زمان : 28 Farvardin 1391 - 00:38
شناسه : 49421
بازدید : 9082
معمای هکرهای افشاکننده رمزهای عبور کارت‌های بانکی معمای هکرهای افشاکننده رمزهای عبور کارت‌های بانکی محمدحسین تقوایی:پس از نزدیک به یک هفته انتشار رمز عبور کارتهای بانکی در وبلاگ ناشناس، بانک مرکزی در فراخوانی عمومی، از مشتریان خواست تا رمزهای عبور خود را تغییر دهند.............



با اعلام هک شدن ۳ ميليون کارت بانکی از اکثر بانک‌های خصوصی و دولتی توسط هکر‌ها ار روز گذشته و انتشار رمز آن‌ها به همراه شماره کارت مشترکان در يک وبلاگ، موج تشويش و نگرانی در نزد مشترکان بانکی مبنی بر دستبرد به حساب‌ها به وجود آورده است.
با اظهارات يک مقام رسمی بانکی در خصوص وجود دست داشتن يک شرکت نرم افزاری که سابقا با بانک‌های کشور در جهت راه اندازی سيستم‌های خود‌پرداز همکاری داشته است، عملا به موضوع هک شدن شبکه شتاب بانکی از سوی اين شرکت قوت بخشيده شد.
یکی از مقامات بانکی ایران مدعی شد : یکی  شرکت طرف قرارداد بانکها، در پی قطع همکاری بانک‌ها با آن، دست به اقدام تلافی جويانه زده و با انتشار شماره حساب بانکی مشترکان و رمز کارت آن‌ها در يک وبلاگ، قصد داشته که شبکه شتاب را هک کند که موفق به اين کار نشده است البته هنوز نام این شرکت به صورت رسمی اعلام نشده است.
در همین حال، برخی از منابع خبری، هدف از انتشار رمز عبوربانکهای  با نيت اصلی شرکت نرم‌افزاری  را اقدامی سياسی و گرفتن تابعيت اعلام کرده‌اند.
پیشتر گزارش شده بود که سیستم اطلاعات ۱۰ بانک کشور هک شده و اطلاعات محرمانه بانکی سه میلیون تن به بیرون درز کرده است. مجلس شورای اسلامی در زمان اعلام این گزارش گفت موضوع را دنبال می‌کند و حتی ممکن است رییس بانک مرکزی را به مجلس فرابخواند.

http://www.yazdfarda.com/media/news_gal/file_537.jpeg


خطری در میان نیست
برخی از مدیران ارشد بانکهای از روز گذشته تا کنون خطرات احتمالی و جوانب امنیتی افشای رمز عبور کارتهای بانکی را تکذيب کرده و معتقدند که ارسال پيامک برای مشترکان مبنی بر تعويض رمز کارت به منظور افزايش ضريب امنيت بوده است.
مدیر اداره نظام‌های پرداخت بانک مرکزی با ذکر اینکه «اطلاعات درز شده اهمیت آن چنانی نداشته»، به شهروندان توصیه کرده که رمز بانکی خود را تغییر دهند. متعاقب این خبر هجوم مردم به عابربانک‌ها برای تغییر رمز عبور گزارش شد.
حکیمی گفته که خطر «احتمالی به وجود آمده» برای «حدود دو درصد از ۱۶۰ میلیون کارت بانکی موجود در شبکه ایجاد شده است.» ،وی افزود: «طی سه روز گذشته مشخص شد که هیچ سندی حاکی از دسترسی غیرمجاز به حساب‌های بانکی مردم و یا برداشت ثبت نشده است.» گفته میشود


جزییاتی از افشاکنندگان رمز عبور بانکی
در همین حال خبرگزاری مهر به نقل از ناصر حکیمی، مدیر اداره نظام‌های پرداخت بانک مرکزی روز یکشنبه  اعلام کرد «مجوز شرکتی که اطلاعات بانکی مشتریان را لو داد، لغو شده» ولی «اطلاعاتی که به بیرون درز کرده، اهمیتی برای سوءاستفاده از حساب‌های بانکی افراد، ندارد.»
حکیمی در نشستی خبری گفته است: «حدود ۳ روز پیش یک تیم در بانک مرکزی اخباری را دریافت کرد که طی آن یک شخص از کارکنان شرکت ارائه دهنده خدمات پرداخت بانکی (ف. ا) ادعا کرد که اطلاعات بانکی برخی از دارندگان کارت بانکی را منتشر کرده است.»
مدیراداره نظام‌های پرداخت بانک مرکزی همچنین گفته که هیچ‌گونه «هک در سیستم بانکی صورت نگرفته و ادعای شخص در وبلاگش صرفا از طریق گزارش‌های روزانه مردم بوده است، سهل‌انگاری مدیریتی یا نرم افزاری در یک شرکت خصوصی که عهده‌دار خدمات پایانه‌های فروش بود باعث این اتفاق شد.»
وی گفته است: «از این به بعد، فعالیت این گونه شرکت‌ها، برای اعطای مجوز چند ده برابر گذشته امنیت نرم افزارهای آنان کنترل خواهد شد.»
مدیر اداره نظام‌های پرداخت بانک مرکزی همچنین گفته که ۱۵ شرکت دیگر در این حوزه فعالیت دارند که ممکن است بانک‌ها در ادامه ارتباط با این شرکت‌ها تجدیدنظر کنند.
بورس نیوز ضمن ارایه گزارشی در خصوص انتشار  رمز عبور کارتهای بانکی در وبلاگی مدعی شده است که این رمزها توسط فردی در وبلاگی به مرور منتشر شده است اما پس از چند روز انتشار این موضوع توسط بانک مرکزی جدی گرفته شد و فرخوان عمومی صادر گردید.

افشا کننده اطلاعات کیست؟
خبرگزاری مهر و فارس در دو گزارش و به نقل از منابع آگاه به بررسی شرکت مظنون در این مسئله، به نام شرکت ف آ اشاره کرده و نوشته‌اند: «این شرکت تنها شرکت خصوصی دارای مجوز پرداخت الکترونیک از بانک مرکزی است که در سال ۷۸ تاسیس شده است.»
گزارش یاد شده می‌گوید این شرکت در سال ۸۳ توانست موافقت اصولی «ارائه خدمات پرداخت» از بانک مرکزی را دریافت کند و در حال حاضر تنها شرکت خصوصی دارای مجوز پرداخت الکترونیک از بانک مرکزی است.
این گزارش می‌افزاید: «در سال ۸۴ این شرکت توانست موافقت اصولی اخذ شده از بانک مرکزی جمهوری اسلامی ایران را به مجوز دائمی به عنوان تنها و اولین شرکت خصوصی فعال در صنعت بانکداری و خدمات پرداخت کشور تبدیل کند.»

گمانه زنی دیگر، افشا اطلاعات توسط مدیر نرم افزاری شرکت
سایت الف در گزارشی نوشته درز کردن مشخصات بانکی شماری از مشتریان هک نبوده، که یکی از کسانی که این اطلاعات را در دست داشته، از کشور خارج شده و آنها را منتشر کرده است.
در این گزارش آمده است «مدیر نرم افزار اسبق یکی از شرکت‌های همکار بانک مرکزی پس از بروز اختلافاتی با مدیران شرکت، با همراه داشتن اطلاعات بانکی محرمانه، به خارج از کشور گریخته و سپس با ایجاد یک وبلاگ به انتشار اطلاعات سه میلیون کارت بانکی اقدام کرده است.»
در این گزارش آمده که شخص یاد شده که از اون به نام آقای خ- ز نام برده شده، چندین سال در شرکت مشغول فعالیت بوده و در حوزه وظایفش، «نرم افزارهای پایانه‌های فروش و سوییچ بانکی شرکت» را تولید کرده است. پس از آنکه بابت خدمات انجام شده و بر سر پرداخت آن با شرکت دچار اختلاف می‌شود، «با هدف آشکار کردن سوء مدیریت مدیران بانکی اقدام به انتشار اطلاعات محرمانه کارت‌های مشتریان بانک‌ها به همراه رمز عبور آنها (به شکل رمز مخفی) می‌کند.
شخص یاد شده گفته که قبل از این اقدام تلاش کرده با مدیران بانک‌های مختلف تماس بگیرد اما به درخواست‌های وی ترتیب اثر داده نشده است.
بر اساس این گزارش، اطلاعات سه میلیون کارت‌های صادره توسط بانک‌های ملی، ملت، صادرات، پارسیان، پاسارگاد، کشاورزی و ده‌ها بانک دیگر، درحال حاضر توسط خ- ز از طریق یک وبلاگ منتشر و علنی شده است.
شخص یاد شده روی وبلاگ خود نوشته رمزهای عبور را به نحوی اعلام کرده که فقط توسط صاحبان کارت‌ها قابل تشخیص است و فعلا تهدیدی برای صاحبان آن‌ها به شمار نمی‌رود.

سخن آخر
حال اين موضوع مطرح می‌شود که آيا به واقع سيستم شتاب در مقابل هرگونه حمله نرم‌افزاری آسيب‌پذير بوده و توانايی مقابله با اين حملات وجود دارد؟اين مسائل موجب شده است تا بسياری از بانک‌ها هرگونه عمليات بانکی در دستگاه‌های خودپرداز را منوط به تغيير رمز کنند. به همين دليل نگرانی مشتريان بيشتر شده و هجوم آن ها به دستگاه‌های خودپرداز برای تغيير رمز و جلوگيری از دستبرد به حساب موجب اخلال در شبکه شتاب شده است.
از سوی ديگر يک مقام بانک مرکزی غير فعال شدن عابر بانکهای کشور را تکذيب کرد و جالب آنکه اين مقام بانکی هر گونه حمله سابيری و يا اختلال در کارت‌های بانکی و شبکه شتاب را رد کرده است.
به هر حال انتظار میرود که مسوولین بانکها، با درایت و بر اساس شیوه نامه های اجرایی بین المللی امنیتی، نسبت به این حادثه فراگیر اقدام نموده که علاوه بر حداقل رساندن آسیب احتمالی، خیال مشتریان خود را آسوده کنند.