پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
پیدا و پنهان سرقت اطلاعات کارتهای بانکی 91 فروردین ماه
افشای اطلاعات کارتهای بانکی از سوی مدیر نرم افزار شرکت وارد کننده دستگاههای پوز چقدر نگران کننده است؟ فرجام افشای این اطلاعات به نفع و زیان کیست؟
خبرآنلاین نوشت: خسرو زارع فرید، مدیر نرم افزاری شرکت وارد کننده دستگاههای پوز از ایران فرار میکند. این شرکت، عمده واردات و ساپورت نرم افزاری و سخت افزاری دستگاهای پوز در ایران را در اختیار دارد و رقیبی ندارد.
مدیر نرم افزار این شرکت، مدعی است با مدیران ارشد خود صحبت کرده که چرا برای بالا بردن سیستم امنیتی مبادلات پولی از طریق دستگاههای پوز، از ماژول سخت افزاری HSM استفاده نکردهاند و همین عامل باعث شده تا وی سعی کند تا نقشی شبیه رابین هود را ایفا کند.
مشکل بزرگ به گفته خسرو زارع فرید این است که دستگاههای HSM کمک میکند تا اطلاعات مشتریان روی ترمینالهایی که ممکن است مورد سوء استفاده هکرها و دزدان قرار گیرد، ذخیره نشده و لو نرود و بانک مرکزی باید این ماژول سخت افزاری را از این شرکت میخرید؛ که هنگام بستن قرارداد و بعدا بر سر مشکلات مالی ناشی از فروش دستگاهها اختلاف به وجود میآید. (هر چند این ماژولها نیز لاگ میاندازند و مدیر بعدی نرم افزاری برای هر دم و دستگاهی هم که باشد میتواند این اطلاعات را مانند مدیر نرم افزار، همان کار را با دستگاههای جدید هم انجام دهد.)
همین مدیر نرم افزاری قهر کرده و از ایران فرار میکند و البته همان اطلاعات و رمزهای بین بانکی هنگام تبادل مالی بین دستگاههای پوز و ترمینال شرکت انیاک و بانک مرکزی را در هفته آخری که فرار میکند را روی هارد خود ریخته و به خارج میبرد. (فرانسه یا آلمان)
اولین نکته و نتیجه این داستان: در عقب ماندهترین کشور جهان هم هیچ مدیر نرم افزاری حق ندارد دست به سرقت اطلاعات بزند. سرقت با هک کردن فرق دارد و دلسوزی شک بر انگیز مدیر نرم افزاری نیز نتیجهاش حداقل 5 سال زندان در فرانسه یا آلمان است که وی بدانجا فرار کرده است. خیلی راحت پلیس ایران میتواند شکایت رسمی به اینترپل کرده و وی را به ایران بازگرداند. مقر اینترپل در فرانسه است و به راحتی میتوان با ارسال مدارک سرقت صورت گرفته توسط آقای نرم افزار وی را بازداشت کرد. (که اگر چنین کاری صورت نگیرد سناریو جور دیگر خواهد شد و توهم توطئه در ذهن افکار عمومی تقویت میشود.)
خب برگردیم به داستان قبلی.
اطلاعاتی که مدیر نرم افزار در هفته قبل از فرار خود، کپی کرده حاوی رمزهای بین بانکی و شماره کارت فردی است که با دستگاه پز خرید و فروش کرده است.
این اطلاعات در حال حاضر به گفته او حدود سه میلیون اکانت بانکی است که وی آنرا منتشر کرده است. آیا انتشار این شمارهها خطر فوری دارد؟ تقریبا 99 درصد جواب منفی است. شمارهها از الگوریتم خاصی پیروی میکند که برای یافتن این الگوریتم باید ریاضی دانان جمع شده تا فرمول تولید شماره رمز از روی کارت هنگام ترنزاکشن را کشف کنند. پس نتیجه فوری آن چندان خطرآفرین نیست.
برای همین بانک مرکزی به هشدار دادن به مردم بسنده کرده و در نهایت با مسدود کردن کارت بانکی لو رفتهها، جلوی سوء استفاده احتمالی را بگیرد. (برخی نیز با تماس با بانک مرکزی گفتهاند حسابشان خالی شده که در برخی موارد انسان را یاد گم کنندگان چمدان در فرودگاه میاندازد که هنگام پر کردن فرم گمشده هر آیتمی را که دلشان میخواهد مینویسند و از آب گل آلود ماهی میگیرند.)
بانکها نیز خودشان وارد عمل شده و با ارسال اس ام اس از مردم خواستهاند تا جهت جلوگیری از سوء استفاده احتمالی شماره رمز خود را عوض کنند. کارشناسان بانکی هم میدانند که فعلا کسی نمیتواند سوء استفاده کند اما برای اطمینان بیشتر از مشتریان خواستهاند این کار را انجام دهند. (خیلی از بانکها روی سایت خود سالهاست نوشتهاند که هرگز از اس ام اس برای پیامهای امنیتی استفاده نمیکنند اما در اولین مشکل واقعی امنیتی روی بانک، این کار را انجام دادند، یک امتیاز منفی به بانکهای ارسال کننده اس ام اس)
اگر کسی این الگوریتمها را کشف کند (که فعلا محال است) باید دسترسی به ترمینال شرکت وارد کننده دستگاههای پوز را هم داشته باشد تا بتواند دومین قدم از هک کارتها را انجام دهد (که این امکان نیز در حال حاضر وجود ندارد) و از طرف دیگر سایر اطلاعات ریز دارنده کارت از جمله 2CVV را هم داشته باشد تا بتواند به سوی گام بعدی هک حرکت کند (که آنرا هم ندارد). تازه بانک مرکزی باید سریعا جلوی نقل و انتقالات بالا را بگیرد تا امکان سوء استفاده را به صفر برساند.
اما حالا برگردیم به سایر نتایج. در کوتاه مدت بازنده اصلی شرکت وارد کننده و خدمات دهنده دستگاههای پوز است که مدیر نرم افزاری وی به خارج رفته است.
نکته فنی قضیه متن مکالمه تلفنی مدیر فراری با رییس خودش است که در آن صدها نکته و سوال دارد. اول از همه خنده و بعد تعجب، عصبانیت، آرامش و بی خیالی را در ذهن خواننده متبادر میسازد.
نتیجه درازمدت که همان بی اعتماد شدن مردم به سیستم الکترونیک بانکها است به ذهن نمیرسد که این نیز اما و اگر زیاد دارد. اینکه نهادهای مسئول چگونه خود را وارد این بازی کرده و چگونه میخواهند سر و ته این داستان را جمع کنند نیز به واکنشهای بعدی شرکت وارد کننده پوز، برگشتن فراری و اعترافات او دارد.
اما تنها یک نکته میماند و اینکه بانک مرکزی قرارداد جدید را با کدام شرکت یا نهاد امضا خواهد کرد؟ پاسخ به این پرسش میتواند بسیاری از سناریوهای بازی شده در این داستان لج ولجبازی (که به واقعیت تبدیل شد) را آشکار کند.
توپ در زمین چه کسی خواهد افتاد؟ مردم، شرکت واسط، شرکت جدید واسط و یا بانک مرکزی؟