«انتشار اطلاعات کارت بانکی سه میلیون کاربر» این خبری بود که طی چند روز گذشته همانند بمبی فضای مجازی را تحت تاثیر خود قرار داد. در ابتدا بیشتر کاربران فکر میکردند که این خبر شاید شایعهای بیش نباشد اما همین که پیامکهای هشداردهنده از سوی بانکهای مختلف به دست برخی از افراد میرسید، داستان رنگوبوی جدیتری به خود میگرفت. وقتی سرانجام بانک م رکزی در آخرین ساعات کاری روز شنبه اطلاعیهای را با عنوان مهم، روی سایت خود قرار داد همه مطمئن شدند که موضوع چیز عادی نیست هر چند در خود اطلاعیه تعویض اجباری رمز کارتها صرفا کاری از جهت محکم کاری و پاسخ به شایعات عنوان شد!
واکنش بانک مرکزی به موضوع و اتفاق رخ داده هر کدام دو روی قضیه هستند.
ماجرا در چند جمله
آنچه مشخص است فردی که گفته میشود همکار یکی از شرکتهای خصوصی تحت قرارداد بانک مرکزی است به دلیل اختلاف با مدیریت شرکت در نبود امنیت، اطلاعات سه میلیون کارت را با رمز اول آنها روی وبلاگی قرار داده و البته رمزها را با اعداد دیگری پوشانده تا فقط برای صاحب شماره کارت مشخص باشد. آنچه از نوشتههای کل صاحب وبلاگ که ظاهرا اکنون فراری است مشخص است، وی بروز یک نقص امنیتی را بارها به اطلاع مدیران شرکت خود و مدیران عامل سایر بانکهای کشور رسانده اما هیچکدام به حرف وی گوش ندادهاند.
بانک مرکزی: شایعه است!
طی روز گذشته بارها با مسوولان بانک مرکزی تماس گرفتیم اما آنها تنها به این نکته اشاره کردند که این اتفاق شایعهای بیشتر نیست و برای جویا شدن از چند و چون بیشتر اتفاق باید کمی صبر کرد. مسوولان بانک مرکزی تنها پیشنهادشان برای اطمینان بیشتر به کاربران، تعویض رمز عبور کارتهای بانکی بود. اما مدیر اداره نظامهای پرداخت بانک مرکزی در گفتوگو با خبرگزاری مهر با اشاره به سوءاستفاده برخی از افراد از موقعیتهای خود در نظام بانکی، گفته است که: ادعاها اثبات شده نیست. آنچه خبرنگار از مدیر اداره نظامهای پرداخت بانک مرکزی نپرسید این بود که اگر ماجرا اثبات نشد و در حد شایعه بود چرا این بانک دستور سراسری و اجباری تغییر رمز را صادر کرد.
در تماس با پلیس فتا نهاد برقرارکننده امنیت در فضای مجازی که معمولا مرتب با رصد فضای مجازی اخبار کشف موارد مختلف را به رسانهها ارسال میکند موضوع را جویا شدیم اما پاسخ روشنی به درخواست «دنیایاقتصاد» داده نشد تنها یکی از مسوولان پلیس فتا گفت که به صورت تلفنی نمیتواند اطلاعاتی در این زمینه ارائه کند و خاطرنشان کرد که پلیس فتا در حال انجام برررسیهای لازم روی این مساله است و هنوز به جواب روشنی در خصوص واقعی بودن این اتفاق نرسیده است.
واکنشهای بانکی
با انتشار هک اطلاعات کاربران شاید یکی از نکات جالب در این بین واکنش بانکها نسبت به این موضوع بود. چرا که تنها چند بانک اقدام به ارسال پیامک هشدار برای تغییر رمز کردند و سایر بانکها تنها سکوت اختیار کردند. عبدالمجید منصوری، معاون فاوای بانک پارسیان در این خصوص میگوید: «بلافاصله بعد از انتشار این خبر، جلسهای تشکیل شد که نتیجه این جلسه نیز ارسال اطلاعیه به کاربرانی بود که هدف این طعمه قرار گرفته بودند.» بانک پارسیان با غیرفعال کردن کارت بانکی کاربرانی که در خطر هک اطلاعات قرار گرفته بودند، اقدام به انتشار کارت مجدد کرد.به باور وی هک اطلاعات کاربران کارتهای بانکی خیانت در امانت بوده و برخلاف ادعای دیگر فعالان، مقصر اصلی این اتفاق بانک مرکزی نیست.
براساس اظهارات وی عدم توجه برخی بانکها به امنیت در فضای مجازی و عدماستفاده از نرمافزارهای امنیتی استاندارد باعث بروز چنین مشکلاتی میشود که این مشکلات هم در دنیای مجازی قابل پیشبینی است. منصوری معتقد است علاوه بر توجه بانکها به مقوله امنیت، کم کاری کاربران در حفظ اطلاعات کارت بانک نیز باعث بروز مشکلاتی میشود از جمله اینکه برخی رمز عبور خود را پشت کارت خود يادداشت میکنند یا سالی یک بار هم دست به تغییر رمز خود نمیزنند.
ابوالفضل غلامرضایی، کارشناس امنیت در بانکداری الکترونیک «با اشاره به کلیت داستان میگوید: «بخشی از اطلاعات کاربران بدون رمزنگاری در سیستم دستگاه شرکت مذکور ثبت میشود که این مشکل هم به سطح نرمافزارهای کاربردی روی دستگاههای این شرکت بازمیگردد. در واقع عدم اعمال رمزنگاری و توصیههای امنیتی روی نرمافزار باعث بروز چنین مشکلاتی میشود.» به باور وی در حال حاضر برخی شرکتها در تولید نرمافزارهای کاربردی برای دستگاههای پرداخت الکترونیکی، به توصیههای امنیتی توجهی نمیکنند و تنها میخواهند کار به صورت کلی آماده شود. همچنین در این زمینه هزینههای لازم برای انجام کار که شامل تستهای امنیتی، بازبینی برنامهها و کدهای امنیتی میشود، در نظر گرفته نمیشود و کمتر شرکتی در این زمینهها حاضر به پرداخت هزینه میشود.وی تصریح میکند که اطلاعات منتشر شده روی این وبلاگ مربوط به سال 89 است و ممکن است از آن سال تاکنون بسیاری از کاربران رمز عبور خود را تغییر داده باشند.
وی به کاربران پیشنهاد میکند که علاوه بر تغییر رمز، هنگام خرید از دستگاههای pos ، به شخصه رمز عبور خود را وارد کنند.
اما رضا هاشمی، کارشناس امنیت فناوری اطلاعات، بر این باور است که امنیت یک زنجیرهای از فرآيندها و سامانههای نرم افزاری و سختافزاری است و در هر یک از حلقههای این زنجیره موارد امنیتی رعایت نشود میتواند تاثیرگذار باشد.
وی معتقد است کسانی که برنامهنویسی و توسعه سامانههای نرمافزاری یا سختافزاری را بر عهده دارند اصولا نباید دسترسی مستقیم به تجهیزات و نرمافزارها در بخش عملیاتی داشته باشند و کلیدهای دسترسی به هر قسمت باید در اختیار چند فرد امین و به صوررت مکمل هم قرار بگیرد. همچنین از این اشخاص نیز وثایق کافی گرفته شده و در عین حال تحت نظارت باشند تا خطاهای ناشی از نیروی انسانی و اختلافات درون شرکتی حداقل خطر را ایجاد كنند. علاوه بر این، كنترل کامل بر هر گونه نقلوانتقال اطلاعات با ارزش وجود داشته باشد و ذخیرهسازی دادهها به گونهای باشد که امکان ایجاد خطر را به حداقل برساند.در همین زمینه فراهانی، یکی دیگر از کارشناسان بانکداری الکترونیکی عنوان میکند که اگر در زمانی که اطلاعات محرمانه افراد در محلی خارج از بانک ذخیره میشد بانک مرکزی نگاه جدیتری به عواقب کار داشت و همچنین پروژه کارتهای هوشمند جدیتر پیگیری میشد، طبعا امروز شاهد این اتفاق نبودیم.
وی همچنین تاکید میکند که اگر کلیه افرادی که به اطلاعات خارج شده، دسترسی پیدا کرده بودند از سوی نهاد مسوول مورد شناسایی قرار میگرفتند و کسب اطمینان از عدم درز اطلاعات به بیرون ایجاد میشد، حال شاهد ایجاد نگرانی برای کاربران این کارتها نبودیم. وی معتقد است که چنین مشکلاتی در فضای مجازی قابل پیشبینی است اما با انجام فعالیتهایی میتوان وقوع آنها را کاهش داد. به باور فراهانی از جمله این فعالیتها استفاده از کارت هوشمند است که از سال 83 در دستور کار بانک مرکزی قرار گرفت اما به دلایل مختلف این طرح عملیاتی نشد. با استفاده از کارت هوشمند بانکی کاربران میتوانند روزانه رمز عبور خود را تغییر دهند.