پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
در شرایطی که بیش از پیش نیاز به اعتماد سازی کاربران و جلب اطمینان عموم مردم داریم (به عنوان دست اندرکاران و مبلغان کامپیوتر، نرمافزار و اینترنت)، رمز سه میلیون کارت بانکی افشا میشود. حالا چطور میتوان به مردم کوچه و خیابان و چه بسا هر آدم غیر کامپیوتری دیگری اثبات کرد که استفاده از خدمات اینترنتی و الکترونیکی باعث سهولت در زندگی، صرفه جویی در وقت، دقت بالا در انجام کارها، کاهش هزینههای جانبی، کاهش ترافیک، حفظ محیط زیست، عدالت اجتماعی و غیره میشود؟ چطور میتوان به همه این آدمها توضیح داد که این کار هک و نفوذ به سیستم نبوده بلکه یک کارمند داخلی که دسترسی قانونی به اطلاعات داشته این کار را کرده و این کار در هر جای غیر کامپیوتری دیگری قابل تکرار است. مثلا کارمند ناراضی ثبت احوال، دفاتر ثبت و حتی کارمند دفتری یک مدرسه هم میتواند اطلاعات دم دستش را به سادگی افشا کند حتی اگر اطلاعات صرفا روی کاغذ ثبت شده باشد؟
البته شکی نیست که پشت قضیه افشای اطلاعات توسط این شخص (با هر نیتی که بوده) امنیت پایین اطلاعات هم قرار داشته است. یعنی اگر امنیت به اندازه کافی بود امکان افشای آنها توسط حتی یک کارمند داخلی هم به حداقل میرسید. شخص افشا کننده اطلاعات (کارمند یکی از شرکتهای دست اندرکار امور بانکی) هم به راست یا دروغ مدعی بوده که با قصد اطلاع رسانی به عموم مردم راجع به پایین بودن امنیت اقدام به افشای اطلاعات کرده.
آیا این آخرین باری است که چنین اتفاقی خواهد افتاد؟ اگر همه دنیا فکر کنند که این آخرین بار است که چنین اتفاقی میافتد اما ما برنامهنویسان، کامپیوتریها، اینترنتیها و خصوصاً کارمندان بخش پشتیبانی شرکتها میدانیم که این آخرین بار نیست و حتی این که امکان تکرار آن بسیار هم بالاست.
چرا؟ چون که:
- طراحان نرمافزار خیلی کم به فکر Hash کردن یکطرفه (روشی برای رمز نگاری) اطلاعات مهم خصوصاً کلمه عبور، کد ملی، شماره شناسنامه، کارت بانکی و غیره هستند. این یعنی این که اگر دیتابیس به دست آدم نامربوطی برسد در عرض چند دقیقه تمام اطلاعات افراد به سادگی آب خوردن لو خواهد رفت. دسترسی به دیتابیس هم برای یک کارمند داخلی کار چندان سختی حساب نمیشود.
- معمولا به خاطر ضعف در روشهای تست و پشتیبانی، برای آن که یک شرکت پیمانکار بتواند به شرکت کارفرما پشتیبانی نرمافزاری بدهد همه بانک اطلاعاتی آنها را درخواست میکند. اگر مدتی سابقه حضور در یک واحد پشتیبانی را داشتهاید حتماً با چشمان خودتان نسخههای مختلف اطلاعات مشتری را در جای جای شبکه، سیدیها و کامپیوترها بدون هیچ حفاظ و کنترلی دیدهاید. اصلاً اگر ایمیل کارمندان پشتیبانی و برنامهنویسی یک شرکت نوعی کامپیوتری را ببنید پر است از اطلاعات حساس مشتریان.
- بین کاربران ایرانی، چه امور بانکی چه امور غیر بانکی ساده انگاری وحشتناکی در استفاده از رمز عبور وجود دارد. همه رمز همدیگر را میدانند، رمزها سه سال یکبار هم عوض نمیشوند، رمزها بیش از حد ساده و کوتاه هستند و …
- استفاده ار پروتکلهای امن مثل https در بانکداری الکترونیک و تجارت الکترونیک بنا به دلایلی مثل ممنوعیتهای داخلی و تحریمهای خارجی بسیار سخت شده است. اگر در حال login به یک وبسایت بدون https هستید، اگر در حال وارد کردن رمز و اطلاعات بانکی خود از تلفن بانک هستید، اگر کلمه عبور یک نرمافزار را از طریق SMS برای کسی میفرستید و… مطمئن باشید که هر کس دیگری که در فاصله بین شما تا مقصد قرار دارد از جمله همکاران شما در شرکت یا اداره، کارمندان واحد IT، کارمندان شرکت ارائه دهنده اینترنت، کارمندان شرکت تامین کننده فضای اینترنتی و غیره و غیره به اطلاعات شما دسترسی کامل و ساده دارند. فکر نکنید که برای سرقت اطلاعات نیاز به نخبه بودن هست. بلکه ابزارهای زیادی برای این طور کارها وجود دارند که یک فرد اول دبیرستان هم میتواند با کمک آنها هر کاری بکند.
- استخدامها و واگذاری پروژهها به شرکتها گاهی اوقات بر اساس روابط پسرخالگی، همشهریگری، رفاقتی، همسو بودن گرایشات (…) و غیره انجام میشود. اثر این موضوع خیلی واضح است.
منبع: afsharm