صف طولانی برای تغیر کدهای سرقت شده

نویسنده
نازنین کامدار

» شوک جدید بانکی

پس از آنکه بانک مرکزی در اطلاعیه شامگاه شنبه خود، خبر سرقت رمز بیش از سه میلیون کارت بانکی را تایید و از صاحبان حساب ها خواست در اسرع وقت رمز اول و دوم کارت‌های بانکی خود را تغییر دهند، صبح دیروز شهروندان نگران برای تغییر رمز کارت یا خالی کردن حساب هایشان به خودپرداز بانک ها هجوم بردند؛ هجومی که همزمان با آبگرفتگی معابر به دلیل باران های سیل آسا، منجر به بروز بی نظمی در رفت و آمد و ترافیک سنگین در سطح شهر تهران شد.

علاوه بر اطلاعیه بانک مرکزی، اظهارات ضد و نقیض چند مقام بانکی هم در همین ارتباط بر نگرانی ها چنان افزود که مجلس نیز دست به کار شد و با تشکیل جلسه ای اضطراری، محمود بهمنی، رئیس کل بانک مرکزی را برای پاسخگویی احضار کرد.

گزارش رسانه های داخلی که جزئیات متعددی از نحوه به سرقت رفتن شماره رمز سه میلیون کارت بانکی منتشر کرده اند، نشان می دهد این خبر از سوی یک مدیر مستعفی فناوری اطلاعات که در راه اندازی امنیت شبکه بانکی نقش داشته، افشا شده است؛ کسی که در وبلاگ خود مدعی شده، سال گذشته درباره وقوع آن به مسئولان بانکی هشدار داده است.

ازدحام مردم در برابر خودپرداز بانک ها در ساعات میانی دیروز موجب شد تا بانک مرکزی با ابلاغ دستوری به بانک ها از آنها بخواهد به مردم اجازه برداشت پول از خودپرداز ها را ندهند؛امری که خود بر دامنه اختلالات افزود.

در متن اطلاعیه بانک مرکزی آمده بود: “به منظور ارتقای سطح ایمنی، ایجاد محدودیت در دسترسی غیرمجاز در شبکه کارتی کشور و حفاظت مشتریان در مقابل مخاطرات احتمالی ناشی از آن، به بانک های کشور ابلاغ شده است ضمن اعلام مراتب به دارندگان کارت هایی که در چند ماه گذشته رمزخود را تغییر نداده‌اند، با مراجعه به خودپردازها یا شعب بانک مربوطه برای تغییر رمز کارت اقدام کنند”.

خبرگزاری فارس هم در گزارشی در این زمینه نوشت: “با اعلام بانک مرکزی و انتشار خبر هک شدن سه میلیون حساب بانکی در فضای اینترنت، این بانک برای ارتقاء امنیت حساب‌ها، به بانک‌های کشور اعلام کرد که تمام آیتم‌های خودپرداز‌ها غیر از گزینه تغییر رمز کارت غیر فعال شود. در اغلب خودپرداز‌ها امکان برداشت وجه وجود ندارد و تنها گزینه تغییر رمز فعال است. برخی افراد برای برداشت وجه به خودپرداز مراجعه کرده بودند که تنها با گزینه تغییر رمز مواجه شدند و این مساله مشکلاتی را برای این افراد ایجاد کرده است.البته یکی از خودپردازهای یک بانک خصوصی امکان انتقال وجه را به مشتریان می‌دهد”.

اما بروز هرج و مرج در سطح شهر موجب شد تا این خبرگزاری به نقل از یک “مقام مسئول شبکه بانکی” اینچنین اعلام کند:” هک اطلاعات حساب کاربران بانک‌ها ابتدا از سال 86 با نصب دوربین در محل استقرار دستگاه‌های خودپرداز بانک‌ها آغاز شد. این افراد پس از ضبط اطلاعات در دوربین‌ها، کارت‌های بانکی را کپی می‌کردند که عده‌ای از آنها دستگیر شدند. عمده این فعالیت در سالهای 88 و 89 انجام شده است. اما بخشی از این اقدام از طریق نفوذ به سرور SQL و سرقت اطلاعات بوده که از آنها استفاده نکرده و این هک اطلاعاتی اخیر مربوط به همان حساب‌ها است.”

فارس به نقل از این فرد افزوده است: “در حال حاضر امنیت کل شبکه برقرار است. اما برای امنیت بیشتر از امروز نرم‌افزاری در شبکه بانکی روی کارت‌ها نصب شده که به تمام رمزهای کارتی که ساده است پیغام خطا داده و اجازه استفاده نمی‌دهد. رمز کارت‌هایی که اعدادی مثل 1234 یا از این قبیل است توسط سیستم خوانده نمی‌شود و باید به وسیله صاحب حساب تغییر کند”.

سایت آفتاب نیز در گزارشی از نحوه لو رفتن اطلاعات حساب سه میلیون کارت بانکی نوشته است: “یکی از مدیران سابق یک از شرکت های ارائه کننده خدمات کارت های بانکی، پس از فرار به خارج از کشور، اطلاعات میلیون ها کارت متعلق به بانک های مختلف کشور را روی اینترنت منتشر کرده است. وی هدف از این کار را آشکار ساختن سوء مدیریت مدیران و عدم رعایت استانداردهای بانکی و امنیتی عنوان کرده است. مدیر نرم افزار اسبق یکی از شرکت های همکار بانک مرکزی که به عنوان شرکت PSP ، خدمات پرداخت را ارائه می نماید، پس از بروز اختلافاتی با مدیران شرکت، با همراه داشتن اطلاعات بانکی محرمانه، به خارج از کشور گریخته و سپس با ایجاد یک وبلاگ به انتشار اطلاعات سه میلیون کارت بانکی اقدام نموده است”.

 

آفتاب افزوده است: “خ-ز-ف که چندین سال در شرکت مذکور مشغول فعالیت بوده است، مدعی است که نرم افزارهای پایانه های فروش و سوییچ بانکی شرکت را تولید نموده و پس از عدم کسب درآمد از ناحیه تولید و فروش آن ها و بروز اختلاف با مدیران شرکت و با هدف آشکار ساختن سوء مدیریت مدیران بانکی اقدام به انتشار اطلاعات محرمانه کارت های مشتریان بانک ها به همراه رمز عبور آن ها (به شکل رمز مخفی) نموده است. وی مدعی است که قبل از این اقدام تلاش کرده با مدیران بانک های مختلف تماس بگیرد اما به درخواست های وی ترتیب اثر داده نشده است. شرکت های سرویس دهنده خدمات پایانه های بانکی بر اساس استانداردهای مختلف امنیتی ملزم به رعایت موازین مرتبط و حفظ اطلاعات محرمانه مشتریان می باشند. اما اطلاعات کارت های صادره توسط بانک های ملی، ملت، صادرات، پارسیان، پاسارگاد، کشاورزی و ده ها بانک دیگر، درحال حاضر توسط خ-ز از طریق یک وبلاگ منتشر و علنی شده است. هرچند که وی مدعی است رمزهای عبور را به نحوی اعلام کرده که فقط توسط صاحبان کارت ها قابل تشخیص است و لذا فعلا تهدیدی برای صاحبان آن ها به شمار نمی رود”.

در ادامه این گزارش آمده است: “اطلاعات کارت های مذکور که مربوط به سال های ۸۷ تا ۸۹ می باشد، تقریبا تمامی بانک های تجاری و معتبر کشور را در بر می گیرد، که حکایت از دسترسی آزادانه فرد مذکور به این اطلاعات محرمانه داشته است. این نکته نیز گفتنی است که برخی بانک ها از جمله سامان و اقتصاد نوین نیز دست به کار شده و برخی مشتریان خود را ملزم به تعویض رمزهای عبور خود نموده اند. اگرچه برخی نیز کماکان در این مورد اظهار بی اطلاعی می کنند. شرکت «ف- ا» که به عنوان PSP محل اصلی نشت اطلاعات است نیز در وب سایت رسمی خود هیچگونه اطلاعیه ای را منتشر نکرده است”.

بنا بر این گزارش، هکر مذکور در وبلاگ خود چنین نوشته است: “برای اینکه کارت بانکی خود را در بین بیش از سه میلیون کارت قرار گرفته در سایت پیدا کنید می توانید از لینک ircard.blogspot.de استفاده کنید.اما پیش از این جستجو این موارد را به خاطر داشته باشید: 1- عدم وجود کارت بانکی شما در بین کارت های این سایت به معنی در خطر نبودن آن نیست. 2- این سایت تنها حاوی بخشی از کارتها آن هم در سالهای 87 تا 89 استفاده شده می باشد. 3- بانک ها موظف به شناسائی اطلاعات سایر کارتهای استفاده شده هستند و ابطال آنها به عهده خود بانک ها میباشد. البته اگر حفاظت از حسابهای مشتریان برایشان مهم باشد.4-اطلاع رسانی به سایر هموطنان و ثبت شماره کارت و رمز برای کنترل در این سایت قبل از تحویل آن به بانک صادر کننده تنها راه اطمینان هموطنان به این ادعا و اثبات کذب بودن ادعاهای دیگر می باشد.5-در هر صفحه از اطلاعات کارت ها تقریبا 30000 کارت گنجانده شده است لذا شاید باز کردن صفحات در سرعت پائین و با استفاده از فیلتر شکن کمی زمانبر باشد”.

ناصر حکیمی مدیر نظام پرداخت بانک مرکزی نیز در ساعت 14 در تلویزیون حاضر شد و برای کاهش نگرانی شهروندان چنین گفت: “به تمامی شهروندان اطمینان می دهیم که اطلاعات افشا شده به هیچ وجه برای برداشت از حساب ها کافی نیست؛ اطلاعات منتشر شده شامل شماره حک شده روی کارت و یک کد است که در واقع رمز کارت نیست بلکه رمز کارت در قالب این اعداد، کد گذاری شده است و قابل استفاده نیست. برای برداشت از حساب ها اولا باید اصل کارت وجود داشته باشد، ثانیا رمز کارت هم در اختیار باشد که در شرایط فعلی هیچ کدام از این دو در اختیار فرد مدعی نیست بنا بر این امکان برداشت غیر مجاز از حساب ها وجود ندارد”.

سخنان این مدیر بانکی در حالی پخش شد که ازدحام در برابر خودپرداز ها همچنان ادامه داشت تا جایی که به گزارش خبرگزاری مهر موجب مداخله مجلس در این موضوع شد.

در اینباره، ارسلان فتحی پور رئیس کمیسیون اقتصادی مجلس به مهر گفته است: “مسئولان بانک مرکزی باید پاسخگوی عملکرد خود نسبت به درز اطلاعات محرمانه بانکی مردم باشند. به همین منظور رئیس کل بانک مرکزی برای پاسخگویی در این زمینه به مجلس احضار شد”.

او افزود: “این موضوع قطعا در دستور هفتگی جلسات آینده کمیسیون اقتصادی مجلس لحاظ خواهد شد تا ابعاد مختلف آن مورد بررسی قرار گیرد. با توجه به اینکه طی روزهای آینده بهمنی رئیس کل بانک مرکزی به منظور شرکت در اجلاس بهاره بانک جهانی و صندوق بین المللی پول عازم آمریکا خواهد شد؛ لذا در نظر داریم پس از این سفر، او را به مجلس فرا بخوانیم تا پاسخگوی عملکرد خود نسبت به درز اطلاعات محرمانه بانکی مردم باشد. مسئولان بانک مرکزی و سایر بانک ها باید نسبت به تخلفی که انجام شده است، پاسخگو باشند”.