پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
پیدا و پنهان سرقت اطلاعات کارتهای بانکی/آیا توطئه در کار است؟
افشای اطلاعات کارتهای بانکی از سوی مدیر نرم افزار شرکت وارد کننده دستگاههای پوز چقدر نگران کننده است؟ فرجام افشای این اطلاعات به نفع و زیان کیست؟
علیرضا خراسانی؛ مدیر نرم افزاری شرکت وارد کننده دستگاههای پایانه فروش (POS) (دستگاهی که هنگام خرید از فروشگاه یا مغازه، کارت بانکی روی آن کشیده شده و پول از کارت مشتری به حساب بانکی صاحب مغازه یا فروشگاه میرود) از ایران فرار میکند. این شرکت، عمده واردات و ساپورت نرم افزاری و سخت افزاری دستگاهای پایانه فروش در ایران را در اختیار دارد و رقیبی ندارد.
مدیر نرم افزار این شرکت، مدعی است با مدیران ارشد خود صحبت کرده که چرا برای بالا بردن سیستم امنیتی مبادلات پولی از طریق دستگاههای پوز، از ماژول سخت افزاری HSM استفاده نکردهاند و همین عامل باعث شده تا وی سعی کند تا نقشی شبیه رابین هود را ایفا کند.
مشکل بزرگ به گفته خسرو زارع فرید این است که دستگاهای HSM کمک میکند تا اطلاعات مشتریان روی ترمینالهایی که ممکن است مورد سوء استفاده هکرها و دزدان قرار گیرد، ذخیره نشده و لو نرود و بانک مرکزی باید این ماژول سخت افزاری را از این شرکت میخریده؛ که هنگام بستن قرارداد و بعدا بر سر مشکلات مالی ناشی از فروش دستگاهها اختلاف به وجود میآید.
همین مدیر نرم افزاری قهر کرده و از ایران فرار میکند و البته همان اطلاعات و رمزهای بین بانکی هنگام تبادل مالی بین دستگاهای پایانه فروش و ترمینال شرکت انیاک و بانک مرکزی را در هفته آخری که فرار میکند را روی هارد خود ریخته و به خارج از کشور میبرد.
اولین نکته و نتیجه این داستان: در عقب ماندهترین کشور جهان هم هیچ مدیر نرم افزاری حق ندارد دست به سرقت اطلاعات بزند. سرقت با هک کردن فرق دارد و دلسوزی شک بر انگیز مدیر نرم افزاری نیز نتیجهاش حداقل ۵ سال زندان در فرانسه یا آلمان است که وی بدانجا فرار کرده است. خیلی راحت پلیس ایران میتواند شکایت رسمی به اینترپل کرده و وی را به ایران بازگرداند. مقر اینترپل در فرانسه است و به راحتی میتوان با ارسال مدارک سرقت صورت گرفته توسط آقای نرم افزار وی را بازداشت کرد.
برگردیم به داستان قبلی
اطلاعاتی که مدیر نرم افزار در هفته قبل از فرار خود، کپی کرده حاوی رمزهای بین بانکی و شماره کارت فردی است که با دستگاه پایانه فروش خرید و فروش کرده است. این اطلاعات در حال حاضر به گفته او حدود سه میلیون کاربر بانکی است که وی آنها را منتشر کرده است.
آیا انتشار این شمارهها خطر فوری دارد؟
تقریبا ۹۹ درصد جواب منفی است.
شمارهها از الگوریتم خاصی پیروی میکند که برای یافتن این الگوریتم باید ریاضی دانان جمع شده تا فرمول تولید شماره رمز از روی کارت هنگام ترانزاکشن را کشف کنند. پس نتیجه فوری آن چندان خطرآفرین نیست.
برای همین بانک مرکزی به هشدار دادن به مردم بسنده کرده و در نهایت با مسدود کردن کارت بانکی لو رفتهها، جلوی سوء استفاده احتمالی را بگیرد. (برخی نیز با تماس با بانک مرکزی گفتهاند حسابشان خالی شده که در برخی موارد انسان را یاد گم کنندگان چمدان در فرودگاه میاندازد که هنگام پر کردن فرم گمشده هر آیتمی را که دلشان میخواهد مینویسند و از آب گل آلود ماهی میگیرند.)
بانکها نیز خودشان وارد عمل شده و با ارسال اسام اس از مردم خواستهاند تا جهت جلوگیری از سوء استفاده احتمالی شماره رمز خود را عوض کنند. کارشناسان بانکی هم میدانند که فعلا کسی نمیتواند سوء استفاده کند اما برای اطمینان بیشتر از مشتریان خواستهاند این کار را انجام دهند.
اگر کسی این الگوریتمها را کشف کند (که فعلا محال است) باید دسترسی به ترمینال شرکت وارد کننده دستگاههای پایانه فروش را هم داشته باشد تا بتواند دومین قدم از هک کارتها را انجام دهد (که این امکان نیز در حال حاضر وجود ندارد) و از طرف دیگر سایر اطلاعات ریز دارنده کارت از جمله CVV را هم داشته باشد تا بتواند به سوی گام بعدی هک حرکت کند. (که آنرا هم ندارد). تازه بانک مرکزی باید سریعا جلوی نقل و انتقالات بالا را بگیرد تا امکان سوء استفاده را به صفر برساند.
اما حالا برگردیم به سایر نتایج.
در کوتاه مدت بازنده اصلی شرکت وارد کننده و خدمات دهنده دستگاههای پوز است که مدیر نرم افزاری وی به خارج رفته است.
نکته فنی قضیه متن مکالمه تلفنی مدیر فراری با رییس خودش است که در آن صدها نکته و سوال دارد. اول از همه خنده و بعد تعجب، عصبانیت، آرامش و بیخیالی را در ذهن خواننده متبادر میسازد.
نتیجه درازمدت که همان بیاعتماد شدن مردم به سیستم الکترونیک بانکها است به ذهن نمیرسد که این نیز اما و اگر زیاد دارد. اینکه نهادهای مسئول چگونه خود را وارد این بازی کرده و چگونه میخواهند سر و ته این داستان را جمع کنند نیز به واکنشهای بعدی شرکت وارد کننده پایانه فروش، برگشتن فراری و اعترافات او دارد.
اما تنها یک نکته میماند و اینکه بانک مرکزی قرارداد جدید را با کدام شرکت یا نهاد امضا خواهد کرد؟ پاسخ به این پرسش میتواند بسیاری از سناریوهای بازی شده در این داستان لج ولجبازی (که به واقعیت تبدیل شد) را آشکار کند.
توپ در زمین چه کسی خواهد افتاد؟ مردم، شرکت واسط، شرکت جدید واسط و یا بانک مرکزی؟
منبع: خبر آنلاین