اطلاعات کارت های بانکی چگونه لو رفت؟

اطلاعات بیش از سه میلیون کارت بانکی ایرانی فاش شده و روی اینترنت قرار گرفته است.

به گزارش “الف” از افتانا (پایگاه تخصصی اطلاع رسانی حوزه امنیت فضای تولید و تبادل اطلاعات)، یکی از مدیران سابق یک از شرکت های ارائه کننده خدمات کارت های بانکی، پس از فرار به خارج از کشور، اطلاعات میلیون ها کارت متعلق به بانک های مختلف کشور را روی اینترنت منتشر کرده است. وی ادعا کرده هدف از این کار  آشکار ساختن سوء مدیریت مدیران و عدم رعایت استانداردهای بانکی و امنیتی است.

بنابراین گزارش، مدیر نرم افزار اسبق یکی از شرکت های همکار بانک مرکزی که به عنوان شرکت PSP ، خدمات پرداخت را ارائه می نماید، پس از بروز اختلافاتی با مدیران شرکت، با همراه داشتن اطلاعات بانکی محرمانه، به خارج از کشور گریخته و سپس با ایجاد یک وبلاگ به انتشار اطلاعات سه میلیون کارت بانکی اقدام نموده است.

براساس این گزارش، آقای خ-ز که چندین سال در شرکت مذکور مشغول فعالیت بوده است، مدعی است که نرم افزارهای پایانه های فروش و سوییچ بانکی شرکت را تولید نموده و پس از عدم کسب درآمد از ناحیه تولید و فروش آن ها و بروز اختلاف با مدیران شرکت و با هدف آشکار ساختن سوء مدیریت مدیران بانکی اقدام به انتشار اطلاعات محرمانه کارت های مشتریان بانک ها به همراه رمز عبور آن ها (به شکل رمز مخفی) نموده است. وی مدعی است که قبل از این اقدام تلاش کرده با مدیران بانک های مختلف تماس بگیرد اما به درخواست های وی ترتیب اثر داده نشده است.

این گزارش می افزاید شرکت های سرویس دهنده خدمات پایانه های بانکی بر اساس استانداردهای مختلف امنیتی ملزم به رعایت موازین مرتبط و حفظ اطلاعات محرمانه مشتریان می باشند. اما اطلاعات کارت های صادره توسط بانک های ملی، ملت، صادرات، پارسیان، پاسارگاد، کشاورزی و ده ها بانک دیگر، درحال حاضر توسط خ-ز از طریق یک وبلاگ منتشر و علنی شده است. هرچند که وی مدعی است رمزهای عبور را به نحوی اعلام کرده که فقط توسط صاحبان کارت ها قابل تشخیص است و لذا فعلا تهدیدی برای صاحبان آن ها به شمار نمی رود.

براساس این گزارش، اطلاعات کارت های مذکور که مربوط به سال های ۸۷ تا ۸۹ می باشد، تقریبا تمامی بانک های تجاری و معتبر کشور را در بر می گیرد، که حکایت از دسترسی آزادانه فرد مذکور به این اطلاعات محرمانه داشته است.

این نکته نیز گفتنی است که برخی بانک ها از جمله سامان و اقتصاد نوین نیز دست به کار شده و برخی مشتریان خود را ملزم به تعویض رمزهای عبور خود نموده اند. اگرچه برخی نیز کماکان در این مورد اظهار بی اطلاعی می کنند.

شرکت “ا” که به عنوان PSP محل اصلی نشت اطلاعات است نیز در وب سایت رسمی خود هیچگونه اطلاعیه ای را منتشر نکرده است.

برخی گزارش ها حاکی از مسدود شدن دسترسی برخی مشتریان به کارت های بانکی خود و اطلاعیه بانک مرکزی در مورد تایید این گزارش ها است.

در اطلاعیه بانک مرکزی آمده است:

روابط عمومی بانک مرکزی جمهوری اسلامی ایران به اطلاع می‌رساند در پی بروز برخی شایعات در فضای مجازی و به منظور ارتقای سطح ایمنی، ایجاد محدودیت در دسترسی غیرمجاز در شبکه کارتی کشور و حفاظت مشتریان در مقابل مخاطرات احتمالی ناشی از آن، به بانکهای کشور ابلاغ شده ضمن اعلام مراتب به دارندگان کارتهایی که طی چند ماه گذشته رمزخود را تغییر نداده‌اند، با مراجعه به خودپردازها یا شعب بانک مربوطه نسبت به تغییر رمز کارت اقدام نمایند.

ضمن پوزش از برخی مشتریان بانک‌ها که ناچار به تغییر اجباری رمز خود هستند، لازم به ذکر می‌داند اتخاذ این تمهیدات صرفاً به منظور ارتقای سطح ایمنی کارتها صورت پذیرفته و درادامه توصیه‌های قبلی این بانک و بانک‌های کشور مبنی بر رعایت نکات ایمنی در خصوص نگهداری و کاربری کارت‌ها به مشتریان اکیداً توصیه می‌شود ،حداقل هر سه ماه یک بار نسبت به تغییر رمز اول و دوم (اینترنتی) کارت خود اقدام نموده و از قراردادن رمزهای کارت در اختیار اشخاص دیگر تحت هر عنوان جداً اجتناب فرمایند.

مشاهدات خبرنگار الف از تجمع در جلوی برخی عابر بانک ها حکایت می کند. عدم اطلاع رسانی دقیق و شفاف مراجع مسئول می تواند به دامنه دار شدن مساله و خطرات بعدی بیانجامد.

از سوی دیگر، بنابرگزارش های خبرگزاری ها، هم‌اکنون تنها گزینه فعال در اغلب خودپرداز‌ها تغییر رمز است و امکان برداشت وجه وجود ندارد.

به گزارش فارس، با اعلام بانک مرکزی و انتشار خبر هک شدن سه میلیون حساب بانکی در فضای اینترنت، این بانک برای ارتقاء امنیت حساب‌ها، به بانک‌های کشور اعلام کرد که تمام آیتم‌های خودپرداز‌ها غیر از گزینه تغییر رمز کارت غیر فعال شود.

بنابراین گزارش، در اغلب خودپرداز‌ها امکان برداشت وجه وجود ندارد و تنها گزینه تغییر رمز فعال است. برخی افراد برای برداشت وجه به خودپرداز مراجعه کرده بودند که تنها با گزینه تغییر رمز مواجه شدند و این مساله مشکلاتی را برای این افراد ایجاد کرده است.

البته یکی از خودپردازهای یک بانک خصوصی امکان انتقال وجه را به مشتریان می‌دهد.

از سوی دیگر، آنگونه که مهر گزارش کرده، این اتفاقات در نظام بانکی کشور در حالی مشتریان بانکی و دارندگان کارتها را نگران کرده است که بانک مرکزی هم اکنون معاون فناوری ارتباطات و اطلاعات ندارد و مشخص نیست در صورت سوء استفاده احتمالی از حساب های بانکی چه کسی پاسخگو است و ضرر و زیان مشتریان را چه کسی تقبل خواهد کرد.