آینده شرکت های خدمات پرداخت پس از افشای اطلاعات کارت های بانکی در هاله ای از ابهام قرار گرفت

خبر درز اطلاعات یکی از شرکت های ارائه دهنده خدمات پرداخت در حالی در صدر اخبار فناوری کشور قرار گرفت که این شرکت ها در آستانه اتصال به شبکه الکترونیکی پرداخت کارتی (شاپرک) خود را برای بهاری پربار آماده می کردند؛ آیندهای که با ضربه روانی هفته گذشته با ابهاماتی بسیار جدی مواجه شده است.

به گزارش افتانا، هرچند درز اطلاعات توسط مدیر پیشین بخش نرم‌افزار شرکت فناوران انیاک صورت گرفته ‌بود و این شرکت از معدود شرکت‌های صد درصد خصوصی PSP به شمار می‌آید که علاوه‌ بر اینکه مجوز خود را در سال ۸۴ به عنوان شرکت ارائه‌دهنده خدمات پرداخت از بانک مرکزی دریافت کرد به هیچ بانک دولتی و خصوصی نیز وابسته نبود لیکن به نظر می‌رسد دامنه تاثیر سوء اخبار هفته گذشته نه‌تنها دامن خود این شرکت بلندپرواز را گرفت بلکه دامنگیر سایر همکارانش نیز خواهد شد.

جالب آنکه این وقایع در حالی رخ داد که انیاک زودتر از سایر رقبای خود سعی می‌کرد خود را برای پیوستن به شاپرک مهیا کند اما درز این اطلاعات مجوز این شرکت را نیز باطل کرد و بانک مرکزی در اولین واکنش‌های خود به انتشار این خبر، اعلام کرد همکاری خود را با این شرکت قطع کرده‌ است.

دوره اعتبار مجوز تمام شرکت‌های PSP تا پایان سال ۹۰ بود و قرار بود از ابتدای امسال با شکل‌گیری شاپرک این شرکت‌ها خود را با مقررات جدید هماهنگ کنند تا مجوز جدید برایشان صادر شود؛ مجوزی که پس از درز اطلاعات سه میلیون کارت بانکی شهروندان دریافت آن نه تنها برای شرکت فناوران انیاک غیرممکن به نظر می‌رسد بلکه سایر شرکت‌های ارائه‌دهنده خدمات پرداخت را نیز بیش از پیش زیر ذره‌بین قرار خواهد دا‌د. مدیر اداره نظام‌های پرداخت بانك مركزي در این خصوص اعلام کرده است که در اعطای مجوزهای جدید نرم‌افزارهای امنیتی آنان چندبرابر گذشته چک خواهد شد.

چگونه اطلاعات بانکی لو رفت

اطلاعات سه میلیون کارت بانکی شهروندان برای اولین بار در وبلاگ شخصی مدیر سابق نرم‌افزار شرکت فناوران انیاک منتشر شد. خسرو زارع فرید در وبلاگش خبر از ایمن نبودن سوئیچ این شرکت داد و در یکی از پست‌های خود اعلام کرد که با مدیران بانک‌ها در این خصوص وارد مذاکره شده ‌است و هیچ پاسخی از آنان در خصوص این سوراخ اطلاعاتی دریافت نکرده ‌است.

او مدعی شده که تلاش کرده با انتشار حدود سه میلیون شماره کارت بانکی و رمزهای آنها که در یک کد ۱۴ رقمی مخفی بود، زنگ خطر را برای شبکه بانکی به صدا در آورد. این زنگ خطر موجب شد تمامی بانک‌ها در سکوت خبر خود و رئیس بانک مرکزی به عنوان نهاد ناظر به شکل سربسته در یک بازه زمانی ۲۴ ساعته از تمام مشتریان خود و دارندگان کارت‌هایشان تقاضا کنند رمز کارت خود را تغییر دهند.

اما این پایان ماجرا نبود چرا که او در گفت‌وگو با یکی از شبکه‌های خارجی اعلام کرد که مشکل با تغییر رمز رفع نمی‌شود چرا که اگر یک بار دیگر این کارت روی پایانه‌های فروش انیاک کشیده شود اطلاعات آن در سوئیچ این شرکت درج می‌شود و اطلاعاتش برای افراد قابل مشاهده خواهد بود. خسرو زارع‌ فرید دلیل این امر را رعایت نکردن استانداردهای امنیتی از سوی شرکت انیاک اعلام کرده است.

در ورای موج نارضایتی حاصل‌شده از این رویدادها نکته حتی مهم‌تری که خودنمایی می‌کند این حقیقت است که مطابق استانداردهای تعریف‌شده از سوی بانک مرکزی برای ارائه‌کنندگان خدمات پرداخت رمز این کارت‌ها پس از تولید یا مصرف از بین می‌رود یا به‌گونه‌ای نگهداری می‌شود که قابل مشاهده و خواندن برای دیگران نیست.

در وهله اول آشکار است که رعایت نکردن این استانداردهای بنیادین از سوی انیاک موجب بروز مشکل یادشده بوده است. در عین حال مدیر سابق نرم‌افزار انیاک دلیل اصلی را استفاده نکردن از دستگاه سخت‌افزاری HSM می‌داند؛ دستگاهی که به وسیله آن می‌توان رمز تولیدشده را نگهداری کرد و از امنیت بیشتری برخوردار است. در یکی از گفت‌وگویی‌هایی که میان مدیر سابق نرم‌افزار انیاک و مدیرعامل این شرکت انجام و در وبلاگ شخصی خسرو زارع فرید منتشر شده ‌است، هنگامی‌که مدیرعامل در مقابل این پرسش قرار می‌گیرد که چرا استانداردهای امنیتی را رعایت نکرده ‌است، پاسخ می‌دهد دیگران نیز این استانداردها را رعایت نکرده‌اند و بانک مرکزی هم در این خصوص نظارت لازم را انجام نداده ‌است.

بانک‌ها چه کردند؟ سیل تغییر رمزها جاری شد
شبکه بانکی کشور پس از انتشار این خبر به نظر کمی دستپاچه می‌رسید چرا که نه‌تنها در وهله اول نمی‌توانست صحت و سقم آن را تایید کند بلکه باید به مشتریان خود اطمینان می‌داد که حساب‌هایشان نزد آنها امن است و هیچ کس نمی‌تواند بدون مجوز مشتریان از حساب آنها برداشت کند. از همین رو در اولین اقدام تمام بانک‌ها با ارسال پیامک از مشتریان خود خواستند رمز کارت‌های خود را تغییر دهند و حتی حساب‌های مشکوکی را که شماره آنها روی اینترنت پخش شده بود مسدود اعلام کردند.

در همان زمان نیز بانک مرکزی در اطلاعیه‌ای اعلام کرد که تمام دارندگان کارت‌های بانکی رمز خود را برای افزایش سطح ایمنی کارت خود تغییر دهند.

طبق اعلام بانک مرکزی شماره کارت‌های منتشرشده روی اینترنت تقریبا یک و نیم تا دو درصد کل کارت‌های بانکی را شامل می‌شد که حدود یک‌سوم این کارت‌ها نیز مدت اعتبارشان به پایان رسیده بود یا غیرفعال شده بودند. پس از صدور این اطلاعیه‌ها مردم مقابل خودپردازها دوباره صف کشیدند اما این بار نه برای دریافت یارانه‌ها یا حقوق‌شان بلکه برای تغییر رمز کارت‌شان. متاسفانه اولین برخورد عمومی کاربران بانکداری الکترونیکی با مساله امنیت تاکنون پایانی خوش نداشته است.

سخت‌افزار یا انسان چه کسی مقصر است

مسوولان بانک مرکزی چاره کار را در تغییر رمز می‌دانستند و بارها تاکید می‌کردند که اطلاعات افشاشده از کارت‌های بانکی به هیچ ‌وجه برای برداشت از حساب‌ها کافی نیست و تاکنون برداشت غیرمجازی از حساب‌ها صورت نگرفته ‌است.

مدیر اداره نظام‌های پرداخت بانک مرکزی درخواست تغییر رمز کارت‌ها از سوی شبکه بانکی کشور را اقدامی احتیاطی می‌دانست اما هیچ گاه اعلام نکرد که آیا با اقدامات جدید انجام‌شده جلوی درز اطلاعات گرفته شده ‌است یا خیر.

ناصر حکیمی گفت این اتفاق به هیچ وجه هک نیست بلکه در اثر اشتباه نرم‌افزاری این اطلاعات از یکی از شرکت‌های خصوصی فعال در این حوزه درز پیدا کرده ‌است. بخشی از اطلاعات کارت‌ها که برای رفع مغایرت‌ها در تراکنش‌ها برای مدتی در اختیار حسابداری‌های بانک‌ها قرار می‌گیرد، باید بعد از مدت مشخصی پاک می‌شده اما سال گذشته در اواسط مردادماه مشخص شد به دنبال یک اشتباه و اختلال نرم‌افزاری در یک مورد اطلاعات پاک نشده و فردی هم در یک شرکت خصوصی با برداشت این اطلاعات در واقع اقدامی غیرقانونی انجام داده ‌است.

حکیمی ادامه داد: «در همان مقطع زمانی این مساله مشخص و مشکل نرم‌افزاری به سرعت برطرف شد اما متاسفانه بخشی از اطلاعات به دست فرد متخلف افتاده بود.»

اما این سوال باقی می‌ماند که چرا همان زمان بانک مرکزی اطلاعیه‌ای در خصوص تغییر رمز کارت‌ها صادر نکرد و تا زمان انتشار این اطلاعات روی اینترنت سکوت کرد؟

واکنش همراه با احضار

فقط شبکه بانکی نبود که مقابل این اتفاق از خود واکنش نشان داد، پس از گذشت دو روز از انتشار این خبر رئیس کمیسیون اقتصادی مجلس خبر از احضار رئیس کل بانک مرکزی برای پاسخگویی در خصوص درز اطلاعات مشتریان بانک‌ها داد، هر چند این احضار به بعد از بازگشت رئیس کل از اجلاس بهاره بانک جهانی و صندوق بین‌المللی پول محول شد. شاید در آن جلسه رئیس کل بانک مرکزی پاسخگوی کوتاهی این بانک در خصوص نظارت بر عملکرد و فعالیت‌های شرکت‌های ارائه‌دهنده خدمات پرداخت باشد؛ نظارتی که فقدانش این بار از طریق درز اطلاعات کارت‌های مشتریان مشخص شد و در گذشته بروزش نصب چندین پایانه فروش در یک فروشگاه بود.

هرچند تاکنون پلیس فضای مجازی ایران موسوم به فتا در این خصوص هیچ موضع‌گیری رسمی‌ای نکرده است اما خبری از سوی خبرگزاری مهر منتشر شده ‌است که یک مقام آگاه در پلیس خبر از تحت تعقیب قرار گرفتن افشاکننده رمزهای کارت‌های بانکی و مدیر شرکت انیاک داد.

این منبع آگاه در نیروی انتظامی گفت: «مدیر شرکت فناوران انیاک علاوه بر خسرو زارع فرید- افشاکننده اطلاعات کارت‌های بانکی- به علت سهل‌انگاری تحت تعقیب قرار گرفته است. متهم اصلی نیز تحت تعقیب پلیس بین‌الملل (اینترپل) است.»

او ادامه داد: «پلیس قبل از افشای اطلاعات در پی تهدید متهم و شکایت بانک‌ها تحقیقات خود را آغاز کرده بود.»

این منبع آگاه تاکید کرد: «پس از افشای اطلاعات، بانک مرکزی با اطلاع‌رسانی نادرست موجب تشویش اذهان مردم شد. بر اساس اطلاعات موجود نیاز به تغییر رمز وجود نداشت و مسوولان بانک مرکزی می‌توانستند در هفته‌های آینده به تدریج اقدام به تغییر رمزها کنند چرا که هیچ خسارت مالی‌ای دارندگان کارت را تهدید نمی‌کرد.»

با وجود گذشت یک هفته از افشای اطلاعات و با در نظر گرفتن این امر که اکثر دارندگان کارت‌های بانکی رمز کارت‌های خود را تغییر داده‌اند به دلیل برطرف نشدن نقص امنیتی موجود در ساختار پرداخت الکترونیکی کشور هنوز این سوال مطرح است که آیا امکان تکرار این اتفاق این بار از یک شرکت یا بانک دیگر وجود دارد یا خیر؟ پاسخ این پرسش را مدیر اداره نظام‌های پرداخت به گونه‌ای دیگر داده‌ است. او اعلام کرد ابزاری در حال تهیه است که در صورت انجام عملیات الکترونیکی اطلاعات در سامانه باقی نماند که این سیستم اکنون در خودپردازها وجود دارد اما در سیستم‌های کارت‌خوان باید نصب شود.