اینروزها بحث امنیت اطلاعات بانکی مردم با پیدا شدن حفرههای تازه به شدت مطرح شده است.
در هفتهی گذشته یک مرد ایرانی گمنام به همان سرعتی که کراواتش را برای حضور در مقابل دوربین بیبیسی میبست، پلههای شهرت را طی کرد. «خسرو زارع فرید» که خود را یکی از مدیران شرکت انیاک مینامد. مدیری که حالا از ایران خارج شده و اطلاعات کارتهای بانکی ۳ میلیون نفر را بر روی اینترنت قرار داده است.
در وبسایت خود شرکت آمده که این شرکت ۱۳ سال پیش با سرمایهگذاری مشترک یک هولدینگ خارجی و یک شرکت فعال داخلی در حوزه فناوری اطلاعات تاسیس شده است. حوزههای فعالیت این شرکت، جمعآوری مکانیزهی دادهها و تهیه و بومی سازی و انطباق نرمافزارها با نیاز مشتری و مشاوره به سازمانها درج شده. از سوی دیگر بیشتر این پروژه ها مربوط به دستگاههای فروش الکترونیک هستند که به وفور در مغازهها از آنها استفاده میشود. پروژه هایی که در دو بخش فروش تجهیزات به بانک و خدماترسانی به بانک بوده است. بخش اول به طور کامل انجام میشده و در بخش دوم، مشکلاتی وجود دارد.
نخست بانکها رویهای متفاوت از هم در پیش گرفتند. برخی مثل بانک ملت، دسترسی به حسابهای کارتی را متوقف کردند و برخی دیگر هم به صدور اطلاعیه و درخواست برای تغییر رمز عبور کفایت کردند. صفهای طولانی در مقابل بانکها تشکیل شد و مردم با نگرانی اخبار را پیگیری میکردند.
بانک مرکزی، اطلاعیهای صادر کرد که در آن از مردم خواسته بود به بانکها رفته و رمز عبورِ خود را عوض کنند. البته برای آنکه این اطلاعیه نگرانی کمتری برانگیزاند، در پایان آن با عادی جلوه دادن چنین درخواستی آورد: «ضمن پوزش از برخي مشتريان بانكها كه ناچار به تغيير اجباري رمز خود هستند، لازم به ذكر ميداند اتخاذ اين تمهيدات صرفاً به منظور ارتقای سطح ايمنی كارتها صورت پذيرفته و درادامه توصيههای قبلي اين بانك و بانكهاي كشور مبني بر رعايت نكات ايمنی در خصوص نگهداری و كاربری كارتها به مشتريان اكيداً توصيه ميشود ،حداقل هر سه ماه يك بار نسبت به تغيير رمز اول و دوم (اينترنتي) كارت خود اقدام نموده و از قراردادن رمزهای كارت در اختيار اشخاص ديگر تحت هر عنوان جداً اجتناب فرمايند.»
خسرو زارع فرید مدعی است که اطلاعات ۳ میلیون کارت بانکی ایرانیها را بر روی اینترنت منتشر کرده است. این رمزهای عبور در میان عددی طولانی رمزگذاری شدهاند. بانکِ مرکزی میگوید که هیچ پولی از حسابهای مردم برداشت نشده است.
برخلاف آنهایی که در شبکههای اجتماعی از این فرد به عنوان یک هکرِ کلاه سفید نام میبردند، برخی مثل جادی، نویسندهی وبلاگ «کیبوردآزاد» او را فردی دانست که با انتشار این اطلاعات، اقدام نادرستی مرتکب شده و حتا از این بابت بیبیسی را هم نکوهش کرد..
پس از بالاگرفتن انتقادها در فضای مجازی بود که سایت افشاگرِ شمارههای رمز، که توسط خسرو زارع فرید مدیریت میشود نوشت: «اطلاعات سه میلیون کارت بانکی در این وبلاگ پخش میشود . تنها چاره اطلاع رسانی به مردم و دارندگان کارتهاست. کدام مدیران انفورماتیک بانکها با دریافت رشوه چشم بر کجرویها بستند؟ مدیریت ناشایست شرکت انیاک توسط دو برادر مالک آن آقایان ناصر حجازیان (مدیر عامل) و نادر حجازیان (مدیر بازرگانی) چنان غرق در تجهیز املاک و دارائیهای خود در آنسوی مرزها شدند که تمامی هزینه های مربوط به تامین امنیت لازم برای سرویسدهی به دارندگان کارتهای بانکی را فراموش کردند. (خسرو زارع فرید)
اما مساله به همینجا ختم نمیشود. چراکه بعد از بالاگرفتن اختلافها میان مدیران شرکت انیاک، مشخص نیست که اطلاعات مربوط به کدام حسابها در اختیار افراد غیر مسوول بوده است. آیا میتوان باور کرد که تنها همین مشخصات در دست این مسوولان و طرفهای قرارداد بوده است ؟ و به این فکر نکرد که حالا اطلاعات مابقی کارتهای بانکی در دست چه کسی است؟
و یک سوال اساسی تر اینکه اصولا چه تضمینی وجود دارد که تنها شرکت انیاک به آنها دسترسی داشته باشد؟
طبق گفته زارع فرید نه تنها این انیاک از سخت افزار امنیتی لازم برای پردازش کارتها استفاده نکرده است بلکه سایر بانکها نیز از این سخت افزار بهره نمیبرند همین امر موجب میشود که افراد مختلفی – افرادی که به سوئیچ بانکی دسترسی دارند- بتوانند به سادگی به اطلاعات کارت بانکی افراد دسترسی پیدا کنند.
نخست بانکها رویهای متفاوت از هم در پیش گرفتند. برخی مثل بانک ملت، دسترسی به حسابهای کارتی را متوقف کردند و برخی دیگر هم به صدور اطلاعیه و درخواست برای تغییر رمز عبور کفایت کردند. صفهای طولانی در مقابل بانکها تشکیل شد و مردم با نگرانی اخبار را پیگیری میکردند.
بانک مرکزی، اطلاعیهای صادر کرد که در آن از مردم خواسته بود به بانکها رفته و رمز عبورِ خود را عوض کنند. البته برای آنکه این اطلاعیه نگرانی کمتری برانگیزاند، در پایان آن با عادی جلوه دادن چنین درخواستی آورد: «ضمن پوزش از برخي مشتريان بانكها كه ناچار به تغيير اجباري رمز خود هستند، لازم به ذكر ميداند اتخاذ اين تمهيدات صرفاً به منظور ارتقای سطح ايمنی كارتها صورت پذيرفته و درادامه توصيههای قبلي اين بانك و بانكهاي كشور مبني بر رعايت نكات ايمنی در خصوص نگهداری و كاربری كارتها به مشتريان اكيداً توصيه ميشود ،حداقل هر سه ماه يك بار نسبت به تغيير رمز اول و دوم (اينترنتي) كارت خود اقدام نموده و از قراردادن رمزهای كارت در اختيار اشخاص ديگر تحت هر عنوان جداً اجتناب فرمايند.»
خسرو زارع فرید مدعی است که اطلاعات ۳ میلیون کارت بانکی ایرانیها را بر روی اینترنت منتشر کرده است. این رمزهای عبور در میان عددی طولانی رمزگذاری شدهاند. بانکِ مرکزی میگوید که هیچ پولی از حسابهای مردم برداشت نشده است.
برخلاف آنهایی که در شبکههای اجتماعی از این فرد به عنوان یک هکرِ کلاه سفید نام میبردند، برخی مثل جادی، نویسندهی وبلاگ «کیبوردآزاد» او را فردی دانست که با انتشار این اطلاعات، اقدام نادرستی مرتکب شده و حتا از این بابت بیبیسی را هم نکوهش کرد..
پس از بالاگرفتن انتقادها در فضای مجازی بود که سایت افشاگرِ شمارههای رمز، که توسط خسرو زارع فرید مدیریت میشود نوشت: «اطلاعات سه میلیون کارت بانکی در این وبلاگ پخش میشود . تنها چاره اطلاع رسانی به مردم و دارندگان کارتهاست. کدام مدیران انفورماتیک بانکها با دریافت رشوه چشم بر کجرویها بستند؟ مدیریت ناشایست شرکت انیاک توسط دو برادر مالک آن آقایان ناصر حجازیان (مدیر عامل) و نادر حجازیان (مدیر بازرگانی) چنان غرق در تجهیز املاک و دارائیهای خود در آنسوی مرزها شدند که تمامی هزینه های مربوط به تامین امنیت لازم برای سرویسدهی به دارندگان کارتهای بانکی را فراموش کردند. (خسرو زارع فرید)
اما مساله به همینجا ختم نمیشود. چراکه بعد از بالاگرفتن اختلافها میان مدیران شرکت انیاک، مشخص نیست که اطلاعات مربوط به کدام حسابها در اختیار افراد غیر مسوول بوده است. آیا میتوان باور کرد که تنها همین مشخصات در دست این مسوولان و طرفهای قرارداد بوده است ؟ و به این فکر نکرد که حالا اطلاعات مابقی کارتهای بانکی در دست چه کسی است؟
و یک سوال اساسی تر اینکه اصولا چه تضمینی وجود دارد که تنها شرکت انیاک به آنها دسترسی داشته باشد؟
طبق گفته زارع فرید نه تنها این انیاک از سخت افزار امنیتی لازم برای پردازش کارتها استفاده نکرده است بلکه سایر بانکها نیز از این سخت افزار بهره نمیبرند همین امر موجب میشود که افراد مختلفی – افرادی که به سوئیچ بانکی دسترسی دارند- بتوانند به سادگی به اطلاعات کارت بانکی افراد دسترسی پیدا کنند.
پرسش دیگری که پیش میآید این است که به طور کلی، شرکت انیاک، که پیش از این چندین جایزه هم گرفته و مورد تشویق قرار گرفته بوده است، بنابر آنچه که در تابناک انعکاس یافته دارای انحصارهایی است که علت اعطای این انحصارها، آن هم به یک شرکت خصوصی که با سرمایهگذاری یک هلدینگ اروپایی تاسیس شده است جای سوال دارد.
علاوه بر آن، حالا که مدیرشرکت هم به اتهام «اهمال» مورد تعقیب قرار گرفته است سوال اینجاست که آیا ساز و کاری که موجب شده تا این شرکت دارای دسترسی به این اطلاعات باشد، سیستمهای امنیتی کاملی خریداری نکند و البته اطلاعاتش را در اختیار یک کارمند خود بگذارد مورد بررسی و بازنگری قرار خواهد گرفت؟
انیاک، نامِ کامپیوتری بود که در کمتر از ۷۰ سال پیش، توانست سیصد عمل ضرب را در هر ثانیه انجام دهد و کارِ دستیِ ۳۰۰ روزه ر در یک روز انجام دهد. اما حالا این نام، در ایرانِ هفتاد میلیون نفری، یادآور مدیریت نادرست، قراردادهای نابجا و افشای هویت افراد بر اساس مشکلات شخصیاست و این به حتم، آخرین بار نخواهد بود اگر همینطور پیش برویم.
هیچ نظری موجود نیست:
ارسال یک نظر