در حالي كه انتشار اخباري درباره هك شدن و لو‌رفتن اطلاعات حدود 3 ميليون كارت بانكي باعث نگراني افكار عمومي شده است، بانك مركزي ديروز از طريق رسانه‌ها به مردم اطمينان داد كه هيچ حسابي هك نشده و هيچ پولي نيز از حساب مردم خارج‌نشده‌است.
به گزارش خبرنگار جام‌جم، 2 روز پيش در فضاي مجازي خبري منتشر شد مبني بر اين‌كه يك وبلاگ، اطلاعات كارت بانكي و رمز عابربانك حدود 3 ميليون نفر را منتشر كرده است. اين خبر ابتدا جدي گرفته نشد تا اين كه برخي بانك‌ها با ارسال پيامك‌هايي به مشتريان خود از آنها خواستند بلافاصله رمز كارت خود را عوض كنند. همچنين استفاده از برخي كارت‌هاي بانكي مسدود شد. كمي پس از آن بانك مركزي نيز در اطلاعيه‌اي با تاييد تلويحي اين ماجرا از همه شهروندان خواست رمز كارت بانكي خود را عوض كنند. ديروز كه اين اطلاعيه منتشر شد موجي از نگراني و پرسش افكار عمومي را فراگرفت و اين پرسش‌ها با مراجعه شهروندان به دستگاه‌هاي خودپرداز ومشاهده مسدود بودن برخي كارت‌ها تشديد شد.

ماجرا چه بود؟

در چند روز گذشته يك وبلاگ بي‌نام و نشان راه‌اندازي شد كه مدعي شده بود يكي از شركت‌هاي فروشنده دستگاه‌هاي كارتخوان فروشگاهي يا همان POS بدون در نظر گرفتن مراتب امنيتي تعداد زيادي دستگاه به سيستم بانكي كشور فروخته است كه توسط بسياري از بانك‌ها در حال استفاده است و اين يك خطر بالقوه براي مردم است.

چند روز بعد اطلاعات تكميلي ديگري درباره قصد و نظر نويسنده وبلاگ منتشر شد كه گفته بود به دليل اختلاف مالي با آن شركت و عدم عمل آن شركت به تعهداتش قصد افشاي يك اشكال امنيتي سيستم بانكي درباره كارت‌هاي بانكي دارد.

در نهايت اين اطلاعات در قالب حدود 3 ميليون شماره كارت بانكي به همراه رمز آن انتشار يافت و شامل تمام بانك‌هاي خصوصي و دولتي كشور مي‌شد كه از سيستم شتاب استفاده مي‌كنند. البته رمز آنها در قالب يك عدد 16 رقمي پنهان شده بود تا فقط صاحب حساب بتواند تشخيص دهد اين اطلاعات صحيح است يا خير.

تلاش خبرنگار ما براي برقراري تماس با منتشركننده اطلاعات از طريق پست الكترونيك تا زمان نگارش گزارش بي‌نتيجه ماند.

پيامك بانك‌ها

با اين حال موضوع تا اينجا نيز مي‌توانست يك شايعه بي‌اساس باشد كه حتي ارزش خواندن هم نداشت، چه رسد به پيگيري و نگارش، اما وقتي شنيده شد براي تعدادي افراد از بانك‌هايي كه از آن كارت بانكي دريافت كرده‌اند، پيامكي مبني بر اين‌كه «مشتري گرامي براي ارتقاي امنيت سريعا نسبت به تعويض رمز كارت بانكي خود از طريق دستگاه‌هاي عابربانك اقدام نماييد» ارسال شد، موضوع ديگر يك شايعه معمولي نبود.ارسال پيامك‌هايي با متن مشابه از طرف چند بانك مختلف در فاصله زماني كوتاه موضوع را تا حدودي روشن كرد و كارت‌هايي كه در آن وبلاگ شماره آنها ذكر شده بود، مسدود و با مراجعه به خودپردازها مشخص مي‌شد كه تنها گزينه تغيير رمز براي آنها فعال بوده است.

ريشه مشكل چه بود؟

بررسي‌ها و اطلاعات كسب شده نشان مي‌دهد كه به زبان ساده و خلاصه استانداردهاي امنيتي لازم براي سخت‌افزار نوع خاصي از كارتخوان‌هاي فروشگاهي موجود در كشور رعايت نشده است.

اين ضعف امنيتي مربوط به عدم وجود يك سيستم معروف به ماژول امنيتي سخت‌افزار (Hardware security module) است كه به اختصار HSM گفته مي‌شود. اين سيستم نوعي پردازنده رمز نگاري است كه مديريت كليدهاي ديجيتال و پردازنده‌هاي پرسرعت رمزنگاري را هنگام خريدهاي ديجيتال برعهده دارد.در واقع دستگاه‌هاي پذيرنده كارت در فروشگاه‌ها به طور مرسوم در قالب يك كارت متصل يا دستگاه‌هاي امنيتي همراه آن ارائه مي‌شود كه مي‌تواند مستقيما به سرور هدف متصل شود، لذا بايد داراي يك سيستم امنيتي HSM باشد كه ارتباط و نحوه ارسال اطلاعات را ايمن كند. در نتيجه نبود اين سيستم امنيتي در سيستم پايانه‌هاي فروش بانكي باعث شده است اين اتفاق رخ دهد.

بانك مركزي: نگران نباشيد

به دنبال انتشار اين اخبار ديروز عصر ناصر حكيمي، رئيس اداره نظام‌هاي پرداخت بانك مركزي روبه‌روي جمعي از خبرنگاران نشست و كل اتفاق را شرح داد.

وي گفت: وب‌گردانان بانك مركزي موسوم به كاشف كه به طور دائمي اخبار و تحولات فضاي مجازي را رصد مي‌كنند، روز جمعه گذشته گزارش كردند شخصي در وبلاگ خود اطلاعات كارت‌هاي بانكي را منتشر كرده است. بلافاصله كارگروه امنيتي در بانك مركزي براي بررسي موضوع تشكيل شد و چون ابعاد موضوع هنوز روشن نبود، فعلا قرار شد بلافاصله دسترسي به كارت‌هايي كه از 3 ماه گذشته تاكنون رمزشان تغيير نكرده، مسدود شده و شخص تنها در صورتي بتواند از كارت خود استفاده كند كه رمزش را تغيير دهد.

وي افزود: در واقع شخص هنگام ورود كارت به خودپرداز فقط با منوي تغيير رمز مواجه مي‌شد و تا رمز را تغيير نمي‌داد ، نمي‌توانست ساير منوها را ببيند يا از آن استفاده كند.

وي اظهار كرد: همچنين بلافاصله به تمامي بانك‌هاي كشور بخشنامه شد كه به اين گونه مشتريان خود پيامك ارسال كنند رمزشان را تغيير دهند. همزمان به مراجع انتظامي و اطلاعاتي نيز اطلاع‌رساني شد كه بخشي از كار از كانال آنها پيگيري شود. وي افزود: ما در مجموع براي 5/1 تا 2 درصد كارت‌هاي بانكي كه حدود 8/1 ميليون كارت مي‌شوند، تغيير رمز را اجباري و دسترسي به حساب از طريق كارت را نيز محدود كرديم.

اين مقام بانک مرکزي خاطرنشان كرد: با اين حال عمليات تغيير رمز را از طريق خودپرداز و بدون نياز به مراجعه به شعبه برنامه‌ريزي كرديم تا مردم براي باز كردن حساب‌هايشان دچار زحمت نشوند. هر چند همين امر نيز جاي عذرخواهي دارد.

حكيمي گفت: ادامه بررسي‌ها كه با بررسي دقيق محتواي اطلاعات منتشر شده در وبلاگ ياد شده صورت گرفت، نشان داد اين مساله يك مساله جدي امنيتي نيست، چرا كه روشن شد آن شخص، گزارش‌هاي عمليات حسابداري و رفع مغايرت بانك‌ها در زمينه دستگاه‌هاي پايانه فروش را كپي‌برداري و منتشر كرده است.وي افزود: اين اطلاعات قديمي نيز بوده و بعضا متعلق به مرداد و شهريورماه سال گذشته است.وي تصريح كرد: در مجموع، دريافتيم كه اين اطلاعات حساس نيست و موضوع، استفاده از كارت اشخاص و موجودي آن نيست.

برداشتي يا هكي صورت نگرفته است

مدير اداره نظام‌هاي پرداخت بانك مركزي تصريح كرد: اصل موضوع اين است كه هيچ‌گونه رد يا سندي نيافته‌ايم كه حاكي از دسترسي غيرمجاز يا برداشتي از حساب‌ها و كارت‌هاي مردم باشد. مثلا نحوه گردش حساب‌ها روند غيرعادي را نشان نمي‌دهد. همچنين هيچ‌ هك يا نفوذي به كارت‌هاي مردم و سيستم‌هاي بانك‌ها اتفاق نيفتاده است.

وي افزود: فقط سهل‌انگاري يك شركت خصوصي بوده كه يكي از مديرانش به خاطر اختلافات مالي داخلي اقدام به انتشار اين اطلاعات كرده است.وي اظهار كرد: براي برداشت از حساب‌ها علاوه بر شماره كارت و رمز، خود كارت نيز نياز است و لذا كارتي براي برداشت وجود نداشته است.

قطع همكاري با شركت متخلف

اين مقام بانك مركزي افزود: بديهي است شركتي كه نتواند در درون خود مديريت لازم را براي دسترسي به اطلاعات و بويژه امنيت، ايجاد كند، از نظر بانك مركزي صلاحيت ندارد و با آن شركت قطع همكاري خواهد شد.

وي افزود: همچنين در نظر داريم براي ادامه همكاري با ساير شركت‌ها نيز علاوه بر چك كردن مجدد رويه‌هاي قبلي، تضمين امنيتي نيز اضافه كنيم و رويه​ها و عمليات داخل شركت‌ها را براساس اين تضمين امنيتي استانداردسازي كنيم.

وي تصريح كرد: اين سياست هم در بازنگري مجوز شركت‌هاي فعلي همكار بانك مركزي و بانك‌ها وهم در صدور مجوز همكاري با ساير شركت‌هاي جديد لحاظ خواهد شد. وي افزود: همچنين از اين پس قوانين و مقررات انتقال به شبكه شما پرداخت جدي‌تر خواهد شد و حجم معيارهاي امنيتي در آن 10برابر مي‌شود.

حكيمي گفت: همچنين با اجراي فاز دوم تمهيدات امنيتي در ارديبهشت و خرداد امسال، تعداد بيشتري از كارت‌هاي بانكي مشمول عمليات اجباري تغيير رمز مي‌شوند تا جايي كه تغيير رمز كارت‌ها هر 3 ماه يك بار اجباري خواهد شد.

وي در پاسخ به خبرنگار ما درباره اين‌كه شخص هكر كيست، شركت وي داراي چه ميزان ارتباط با بانك مركزي بوده، ريشه اختلاف يا انگيزه وي چه بوده و چرا بانك مركزي اين شركت را به قدر كافي زيرنظر نداشته است؟ گفت: شخص هكر تقريبا خود را معرفي كرده است، اما درباره ساير زواياي موضوع، اين امر به نهادهاي انتظامي ـ امنيتي واگذار شده، اما درباره آن اظهارنظر نمي‌كنيم.

پليس فتا: جاي نگراني نيست

از سوي ديگر، معاون اجتماعي پليس فتا(فضاي توليد و فناوري اطلاعات) نيروي انتظامي گفت: از ديد پليس فتاي نيروي انتظامي هيچ گونه اطلاعات مالي مانند شماره حساب در اختيار مجرمان قرار نگرفته و جاي هيچگونه نگراني نيست. سيدمحسن ميربهرسي در گفت‌و‌گو با ايرنا افزود: اطلاعات درز پيداكرده شامل نام و نام خانوادگي، شماره شناسنامه و ديگر اطلاعات شخصي و مشخصات فردي دارندگان كارت‌هاست. وي اظهار كرد: اطلاعات بيشتر از سوي بانك مركزي ارائه مي‌شود.

انحصارگري شركت درزدهنده اطلاعات

در همين حال خبرگزاري‌هاي کشور، اطلاعاتي را مبني بر انحصارگري و واگذاري قراردادهاي بزرگ بانك مركزي به شركتي كه اطلاعات كارت‌هاي بانكي مردم،را درز داده است، منتشر كردند.

به گزارش مهر، يک مقام آگاه با اعلام جزئياتي از انحصارگري شرکت ف.آ در نظام الکترونيکي بانک‌هاي کشور گفت: اين شرکت تنها شرکت خصوصي داراي مجوز پرداخت الکترونيک از بانک مرکزي است.وي در مورد فعاليت شرکت ف.آ که اطلاعات الکترونيک بانک‌هاي ايراني را لو داده است، گفت: اين شرکت در سال 78 با سرمايه‌گذاري يک هلدينگ اروپايي و يک شرکت فعال در حوزه فناوري اطلاعات کشور تاسيس شده است.

وي با اشاره به اين‌که اين شرکت از سال 82 فعاليت خود را با بانک‌هاي کشور آغاز کرده است و براساس آن، بيش از 30 درصد سهم تامين کارت‌هاي بانکي کشور را در اختيار دارد، افزود: اين شرکت با شرکت‌هاي بزرگ خودروساز و همراه اول نيز همکاري‌هاي گسترده‌اي دارد.

اين مقام آگاه با اعلام اين‌که اين شرکت در سال 83 توانست موافقت اصولي ارائه خدمات پرداخت از بانک مرکزي دريافت کند، افزود: در حال حاضر شرکت مذکور تنها شرکت خصوصي داراي مجوز پرداخت الکترونيک از بانک مرکزي است.

وي تصريح کرد: در سال 84 اين شرکت توانست موافقت اصولي اخذ شده از بانک مرکزي را به مجوز دائمي به عنوان تنها و اولين شرکت خصوصي فعال در صنعت بانکداري و خدمات پرداخت کشور تبديل کند.

وي اعلام کرد: اين شرکت هم‌اکنون با بانک‌هايي از جمله کشاورزي، رفاه، مسکن، شهر، سينا، سپه، صنعت و معدن، تجارت و ملي قراردادهايي را منعقد کرده، همچنين اين شرکت داراي مجوز P.S.P از بانک مرکزي است.

فارس و مهر همچنين جزئيات برخي قراردادهاي منعقد شده اين شركت را منتشر كرده‌اند.

مسوول دفتر مديريت شركت نام برده شده در آن وبلاگ نيز در پاسخ به خبرنگار ما با تاييد حضور نگارنده وبلاگ در آن شركت و درست بودن نام‌هاي ذكر شده موضوع را به بانك مركزي حواله داده و با امتناع از هرگونه پاسخگويي صرفا گفت موضوع را در دست بررسي داريم و اطلاعات ديگري نيز ارائه نداد.

احضار بهمني به مجلس

از سوي ديگر، رئيس کميسيون اقتصادي مجلس با تاکيد بر اين‌که مسوولان بانک مرکزي بايد پاسخگوي عملکرد خود نسبت به درز اطلاعات محرمانه بانکي مردم باشند، از احضار رئيس کل بانک مرکزي به مجلس براي پاسخگويي در اين باره خبر داد.

ارسلان فتحي‌پور در گفت‌وگو با مهر، در واکنش به هک سيستم اطلاعات 10 بانک کشور و درز اطلاعات محرمانه بانکي 3 ميليون نفر اظهار كرد: اين موضوع قطعا در دستور هفتگي جلسات آينده کميسيون اقتصادي مجلس لحاظ خواهد شد تا ابعاد مختلف آن مورد بررسي قرار گيرد.

وي افزود: با توجه به اين‌که طي روزهاي آينده، بهمني، رئيس کل بانک مرکزي به منظور شرکت در اجلاس بهاره بانک جهاني و صندوق بين‌المللي پول عازم آمريکا خواهد شد؛ لذا در نظر داريم پس از اين سفر، او را به مجلس فرابخوانيم تا پاسخگوي عملکرد خود نسبت به درز اطلاعات محرمانه بانکي مردم باشد.

رئيس کميسيون اقتصادي مجلس تصريح کرد: مسوولان بانک مرکزي و ساير بانک‌ها بايد نسبت به تخلفي که انجام شده است، پاسخگو باشند.