیستم بانکی کشور فروخته است که توسط بسیاری از بانک‌ها در حال استفاده است و این یک خطر بالقوه برای مردم است.

چند روز بعد اطلاعات تکمیلی دیگری درباره قصد و نظر نویسنده وبلاگ منتشر شد که گفته بود به دلیل اختلاف مالی با آن شرکت و عدم عمل آن شرکت به تعهداتش قصد افشای یک اشکال امنیتی سیستم بانکی درباره کارت‌های بانکی دارد.

در نهایت این اطلاعات در قالب حدود سه میلیون شماره کارت بانکی به همراه رمز آن انتشار یافت و شامل تمام بانک‌های خصوصی و دولتی کشور می‌شد که از سیستم شتاب استفاده می‌کنند البته رمز آنها در قالب یک عدد 16 رقمی پنهان شده بود تا فقط صاحب حساب بتواند تشخیص دهد این اطلاعات صحیح است یا خیر.

تلاش خبرنگار ما برای برقراری تماس با منتشرکننده اطلاعات از طریق پست الکترونیک تا زمان نگارش گزارش بی‌نتیجه ماند.

با این حال موضوع تا اینجا نیز می‌توانست یک شایعه بی‌اساس باشد که حتی ارزش خواندن هم نداشت، چه رسد به پیگیری و نگارش، اما وقتی شنیده شد برای تعدادی افراد از بانک‌هایی که از آن کارت بانکی دریافت کرده‌اند، پیامکی مبنی بر این‌که «مشتری گرامی برای ارتقای امنیت سریعا نسبت به تعویض رمز کارت بانکی خود از طریق دستگاه‌های عابربانک اقدام نمایید» ارسال شد، موضوع دیگر یک شایعه معمولی نبود.

ارسال پیامک‌هایی با متن مشابه از طرف چند بانک مختلف در فاصله زمانی کوتاه موضوع را تا حدودی روشن کرد و کارت‌هایی که در آن وبلاگ شماره آنها ذکر شده بود، مسدود و با مراجعه به خودپردازها مشخص می‌شد که تنها گزینه تغییر رمز برای آنها فعال بوده است.

بررسی‌ها و اطلاعات کسب شده نشان می‌دهد که به زبان ساده و خلاصه استانداردهای امنیتی لازم برای سخت‌افزار نوع خاصی از کارتخوان‌های فروشگاهی موجود در کشور رعایت نشده است.

این ضعف امنیتی مربوط به عدم وجود یک سیستم معروف به ماژول امنیتی سخت‌افزار (Hardware security module) است که به اختصار HSM گفته می‌شود.

این سیستم نوعی پردازنده رمز نگاری است که مدیریت کلیدهای دیجیتال و پردازنده‌های پرسرعت رمزنگاری را هنگام خریدهای دیجیتال برعهده دارد.

در واقع دستگاه‌های پذیرنده کارت در فروشگاه‌ها به طور مرسوم در قالب یک کارت متصل یا دستگاه‌های امنیتی همراه آن ارائه می‌شود که می‌تواند مستقیما به سرور هدف متصل شود، لذا باید دارای یک سیستم امنیتی HSM باشد که ارتباط و نحوه ارسال اطلاعات را ایمن کند. در نتیجه نبود این سیستم امنیتی در سیستم پایانه‌های فروش بانکی باعث شده است این اتفاق رخ دهد.

به دنبال انتشار این اخبار دیروز عصر ناصر حکیمی، رییس اداره نظام‌های پرداخت بانک مرکزی روبه‌روی جمعی از خبرنگاران نشست و کل اتفاق را شرح داد.

وی گفت: وب‌گردانان بانک مرکزی موسوم به کاشف که به طور دائمی اخبار و تحولات فضای مجازی را رصد می‌کنند، روز جمعه گذشته گزارش کردند شخصی در وبلاگ خود اطلاعات کارت‌های بانکی را منتشر کرده است.

بلافاصله کارگروه امنیتی در بانک مرکزی برای بررسی موضوع تشکیل شد و چون ابعاد موضوع هنوز روشن نبود، فعلا قرار شد بلافاصله دسترسی به کارت‌هایی که از سه ماه گذشته تاکنون رمزشان تغییر نکرده، مسدود شده و شخص تنها در صورتی بتواند از کارت خود استفاده کند که رمزش را تغییر دهد.

مدیر اداره نظام‌های پرداخت بانک مرکزی تصریح کرد: اصل موضوع این است که هیچ‌گونه رد یا سندی نیافته‌ایم که حاکی از دسترسی غیرمجاز یا برداشتی از حساب‌ها و کارت‌های مردم باشد. مثلا نحوه گردش حساب‌ها روند غیرعادی را نشان نمی‌دهد. همچنین هیچ‌ هک یا نفوذی به کارت‌های مردم و سیستم‌های بانک‌ها اتفاق نیفتاده است.

وی افزود: فقط سهل‌انگاری یک شرکت خصوصی بوده که یکی از مدیرانش به خاطر اختلافات مالی داخلی اقدام به انتشار این اطلاعات کرده است.وی اظهار کرد: برای برداشت از حساب‌ها علاوه بر شماره کارت و رمز، خود کارت نیز نیاز است و لذا کارتی برای برداشت وجود نداشته است.

این مقام بانک مرکزی افزود: بدیهی است شرکتی که نتواند در درون خود مدیریت لازم را برای دسترسی به اطلاعات و بویژه امنیت، ایجاد کند، از نظر بانک مرکزی صلاحیت ندارد و با آن شرکت قطع همکاری خواهد شد.

وی افزود: همچنین در نظر داریم برای ادامه همکاری با سایر شرکت‌ها نیز علاوه بر چک کردن مجدد رویه‌های قبلی، تضمین امنیتی نیز اضافه کنیم و رویه​ها و عملیات داخل شرکت‌ها را براساس این تضمین امنیتی استانداردسازی کنیم.

وی تصریح کرد: این سیاست هم در بازنگری مجوز شرکت‌های فعلی همکار بانک مرکزی و بانک‌ها وهم در صدور مجوز همکاری با سایر شرکت‌های جدید لحاظ خواهد شد.

وی افزود: همچنین از این پس قوانین و مقررات انتقال به شبکه شما پرداخت جدی‌تر خواهد شد و حجم معیارهای امنیتی در آن 10برابر می‌شود.

حکیمی گفت: همچنین با اجرای فاز دوم تمهیدات امنیتی در اردیبهشت و خرداد امسال، تعداد بیشتری از کارت‌های بانکی مشمول عملیات اجباری تغییر رمز می‌شوند تا جایی که تغییر رمز کارت‌ها هر سه ماه یک بار اجباری خواهد شد.

وی در پاسخ به خبرنگار ما درباره این‌که شخص هکر کیست، شرکت وی دارای چه میزان ارتباط با بانک مرکزی بوده، ریشه اختلاف یا انگیزه وی چه بوده و چرا بانک مرکزی این شرکت را به قدر کافی زیرنظر نداشته است؟ گفت: شخص هکر تقریبا خود را معرفی کرده است، اما درباره سایر زوایای موضوع، این امر به نهادهای انتظامی ـ امنیتی واگذار شده، اما درباره آن اظهارنظر نمی‌کنیم.

از سوی دیگر، معاون اجتماعی پلیس فتا(فضای تولید و فناوری اطلاعات) نیروی انتظامی گفت: از دید پلیس فتای نیروی انتظامی هیچ گونه اطلاعات مالی مانند شماره حساب در اختیار مجرمان قرار نگرفته و جای هیچگونه نگرانی نیست.

سیدمحسن میربهرسی در گفت‌و‌گو با ایرنا افزود: اطلاعات درز پیداکرده شامل نام و نام خانوادگی، شماره شناسنامه و دیگر اطلاعات شخصی و مشخصات فردی دارندگان کارت‌هاست. وی اظهار کرد: اطلاعات بیشتر از سوی بانک مرکزی ارائه می‌شود.

در همین حال خبرگزاری‌های کشور، اطلاعاتی را مبنی بر انحصارگری و واگذاری قراردادهای بزرگ بانک مرکزی به شرکتی که اطلاعات کارت‌های بانکی مردم،را درز داده است، منتشر کردند.

به گزارش مهر، یک مقام آگاه با اعلام جزئیاتی از انحصارگری شرکت ف.آ در نظام الکترونیکی بانک‌های کشور گفت: این شرکت تنها شرکت خصوصی دارای مجوز پرداخت الکترونیک از بانک مرکزی است.

وی در مورد فعالیت شرکت ف.آ که اطلاعات الکترونیک بانک‌های ایرانی را لو داده است، گفت: این شرکت در سال 78 با سرمایه‌گذاری یک هلدینگ اروپایی و یک شرکت فعال در حوزه فناوری اطلاعات کشور تاسیس شده است.

وی با اشاره به این‌که این شرکت از سال 82 فعالیت خود را با بانک‌های کشور آغاز کرده است و براساس آن، بیش از 30 درصد سهم تامین کارت‌های بانکی کشور را در اختیار دارد، افزود: این شرکت با شرکت‌های بزرگ خودروساز و همراه اول نیز همکاری‌های گسترده‌ای دارد.

این مقام آگاه با اعلام این‌که این شرکت در سال 83 توانست موافقت اصولی ارائه خدمات پرداخت از بانک مرکزی دریافت کند، افزود: در حال حاضر شرکت مذکور تنها شرکت خصوصی دارای مجوز پرداخت الکترونیک از بانک مرکزی است.

وی تصریح کرد: در سال 84 این شرکت توانست موافقت اصولی اخذ شده از بانک مرکزی را به مجوز دائمی به عنوان تنها و اولین شرکت خصوصی فعال در صنعت بانکداری و خدمات پرداخت کشور تبدیل کند.

وی اعلام کرد: این شرکت هم‌اکنون با بانک‌هایی از جمله کشاورزی، رفاه، مسکن، شهر، سینا، سپه، صنعت و معدن، تجارت و ملی قراردادهایی را منعقد کرده، همچنین این شرکت دارای مجوز P.S.P از بانک مرکزی است.

فارس و مهر همچنین جزئیات برخی قراردادهای منعقد شده این شرکت را منتشر کرده‌اند.

مسوول دفتر مدیریت شرکت نام برده شده در آن وبلاگ نیز در پاسخ به خبرنگار ما با تایید حضور نگارنده وبلاگ در آن شرکت و درست بودن نام‌های ذکر شده موضوع را به بانک مرکزی حواله داده و با امتناع از هرگونه پاسخگویی صرفا گفت موضوع را در دست بررسی داریم و اطلاعات دیگری نیز ارائه نداد.

از سوی دیگر، رییس کمیسیون اقتصادی مجلس با تاکید بر این‌که مسوولان بانک مرکزی باید پاسخگوی عملکرد خود نسبت به درز اطلاعات محرمانه بانکی مردم باشند، از احضار رییس کل بانک مرکزی به مجلس برای پاسخگویی در این باره خبر داد.

ارسلان فتحی‌پور در گفت‌وگو با مهر، در واکنش به هک سیستم اطلاعات 10 بانک کشور و درز اطلاعات محرمانه بانکی سه میلیون نفر اظهار کرد: این موضوع قطعا در دستور هفتگی جلسات آینده کمیسیون اقتصادی مجلس لحاظ خواهد شد تا ابعاد مختلف آن مورد بررسی قرار گیرد.

وی افزود: با توجه به این‌که طی روزهای آینده، بهمنی، رئیس کل بانک مرکزی به منظور شرکت در اجلاس بهاره بانک جهانی و صندوق بین‌المللی پول عازم آمریکا خواهد شد؛ لذا در نظر داریم پس از این سفر، او را به مجلس فرابخوانیم تا پاسخگوی عملکرد خود نسبت به درز اطلاعات محرمانه بانکی مردم باشد.

رئیس کمیسیون اقتصادی مجلس تصریح کرد: مسوولان بانک مرکزی و سایر بانک‌ها باید نسبت به تخلفی که انجام شده است، پاسخگو باشند.