13 - 12 - 2022
هک اطلاعات بانکها روی میز مجلس
گروه اقتصاد- فاش شدن اطلاعات بیش از سه میلیون کارت بانکی همچنان خبرساز است و این موضوع به مجلس هم کشیده شده است.
براساس آخرین اطلاعات به دست آمده از هکری که اقدام به هک اطلاعات حدود سه میلیون مشتری بانکها کرده، «خ.ز.ف» در تیرماه سال گذشته اقدام به ارسال اطلاعات کامل یکهزار کارت بانک برای مدیرانعامل آن بانکها کرده و موضوع ناامن بودن بستر تبادل اطلاعات، نرمافزار و سختافزار مربوطه را به آنان گوشزد کرده بود.وی که ظاهرا کارمند شرکت «ف.ا» است که با مجوز بانک مرکزی، خدمات پرداخت الکترونیک PSP به بانکها ارایه میکرده به واسطه اختلافی که با مدیران شرکت یادشده پیدا میکند از این شرکت بیرون آمده و اقدام به نفوذ میکند تا ناامنی زیرساختهای شرکت یادشده را نشان دهد.
بنابر این گزارش، مدیر نرمافزار اسبق یکی از شرکتهای همکار بانک مرکزی که به عنوان شرکت PSP، خدمات پرداخت را ارایه میکند پس از بروز اختلافاتی با مدیران شرکت، با همراه داشتن اطلاعات بانکی محرمانه به خارج از کشور گریخته و سپس با ایجاد یک وبلاگ به انتشار اطلاعات سه میلیون کارت بانکی اقدام کرده است.
بررسیها از شرکت «ف.ا» حاکی است که بانک مرکزی اوایل دهه ۸۰ با هدف جلب سرمایههای انسانی و مالی بخشخصوصی، مقررات ناظر بر ارایهدهندگان خدمات پرداخت را به منظور یاری رساندن به شبکه بانکی کشور در زمینه پوشش کافی شبکه پایانههای فروش اعم از فیزیکی و مجازی در دستور کار خود قرار داده و با اخذ نظرات اعضای شبکه بانکی و همچنین شرکتهای ارایهدهنده خدمات پرداخت مقررات مزبور را پس از نهایی شدن در تاریخ ۳/۶/۸۳ به شبکه بانکی کشور ابلاغ کرده است.
به دنبال این اقدام واحد PSP شرکت «ف.ا»، ارایهدهنده خدمات پرداخت الکترونیک در زمینه پوشش کافی شبکه پایانههای فروش و با توجه به نیاز مبرم به استقرار سیستمهای پرداخت الکترونیکی، فعالیت خود را آغاز کرد تا بتواند این مهم را در کشور به عرصه ظهور برساند.
شرکت «ف.ا» به عنوان تنها مجموعه کاملا خصوصی در این عرصه در سال ۱۳۸۳ با اخذ موافقت اصولی از بانک مرکزی به صورت کاملا اجرایی به عنوان شرکت دارای مجوز PSP از بانک مرکزی جمهوری اسلامی ایران در حال فعالیت است. تبدیل موافقت اصولی اخذشده از بانک مرکزی جمهوری اسلامی ایران به مجوز دایمی بهعنوان تنها و اولین شرکت خصوصی فعال در صنعت بانکداری و خدمات پرداخت کشور در سال ۸۴ اتفاق افتاده است.
در حال حاضر شرکت «ف.ا» راهبری و پشتیبانی عملیات وسیع بانکی را برای بزرگترین بانکهای کشور در سیستمهایی که مسوولیت راهبری آن را بر عهده دارد به طور میانگین در ابعاد زیر ارایه میکند:
– واگذاری استیجاری بیش از ۲۰۰ هزار پایانه فروشگاهی به بانکهای طرف قرارداد
– مدیریت بیش از پنج میلیون تراکنش در ماه از روی شبکه و سوییچ شرکت و ارسال به شتاب از طریق بانکهای طرف قرارداد
– ارایه خدمات مکانیابی، افتتاح حساب بانکی، نصب و پشتیبانی پایانههای فروشگاهی برای بانکهای ملی، تجارت، رفاه، مسکن، کشاورزی، صنعت و معدن، سینا و بانک شهر در تمامی مراکز استانها و بیش از ۴۳۰ شهر کشور از طریق بیش از ۷۶ نماینده و دفاتر خدماتی
– مدیریت بیش از یکهزار میلیارد ریال تراکنش بهصورت روزانه از طریق شبکه پایانهها و ارایه خدمات رفع مغایرت به پذیرندگان و دارندگان کارت
– راهاندازی و اجرایی کردن بیش از یکصد پروژه بزرگ در حوزه سیستمهای شناسایی خودکار در واحدهای تولیدی و صنعتی کشور
– اجرا و تحویل چند پروژه ERP در شرکتهای بزرگ پخش، شرکتهای تولیدی و صنعتی و شرکتهای بزرگ و شعب هلدینگهای خارجی
– یکی از بزرگترین توزیعکنندگان الکترونیکی عمده کارتشارژ تلفنهای همراه، نماینده رسمی توزیع شرکتهای همراه اول، ایرانسل و تالیا
– دارای تجهیزات شخصیسازی و پاکتگذاری با ظرفیت بیش از ۳۰ هزار کارت در روز
با دریافت موافقتنامه دایم ارایه خدمات پرداخت الکترونیک (PSP) از بانک مرکزی جمهوری اسلامی ایران و گواهینامه مدیریت کیفیت ۹۰۰۱:۲۰۰۸ ISO، در راستای هدف توسعه بستر پرداخت الکترونیک در کشور گام اساسی برداشته است. در این راستا تمامی مراحل مربوط به بازاریابی، نصب، توزیع و مدیریت پایانههای فروشگاهی (POS)، انتقال تراکنش از طریق POS Network شرکت که در تمامی مراکز استانی با نصب تجهیزات متمرکزکننده (NCC) و استفاده از خطوط MPLS مخابراتی به سوییچ شرکت و سوییچ شتاب از طریق بانکهای طرف قرارداد، استفاده از TMS به منظور مدیریت
online و Remote پایانهها، Settlement و رفع مغایرت به هنگام جمعآوری و انتقال تراکنش به سوییچ ملی کشور، خدمات فنی و پشتیبانی توسط این شرکت انجام میگیرد.
شرکت «ف.ا» که به عنوان PSP محل اصلی نشت اطلاعات است نیز در وبسایت رسمی خود هیچگونه اطلاعیهای را منتشر نکرده است.
با این اوصاف شوک الکترونیکی بانکی سبب هجوم مردم به خودپردازهای بانکی برای تغییر رمز کارتهای بانکی شده است و مردم نگران سوءاستفاده از حسابهای خود هستند.
اما نکته قابل تامل این است که بانک مرکزی هماکنون معاون فناوری ارتباطات و اطلاعات ندارد و مشخص نیست در صورت سوءاستفاده احتمالی از حسابهای بانکی چه کسی پاسخگو است و ضرر و زیان مشتریان را چه کسی تقبل خواهد کرد.
همچنین در پی لو رفتن اطلاعات الکترونیکی ۱۰ بانک و اطلاعیه بانک مرکزی مبنی بر تغییر رمز کارتهای بانکی، اطلاعاتی از دو پرونده در جریان در مراجع قضایی درباره بانکداری الکترونیک منتشر شد.
پرونده اول که در دادسرای رسیدگی به جرایم رایانهای در جریان است به فردی مربوط میشود که به صورت آنلاین میتواند حسابهای بانکی را هک کند. ظاهرا وی در تماسی با یک بانک خصوصی اعلام کرده که میتواند حسابها را هک کند. در این میان، مسوول بانکی به وی میگوید این ادعایی بیش نیست اما این فرد به صورت آنلاین این کار را انجام میدهد که این مسوول این باره شوکه میشود.
در پرونده دیگری که مراجع قضایی در حال پیگیری است به فردی ربط پیدا میکند که اتهامش افزایش مبلغ کارت اعتباری از ۲۰۰ هزار تومان به ۲۰۰ میلیون تومان است. روایت شده است که این فرد علاوه بر افزایش مبلغ کارت اعتباری میتواند حداکثر برداشت روزانه ۲۰۰ هزار تومانی از کارت را تا ۲۰۰ میلیون تومان افزایش دهد.
به هر سو با اعلام اطلاعیه بانک مرکزی و لو رفتن اطلاعات الکترونیکی ۱۰ بانک، بانکهای کشور به منظور افزایش و ارتقای امنیت حسابها و کارتهای بانکی، ارایه خدمات حسابهای کارتی خود را منوط به تغییر رمز کاربران و مشتریان کردهاند.
بر این اساس مشتریان و مراجعهکنندگان به خودپردازهای بانکی در صورتی که نسبت به تغییر رمز کارت بانکی خود اقدام کنند، قادر به برداشت وجه یا انتقال و… خواهند شد.
در همین حال ناصر حکیمی، مدیر نظامهای پرداخت بانک مرکزی گفت: چند روز قبل تیم پایش رسانهای بانک مرکزی گزارشی ارایه داد مبنی بر اینکه فردی در وبلاگ خود ادعا کرده که اطلاعات مربوط به تعدادی از کارتهای بانکی شهروندان را در اختیار دارد و پیرو این ادعا شماره برخی از این کارتها را هم منتشر کرده بود.وی ادامه داد: بلافاصله بعد از دریافت این گزارش و از آنجایی که صرف این ادعا هم یک تهدید بالقوه امنیتی به حساب میآمد ما در قالب اطلاعیهای از شهروندان خواستیم تا رمز کارتهای خود را تغییر دهند. این اقدام نیز از آن رو انجام گرفت که طبیعتا بررسیها زمان میبرد و احتیاط حکم میکند برای رفع تهدید منتظر نتایج بررسیها نباشیم.
مدیر نظامهای پرداخت بانک مرکزی در مورد تعداد کارتهایی که اطلاعاتشان منتشر شده است، گفت: در وبلاگ ادعا شده بود اطلاعات حدود ۵/۱ درصد از کل کارتهای بانکی را در اختیار دارد که با توجه به حدود ۱۶۰ میلیون کار موجود این رقم حدود سه میلیون کارت میشد. البته بررسیهای ما نشان داد که حدود یکسوم از اطلاعات منتشر شده مربوط به کارتهایی است که فعال نبودهاند، یعنی یا تاریخ انقضای آنها گذشته بود یا به هر علتی مجاز به فعالیت نبودند.
وی افزود: از تعداد باقیمانده هم فرد مدعی برخی از اطلاعات را ساخته است و اصلا چنین کارتی در سیستم بانکی وجود ندارد. با این وجود بررسیها در مورد تعداد دقیق کارتها ادامه دارد.
حکیمی تاکید کرد: به تمامی شهروندان اطمینان میدهیم که اطلاعات افشا شده به هیچوجه برای برداشت از حسابها کافی نیست؛ اطلاعات منتشر شده شامل شماره حک شده روی کارت و یک کد است که در واقع رمز کارت نیست بلکه رمز کارت در قالب این اعداد کدگذاری شده است و قابل استفاده نیست.
وی ادامه داد: برای برداشت از حسابها اولا باید اصل کارت وجود داشته باشد، ثانیا رمز کارت هم در اختیار باشد که در شرایط فعلی هیچکدام از این دو در اختیار فرد مدعی نیست بنابراین امکان برداشت غیرمجاز از حسابها وجود ندارد.
حکیمی در مورد خریدها و تراکنشهای اینترنتی هم گفت: دارندگان حسابهای اینترنتی استحضار دارند که انجام هر گونه تراکنشی در قالب این حسابها مستلزم اطلاع از تاریخ انقضا و cvv2 است که این دو مورد تنها روی کارتها حک شده است و هیچ کجا در سیستمهای بانکی ثبت نمیشود تا امکان درز یا هک آنها وجود داشته باشد ضمن اینکه رمز دوم که برای خرید اینترنتی لازم است هم در اختیار فرد مدعی نیست.
مدیر اداره پرداختهای بانک مرکزی در مورد چگونگی این اتفاق هم گفت: این اتفاق به هیچوجه هک نیست بلکه در اثر یک اشتباه نرمافزاری این اطلاعات از یکی از شرکتهای خصوصی فعال در این حوزه درز پیدا کرده است.
وی ادامه داد: بخشی از اطلاعات کارتها که برای رفع مغایرتها در تراکنشها برای مدتی در اختیار حسابداریهای بانکها و… قرار میگیرد باید بعد از مدت مشخصی پاک میشده اما سال گذشته در اواسط مردادماه مشخص شد که در پی یک اشتباه و اختلال نرمافزاری در یک مورد این اطلاعات پاک نشده و فردی هم در یک شرکت خصوصی با برداشت این اطلاعات در واقع اقدامی غیرقانونی انجام داده است.
حکیمی افزود: در همان مقطع زمانی این مساله مشخص و مشکل نرمافزاری به سرعت برطرف شد اما متاسفانه بخشی از اطلاعات به دست فرد متخلف افتاده بود.
وی در پاسخ به اینکه تاکنون گزارشی مبنی بر برداشت از حسابها داشتهاید، گفت: خیر تمام کارتهایی که اطلاعاتشان منتشر شده بود، بررسی شده است و مشخص شد که هیچ برداشت غیرمجازی از این حسابها صورت نگرفته است با این حال اگر فردی احساس میکند چنین اتفاقی برای موجودی حسابش افتاده میتواند به بانکی که در آن حساب دارد مراجعه کند تا مساله بررسی شود.
حکیمی افزود: در حال حاضر با هماهنگیهای به عمل آمده با بانکها انجام هر تراکنشی توسط خودپردازها و دستگاههای خرید و سیستمهای اینترنت بانک در صورتی قابل انجام است که ابتدا دارنده کارت و حساب نسبت به تغییر رمز خود اقدام کند و پس از تغییر رمزها تمام تراکنشها ممکن خواهد بود.
وی ضمن پوزش از مردم شریف بابت این اتفاق تاکید کرد: با وجود اینکه این اتفاق در خارج از سیستم بانکی افتاده اما ما خود را موظف میدانیم تا از مردم شریفمان عذرخواهی کنیم و این اطمینان را نیز بدهیم که در صورت مراقبتهای معمول شهروندان مانند تغییر سه ماه یک بار رمزها و تعیین رمزهای غیر قابل حدس، امکان برداشت غیرمجاز از حساب شهروندان وجود ندارد.
احضار بهمنی به پارلمان
از سوی دیگر لو رفتن اطلاعات بانکی به مجلس هم کشیده شد و رییس کمیسیون اقتصادی مجلس با تاکید براینکه مسوولان بانک مرکزی باید پاسخگوی عملکرد خود نسبت به درز اطلاعات محرمانه بانکی مردم باشند، از احضار رییس کل بانک مرکزی به مجلس برای پاسخگویی در این باره خبر داد.
ارسلان فتحیپور در واکنش به هک سیستم اطلاعات ۱۰ بانک کشور و درز اطلاعات محرمانه بانکی سه میلیون نفر اظهار داشت: این موضوع قطعا در دستور هفتگی جلسات آینده کمیسیون اقتصادی مجلس لحاظ خواهد شد تا ابعاد مختلف آن مورد بررسی قرار گیرد.
وی افزود: با توجه به اینکه طی روزهای آینده بهمنی، رییس کل بانک مرکزی به منظور شرکت در اجلاس بهاره بانک جهانی و صندوق بینالمللی پول عازم آمریکا خواهد شد بنابراین در نظر داریم پس از این سفر، او را به مجلس فرا بخوانیم تا پاسخگوی عملکرد خود نسبت به درز اطلاعات محرمانه بانکی مردم باشد.رییس کمیسیون اقتصادی مجلس تصریح کرد: مسوولان بانک مرکزی و سایر بانکها باید نسبت به تخلفی که انجام شده است پاسخگو باشند.
لطفاً براي ارسال دیدگاه، ابتدا وارد حساب كاربري خود بشويد