به گزارش عصر ارتباط هرچند درز اطلاعات توسط مدیر پیشین بخش نرمافزار شرکت فناوران انیاک صورت گرفته بود و این شرکت از معدود شرکتهای صد درصد خصوصی PSP به شمار میآید که علاوه بر اینکه مجوز خود را در سال 84 به عنوان شرکت ارائهدهنده خدمات پرداخت از بانک مرکزی دریافت کرد به هیچ بانک دولتی و خصوصی نیز وابسته نبود لیکن به نظر میرسد دامنه تاثیر سوء اخبار هفته گذشته نهتنها دامن خود این شرکت بلندپرواز را گرفت بلکه دامنگیر سایر همکارانش نیز خواهد شد.
جالب آنکه این وقایع در حالی رخ داد که انیاک زودتر از سایر رقبای خود سعی میکرد خود را برای پیوستن به شاپرک مهیا کند اما درز این اطلاعات مجوز این شرکت را نیز باطل کرد و بانک مرکزی در اولین واکنشهای خود به انتشار این خبر، اعلام کرد همکاری خود را با این شرکت قطع کرده است.
دوره اعتبار مجوز تمام شرکتهای PSP تا پایان سال 90 بود و قرار بود از ابتدای امسال با شکلگیری شاپرک این شرکتها خود را با مقررات جدید هماهنگ کنند تا مجوز جدید برایشان صادر شود؛ مجوزی که پس از درز اطلاعات سه میلیون کارت بانکی شهروندان دریافت آن نه تنها برای شرکت فناوران انیاک غیرممکن به نظر میرسد بلکه سایر شرکتهای ارائهدهنده خدمات پرداخت را نیز بیش از پیش زیر ذرهبین قرار خواهد داد. مدیر اداره نظامهای پرداخت بانک مرکزی در این خصوص اعلام کرده است که در اعطای مجوزهای جدید نرمافزارهای امنیتی آنان چندبرابر گذشته چک خواهد شد.
چگونه اطلاعات بانکی لو رفت
اطلاعات سه میلیون کارت بانکی شهروندان برای اولین بار در وبلاگ شخصی مدیر سابق نرمافزار شرکت فناوران انیاک منتشر شد. خسرو زارع فرید در وبلاگش خبر از ایمن نبودن سوئیچ این شرکت داد و در یکی از پستهای خود اعلام کرد که با مدیران بانکها در این خصوص وارد مذاکره شده است و هیچ پاسخی از آنان در خصوص این سوراخ اطلاعاتی دریافت نکرده است.
او مدعی شده که تلاش کرده با انتشار حدود سه میلیون شماره کارت بانکی و رمزهای آنها که در یک کد 14 رقمی مخفی بود، زنگ خطر را برای شبکه بانکی به صدا در آورد. این زنگ خطر موجب شد تمامی بانکها در سکوت خبر خود و رئیس بانک مرکزی به عنوان نهاد ناظر به شکل سربسته در یک بازه زمانی 24 ساعته از تمام مشتریان خود و دارندگان کارتهایشان تقاضا کنند رمز کارت خود را تغییر دهند.
اما این پایان ماجرا نبود چرا که او در گفتوگو با یکی از شبکههای خارجی اعلام کرد که مشکل با تغییر رمز رفع نمیشود چرا که اگر یک بار دیگر این کارت روی پایانههای فروش انیاک کشیده شود اطلاعات آن در سوئیچ این شرکت درج میشود و اطلاعاتش برای افراد قابل مشاهده خواهد بود. خسرو زارع فرید دلیل این امر را رعایت نکردن استانداردهای امنیتی از سوی شرکت انیاک اعلام کرده است.
در ورای موج نارضایتی حاصلشده از این رویدادها نکته حتی مهمتری که خودنمایی میکند این حقیقت است که مطابق استانداردهای تعریفشده از سوی بانک مرکزی برای ارائهکنندگان خدمات پرداخت رمز این کارتها پس از تولید یا مصرف از بین میرود یا بهگونهای نگهداری میشود که قابل مشاهده و خواندن برای دیگران نیست.
در وهله اول آشکار است که رعایت نکردن این استانداردهای بنیادین از سوی انیاک موجب بروز مشکل یادشده بوده است. در عین حال مدیر سابق نرمافزار انیاک دلیل اصلی را استفاده نکردن از دستگاه سختافزاری HSM میداند؛ دستگاهی که به وسیله آن میتوان رمز تولیدشده را نگهداری کرد و از امنیت بیشتری برخوردار است. در یکی از گفتوگوییهایی که میان مدیر سابق نرمافزار انیاک و مدیرعامل این شرکت انجام و در وبلاگ شخصی خسرو زارع فرید منتشر شده است، هنگامیکه مدیرعامل در مقابل این پرسش قرار میگیرد که چرا استانداردهای امنیتی را رعایت نکرده است، پاسخ میدهد دیگران نیز این استانداردها را رعایت نکردهاند و بانک مرکزی هم در این خصوص نظارت لازم را انجام نداده است.
بانکها چه کردند؟ سیل تغییر رمزها جاری شد
شبکه بانکی کشور پس از انتشار این خبر به نظر کمی دستپاچه میرسید چرا که نهتنها در وهله اول نمیتوانست صحت و سقم آن را تایید کند بلکه باید به مشتریان خود اطمینان میداد که حسابهایشان نزد آنها امن است و هیچ کس نمیتواند بدون مجوز مشتریان از حساب آنها برداشت کند. از همین رو در اولین اقدام تمام بانکها با ارسال پیامک از مشتریان خود خواستند رمز کارتهای خود را تغییر دهند و حتی حسابهای مشکوکی را که شماره آنها روی اینترنت پخش شده بود مسدود اعلام کردند.
در همان زمان نیز بانک مرکزی در اطلاعیهای اعلام کرد که تمام دارندگان کارتهای بانکی رمز خود را برای افزایش سطح ایمنی کارت خود تغییر دهند.
طبق اعلام بانک مرکزی شماره کارتهای منتشرشده روی اینترنت تقریبا یک و نیم تا دو درصد کل کارتهای بانکی را شامل میشد که حدود یکسوم این کارتها نیز مدت اعتبارشان به پایان رسیده بود یا غیرفعال شده بودند. پس از صدور این اطلاعیهها مردم مقابل خودپردازها دوباره صف کشیدند اما این بار نه برای دریافت یارانهها یا حقوقشان بلکه برای تغییر رمز کارتشان. متاسفانه اولین برخورد عمومی کاربران بانکداری الکترونیکی با مساله امنیت تاکنون پایانی خوش نداشته است.
سختافزار یا انسان چه کسی مقصر است
مسوولان بانک مرکزی چاره کار را در تغییر رمز میدانستند و بارها تاکید میکردند که اطلاعات افشاشده از کارتهای بانکی به هیچ وجه برای برداشت از حسابها کافی نیست و تاکنون برداشت غیرمجازی از حسابها صورت نگرفته است.
مدیر اداره نظامهای پرداخت بانک مرکزی درخواست تغییر رمز کارتها از سوی شبکه بانکی کشور را اقدامی احتیاطی میدانست اما هیچ گاه اعلام نکرد که آیا با اقدامات جدید انجامشده جلوی درز اطلاعات گرفته شده است یا خیر.
ناصر حکیمی گفت این اتفاق به هیچ وجه هک نیست بلکه در اثر اشتباه نرمافزاری این اطلاعات از یکی از شرکتهای خصوصی فعال در این حوزه درز پیدا کرده است. بخشی از اطلاعات کارتها که برای رفع مغایرتها در تراکنشها برای مدتی در اختیار حسابداریهای بانکها قرار میگیرد، باید بعد از مدت مشخصی پاک میشده اما سال گذشته در اواسط مردادماه مشخص شد به دنبال یک اشتباه و اختلال نرمافزاری در یک مورد اطلاعات پاک نشده و فردی هم در یک شرکت خصوصی با برداشت این اطلاعات در واقع اقدامی غیرقانونی انجام داده است.
حکیمی ادامه داد: «در همان مقطع زمانی این مساله مشخص و مشکل نرمافزاری به سرعت برطرف شد اما متاسفانه بخشی از اطلاعات به دست فرد متخلف افتاده بود.»
اما این سوال باقی میماند که چرا همان زمان بانک مرکزی اطلاعیهای در خصوص تغییر رمز کارتها صادر نکرد و تا زمان انتشار این اطلاعات روی اینترنت سکوت کرد؟
واکنش همراه با احضار
فقط شبکه بانکی نبود که مقابل این اتفاق از خود واکنش نشان داد، پس از گذشت دو روز از انتشار این خبر رئیس کمیسیون اقتصادی مجلس خبر از احضار رئیس کل بانک مرکزی برای پاسخگویی در خصوص درز اطلاعات مشتریان بانکها داد، هر چند این احضار به بعد از بازگشت رئیس کل از اجلاس بهاره بانک جهانی و صندوق بینالمللی پول محول شد. شاید در آن جلسه رئیس کل بانک مرکزی پاسخگوی کوتاهی این بانک در خصوص نظارت بر عملکرد و فعالیتهای شرکتهای ارائهدهنده خدمات پرداخت باشد؛ نظارتی که فقدانش این بار از طریق درز اطلاعات کارتهای مشتریان مشخص شد و در گذشته بروزش نصب چندین پایانه فروش در یک فروشگاه بود.
هرچند تاکنون پلیس فضای مجازی ایران موسوم به فتا در این خصوص هیچ موضعگیری رسمیای نکرده است اما خبری از سوی خبرگزاری مهر منتشر شده است که یک مقام آگاه در پلیس خبر از تحت تعقیب قرار گرفتن افشاکننده رمزهای کارتهای بانکی و مدیر شرکت انیاک داد.
این منبع آگاه در نیروی انتظامی گفت: «مدیر شرکت فناوران انیاک علاوه بر خسرو زارع فرید- افشاکننده اطلاعات کارتهای بانکی- به علت سهلانگاری تحت تعقیب قرار گرفته است. متهم اصلی نیز تحت تعقیب پلیس بینالملل (اینترپل) است.»
او ادامه داد: «پلیس قبل از افشای اطلاعات در پی تهدید متهم و شکایت بانکها تحقیقات خود را آغاز کرده بود.»
این منبع آگاه تاکید کرد: «پس از افشای اطلاعات، بانک مرکزی با اطلاعرسانی نادرست موجب تشویش اذهان مردم شد. بر اساس اطلاعات موجود نیاز به تغییر رمز وجود نداشت و مسوولان بانک مرکزی میتوانستند در هفتههای آینده به تدریج اقدام به تغییر رمزها کنند چرا که هیچ خسارت مالیای دارندگان کارت را تهدید نمیکرد.»
با وجود گذشت یک هفته از افشای اطلاعات و با در نظر گرفتن این امر که اکثر دارندگان کارتهای بانکی رمز کارتهای خود را تغییر دادهاند به دلیل برطرف نشدن نقص امنیتی موجود در ساختار پرداخت الکترونیکی کشور هنوز این سوال مطرح است که آیا امکان تکرار این اتفاق این بار از یک شرکت یا بانک دیگر وجود دارد یا خیر؟ پاسخ این پرسش را مدیر اداره نظامهای پرداخت به گونهای دیگر داده است. او اعلام کرد ابزاری در حال تهیه است که در صورت انجام عملیات الکترونیکی اطلاعات در سامانه باقی نماند که این سیستم اکنون در خودپردازها وجود دارد اما در سیستمهای کارتخوان باید نصب شود.