در حالي كه انتشار اخباري درباره هك شدن و لورفتن اطلاعات حدود 3 ميليون كارت بانكي باعث نگراني افكار عمومي شده است، بانك مركزي ديروز از طريق رسانهها به مردم اطمينان داد كه هيچ حسابي هك نشده و هيچ پولي نيز از حساب مردم خارجنشدهاست.
به گزارش خبرنگار جامجم، 2 روز پيش در فضاي مجازي خبري منتشر شد مبني بر اينكه يك وبلاگ، اطلاعات كارت بانكي و رمز عابربانك حدود 3 ميليون نفر را منتشر كرده است. اين خبر ابتدا جدي گرفته نشد تا اين كه برخي بانكها با ارسال پيامكهايي به مشتريان خود از آنها خواستند بلافاصله رمز كارت خود را عوض كنند. همچنين استفاده از برخي كارتهاي بانكي مسدود شد. كمي پس از آن بانك مركزي نيز در اطلاعيهاي با تاييد تلويحي اين ماجرا از همه شهروندان خواست رمز كارت بانكي خود را عوض كنند. ديروز كه اين اطلاعيه منتشر شد موجي از نگراني و پرسش افكار عمومي را فراگرفت و اين پرسشها با مراجعه شهروندان به دستگاههاي خودپرداز ومشاهده مسدود بودن برخي كارتها تشديد شد.
ماجرا چه بود؟
در چند روز گذشته يك وبلاگ بينام و نشان راهاندازي شد كه مدعي شده بود يكي از شركتهاي فروشنده دستگاههاي كارتخوان فروشگاهي يا همان POS بدون در نظر گرفتن مراتب امنيتي تعداد زيادي دستگاه به سيستم بانكي كشور فروخته است كه توسط بسياري از بانكها در حال استفاده است و اين يك خطر بالقوه براي مردم است.
چند روز بعد اطلاعات تكميلي ديگري درباره قصد و نظر نويسنده وبلاگ منتشر شد كه گفته بود به دليل اختلاف مالي با آن شركت و عدم عمل آن شركت به تعهداتش قصد افشاي يك اشكال امنيتي سيستم بانكي درباره كارتهاي بانكي دارد.
در نهايت اين اطلاعات در قالب حدود 3 ميليون شماره كارت بانكي به همراه رمز آن انتشار يافت و شامل تمام بانكهاي خصوصي و دولتي كشور ميشد كه از سيستم شتاب استفاده ميكنند. البته رمز آنها در قالب يك عدد 16 رقمي پنهان شده بود تا فقط صاحب حساب بتواند تشخيص دهد اين اطلاعات صحيح است يا خير.
تلاش خبرنگار ما براي برقراري تماس با منتشركننده اطلاعات از طريق پست الكترونيك تا زمان نگارش گزارش بينتيجه ماند.
پيامك بانكها
با اين حال موضوع تا اينجا نيز ميتوانست يك شايعه بياساس باشد كه حتي ارزش خواندن هم نداشت، چه رسد به پيگيري و نگارش، اما وقتي شنيده شد براي تعدادي افراد از بانكهايي كه از آن كارت بانكي دريافت كردهاند، پيامكي مبني بر اينكه «مشتري گرامي براي ارتقاي امنيت سريعا نسبت به تعويض رمز كارت بانكي خود از طريق دستگاههاي عابربانك اقدام نماييد» ارسال شد، موضوع ديگر يك شايعه معمولي نبود.ارسال پيامكهايي با متن مشابه از طرف چند بانك مختلف در فاصله زماني كوتاه موضوع را تا حدودي روشن كرد و كارتهايي كه در آن وبلاگ شماره آنها ذكر شده بود، مسدود و با مراجعه به خودپردازها مشخص ميشد كه تنها گزينه تغيير رمز براي آنها فعال بوده است.
ريشه مشكل چه بود؟
بررسيها و اطلاعات كسب شده نشان ميدهد كه به زبان ساده و خلاصه استانداردهاي امنيتي لازم براي سختافزار نوع خاصي از كارتخوانهاي فروشگاهي موجود در كشور رعايت نشده است.
اين ضعف امنيتي مربوط به عدم وجود يك سيستم معروف به ماژول امنيتي سختافزار (Hardware security module) است كه به اختصار HSM گفته ميشود. اين سيستم نوعي پردازنده رمز نگاري است كه مديريت كليدهاي ديجيتال و پردازندههاي پرسرعت رمزنگاري را هنگام خريدهاي ديجيتال برعهده دارد.در واقع دستگاههاي پذيرنده كارت در فروشگاهها به طور مرسوم در قالب يك كارت متصل يا دستگاههاي امنيتي همراه آن ارائه ميشود كه ميتواند مستقيما به سرور هدف متصل شود، لذا بايد داراي يك سيستم امنيتي HSM باشد كه ارتباط و نحوه ارسال اطلاعات را ايمن كند. در نتيجه نبود اين سيستم امنيتي در سيستم پايانههاي فروش بانكي باعث شده است اين اتفاق رخ دهد.
بانك مركزي: نگران نباشيد
به دنبال انتشار اين اخبار ديروز عصر ناصر حكيمي، رئيس اداره نظامهاي پرداخت بانك مركزي روبهروي جمعي از خبرنگاران نشست و كل اتفاق را شرح داد.
وي گفت: وبگردانان بانك مركزي موسوم به كاشف كه به طور دائمي اخبار و تحولات فضاي مجازي را رصد ميكنند، روز جمعه گذشته گزارش كردند شخصي در وبلاگ خود اطلاعات كارتهاي بانكي را منتشر كرده است. بلافاصله كارگروه امنيتي در بانك مركزي براي بررسي موضوع تشكيل شد و چون ابعاد موضوع هنوز روشن نبود، فعلا قرار شد بلافاصله دسترسي به كارتهايي كه از 3 ماه گذشته تاكنون رمزشان تغيير نكرده، مسدود شده و شخص تنها در صورتي بتواند از كارت خود استفاده كند كه رمزش را تغيير دهد.
وي افزود: در واقع شخص هنگام ورود كارت به خودپرداز فقط با منوي تغيير رمز مواجه ميشد و تا رمز را تغيير نميداد ، نميتوانست ساير منوها را ببيند يا از آن استفاده كند.
وي اظهار كرد: همچنين بلافاصله به تمامي بانكهاي كشور بخشنامه شد كه به اين گونه مشتريان خود پيامك ارسال كنند رمزشان را تغيير دهند. همزمان به مراجع انتظامي و اطلاعاتي نيز اطلاعرساني شد كه بخشي از كار از كانال آنها پيگيري شود. وي افزود: ما در مجموع براي 5/1 تا 2 درصد كارتهاي بانكي كه حدود 8/1 ميليون كارت ميشوند، تغيير رمز را اجباري و دسترسي به حساب از طريق كارت را نيز محدود كرديم.
اين مقام بانک مرکزي خاطرنشان كرد: با اين حال عمليات تغيير رمز را از طريق خودپرداز و بدون نياز به مراجعه به شعبه برنامهريزي كرديم تا مردم براي باز كردن حسابهايشان دچار زحمت نشوند. هر چند همين امر نيز جاي عذرخواهي دارد.
حكيمي گفت: ادامه بررسيها كه با بررسي دقيق محتواي اطلاعات منتشر شده در وبلاگ ياد شده صورت گرفت، نشان داد اين مساله يك مساله جدي امنيتي نيست، چرا كه روشن شد آن شخص، گزارشهاي عمليات حسابداري و رفع مغايرت بانكها در زمينه دستگاههاي پايانه فروش را كپيبرداري و منتشر كرده است.وي افزود: اين اطلاعات قديمي نيز بوده و بعضا متعلق به مرداد و شهريورماه سال گذشته است.وي تصريح كرد: در مجموع، دريافتيم كه اين اطلاعات حساس نيست و موضوع، استفاده از كارت اشخاص و موجودي آن نيست.
برداشتي يا هكي صورت نگرفته است
مدير اداره نظامهاي پرداخت بانك مركزي تصريح كرد: اصل موضوع اين است كه هيچگونه رد يا سندي نيافتهايم كه حاكي از دسترسي غيرمجاز يا برداشتي از حسابها و كارتهاي مردم باشد. مثلا نحوه گردش حسابها روند غيرعادي را نشان نميدهد. همچنين هيچ هك يا نفوذي به كارتهاي مردم و سيستمهاي بانكها اتفاق نيفتاده است.
وي افزود: فقط سهلانگاري يك شركت خصوصي بوده كه يكي از مديرانش به خاطر اختلافات مالي داخلي اقدام به انتشار اين اطلاعات كرده است.وي اظهار كرد: براي برداشت از حسابها علاوه بر شماره كارت و رمز، خود كارت نيز نياز است و لذا كارتي براي برداشت وجود نداشته است.
قطع همكاري با شركت متخلف
اين مقام بانك مركزي افزود: بديهي است شركتي كه نتواند در درون خود مديريت لازم را براي دسترسي به اطلاعات و بويژه امنيت، ايجاد كند، از نظر بانك مركزي صلاحيت ندارد و با آن شركت قطع همكاري خواهد شد.
وي افزود: همچنين در نظر داريم براي ادامه همكاري با ساير شركتها نيز علاوه بر چك كردن مجدد رويههاي قبلي، تضمين امنيتي نيز اضافه كنيم و رويهها و عمليات داخل شركتها را براساس اين تضمين امنيتي استانداردسازي كنيم.
وي تصريح كرد: اين سياست هم در بازنگري مجوز شركتهاي فعلي همكار بانك مركزي و بانكها وهم در صدور مجوز همكاري با ساير شركتهاي جديد لحاظ خواهد شد. وي افزود: همچنين از اين پس قوانين و مقررات انتقال به شبكه شما پرداخت جديتر خواهد شد و حجم معيارهاي امنيتي در آن 10برابر ميشود.
حكيمي گفت: همچنين با اجراي فاز دوم تمهيدات امنيتي در ارديبهشت و خرداد امسال، تعداد بيشتري از كارتهاي بانكي مشمول عمليات اجباري تغيير رمز ميشوند تا جايي كه تغيير رمز كارتها هر 3 ماه يك بار اجباري خواهد شد.
وي در پاسخ به خبرنگار ما درباره اينكه شخص هكر كيست، شركت وي داراي چه ميزان ارتباط با بانك مركزي بوده، ريشه اختلاف يا انگيزه وي چه بوده و چرا بانك مركزي اين شركت را به قدر كافي زيرنظر نداشته است؟ گفت: شخص هكر تقريبا خود را معرفي كرده است، اما درباره ساير زواياي موضوع، اين امر به نهادهاي انتظامي ـ امنيتي واگذار شده، اما درباره آن اظهارنظر نميكنيم.
پليس فتا: جاي نگراني نيست
از سوي ديگر، معاون اجتماعي پليس فتا(فضاي توليد و فناوري اطلاعات) نيروي انتظامي گفت: از ديد پليس فتاي نيروي انتظامي هيچ گونه اطلاعات مالي مانند شماره حساب در اختيار مجرمان قرار نگرفته و جاي هيچگونه نگراني نيست. سيدمحسن ميربهرسي در گفتوگو با ايرنا افزود: اطلاعات درز پيداكرده شامل نام و نام خانوادگي، شماره شناسنامه و ديگر اطلاعات شخصي و مشخصات فردي دارندگان كارتهاست. وي اظهار كرد: اطلاعات بيشتر از سوي بانك مركزي ارائه ميشود.
انحصارگري شركت درزدهنده اطلاعات
در همين حال خبرگزاريهاي کشور، اطلاعاتي را مبني بر انحصارگري و واگذاري قراردادهاي بزرگ بانك مركزي به شركتي كه اطلاعات كارتهاي بانكي مردم،را درز داده است، منتشر كردند.
به گزارش مهر، يک مقام آگاه با اعلام جزئياتي از انحصارگري شرکت ف.آ در نظام الکترونيکي بانکهاي کشور گفت: اين شرکت تنها شرکت خصوصي داراي مجوز پرداخت الکترونيک از بانک مرکزي است.وي در مورد فعاليت شرکت ف.آ که اطلاعات الکترونيک بانکهاي ايراني را لو داده است، گفت: اين شرکت در سال 78 با سرمايهگذاري يک هلدينگ اروپايي و يک شرکت فعال در حوزه فناوري اطلاعات کشور تاسيس شده است.
وي با اشاره به اينکه اين شرکت از سال 82 فعاليت خود را با بانکهاي کشور آغاز کرده است و براساس آن، بيش از 30 درصد سهم تامين کارتهاي بانکي کشور را در اختيار دارد، افزود: اين شرکت با شرکتهاي بزرگ خودروساز و همراه اول نيز همکاريهاي گستردهاي دارد.
اين مقام آگاه با اعلام اينکه اين شرکت در سال 83 توانست موافقت اصولي ارائه خدمات پرداخت از بانک مرکزي دريافت کند، افزود: در حال حاضر شرکت مذکور تنها شرکت خصوصي داراي مجوز پرداخت الکترونيک از بانک مرکزي است.
وي تصريح کرد: در سال 84 اين شرکت توانست موافقت اصولي اخذ شده از بانک مرکزي را به مجوز دائمي به عنوان تنها و اولين شرکت خصوصي فعال در صنعت بانکداري و خدمات پرداخت کشور تبديل کند.
وي اعلام کرد: اين شرکت هماکنون با بانکهايي از جمله کشاورزي، رفاه، مسکن، شهر، سينا، سپه، صنعت و معدن، تجارت و ملي قراردادهايي را منعقد کرده، همچنين اين شرکت داراي مجوز P.S.P از بانک مرکزي است.
فارس و مهر همچنين جزئيات برخي قراردادهاي منعقد شده اين شركت را منتشر كردهاند.
مسوول دفتر مديريت شركت نام برده شده در آن وبلاگ نيز در پاسخ به خبرنگار ما با تاييد حضور نگارنده وبلاگ در آن شركت و درست بودن نامهاي ذكر شده موضوع را به بانك مركزي حواله داده و با امتناع از هرگونه پاسخگويي صرفا گفت موضوع را در دست بررسي داريم و اطلاعات ديگري نيز ارائه نداد.
احضار بهمني به مجلس
از سوي ديگر، رئيس کميسيون اقتصادي مجلس با تاکيد بر اينکه مسوولان بانک مرکزي بايد پاسخگوي عملکرد خود نسبت به درز اطلاعات محرمانه بانکي مردم باشند، از احضار رئيس کل بانک مرکزي به مجلس براي پاسخگويي در اين باره خبر داد.
ارسلان فتحيپور در گفتوگو با مهر، در واکنش به هک سيستم اطلاعات 10 بانک کشور و درز اطلاعات محرمانه بانکي 3 ميليون نفر اظهار كرد: اين موضوع قطعا در دستور هفتگي جلسات آينده کميسيون اقتصادي مجلس لحاظ خواهد شد تا ابعاد مختلف آن مورد بررسي قرار گيرد.
وي افزود: با توجه به اينکه طي روزهاي آينده، بهمني، رئيس کل بانک مرکزي به منظور شرکت در اجلاس بهاره بانک جهاني و صندوق بينالمللي پول عازم آمريکا خواهد شد؛ لذا در نظر داريم پس از اين سفر، او را به مجلس فرابخوانيم تا پاسخگوي عملکرد خود نسبت به درز اطلاعات محرمانه بانکي مردم باشد.
رئيس کميسيون اقتصادي مجلس تصريح کرد: مسوولان بانک مرکزي و ساير بانکها بايد نسبت به تخلفي که انجام شده است، پاسخگو باشند.