ايتنا - شبكه شتاب بانكي رمزنگاري نشده است؟!

چند روزي است اي‌ميل‌ها و پيامك‌هاي متعددي با مضمون «احتمال هك شدن كارت‌هاي بانكي عضو شتاب» ميان شهروندان مبادله مي‌شود، واکنش چند بانک‌ به اين شايعات تا فرستادن پيامک تغيير رمز کارت بانکي مشتريان پيش رفت و بانك مركزي نيز اطلاعيه‌اي مبني بر اين موضوع صادر كرد و همين موضوع موج منفي را به سمت برخي کاربران بانکي سوق داده و مردم براي تغيير رمز كارت‌هاي خود به خودپرداز‌ها مراجعه كرده‌اند و اين سوال همچنان برايشان وجود دارد كه آيا اين اتفاق صحت دارد و آيا رمز برخي کارت‌هاي بانکي از طريق سيستم شتاب درز کرده و حساب‌هاي بانکي کاربران در حال تهديد است؟

به گزارش ایتنا به نقل از ايسنا، هرچند مدير اداره نظام‌هاي پرداخت بانك مركزي درباره ادعاي فردي مبني بر دسترسي به رمز عبور كارت‌هاي بانكي سه ميليون مشترك توضيحاتي ارائه و تاكيد كرد كه به هيچ وجه امكان سوء‌استفاده از اطلاعات ادعايي اين فرد وجود ندارد اما واکنش بانک مرکزي و بانک‌هاي زير مجموعه‌اش تأمل دارد که با مطرح کردن «حفاظت مشتريان در مقابل مخاطرات احتمالي» و حتي انتشار اطلاعيه و پيامک، به نوعي در تأييد اين سخنان حرکت کرده‌اند و همين باعث مراجعه تعداد بسياري از شهروندان به خودپردازها براي تغيير رمز و در نتيجه كند شدن سيستم شبكه شده است.

اما يك كارشناس امنيت اطلاعات تاكيد كرد: بايد مسئولان ذيربط بانكي تمام داده‌هايي كه در شبكه شتاب و بين بانك‌ها رد و بدل مي‌شود را با روش‌هاي رمز‌نگاري و يا گواهي الكترونيكي رمز كنند.

رضا فخر‌عطار در اين باره گفت: اتفاقي كه در رمز كارت بانك‌ها افتاده به اين دليل است، با توجه به اين‌كه تراكنش‌هاي بانكي به صورت رمز نشده، در شبكه شتاب و بين بانك‌ها رد و بدل مي‌شود، اين امكان وجود دارد كه در حين تبادل اطلاعات توسط افرادي اين اطلاعات شنود شود و از آن اطلاعات شنود شده استفاده شود.

او تاكيد كرد: كسي كه قصد دارد اطلاعات را شنود ‌كند، مي‌تواند در حين تبادل اطلاعات و با توجه به اين‌كه اين كار به صورت رمز نشده صورت مي‌گيرد، شماره كارت و رمز اول را گرفته و با توجه به اين‌كه كارت بانكي مغناطيسي است آن را مجددا صادر كرده و از آن كارت استفاده كند.

وي گفت: شبكه شتاب و شبكه بانكي، آنلاين است و برروي كارت مغناطيسي شماره حساب بانكي و نام و نام خانوادگي نوشته شده است، بنابراين شخص هك‌كننده اگر شماره حساب فرد را بداند، مي‌تواند به راحتي از آن كارت سوء‌استفاده كند.

اين كارشناس تصريح كرد: شبكه شتاب در شركت خدمات انفورماتيك است و اگر اطلاعات شنود شود و تراكنش‌ها گرفته شود به راحتي از كارت ‌سوء‌استفاده مي‌شود.

او به كاربران توصيه كرد‌ كه براي امنيت بيش‌تر، كاربران رمز دوم كارت خود را در هر سايتي وارد نكنند، زيرا برخي سايت‌ها جعلي هستند و از طرفي صاحبان عابربانك‌ها بايد رمز خود را از اطرافيانشان نيز مخفي نگه دارند.

اما ناصر حكيمي - مدير اداره نظام‌هاي پرداخت بانك مركزي - با بيان اين‌كه برخي سيستم‌هاي بانكي پس از انجام تراكنش سابقه‌اي از آن نگه مي‌دارند كه درصورت وقوع هرگونه اتفاق بتوان از آن استفاده كرد، گفت: اين فرد اين اطلاعات را جمع‌آوري كرده است در حالي كه اينها اطلاعاتي محرمانه نيست. از سوي ديگر اين اطلاعات به هيچ وجه قابل استفاده نيست چرا كه رمزها در سيستم بانكي كد مي‌شوند.

حكيمي با بيان اين‌كه از نظر فني هيچ تهديدي متوجه حساب بانكي افراد نيست، تاكيد كرده است: شايد اكثر مردم از جزييات فني ماجرا اطلاعي نداشته باشند. اما واقعيت اين است كه برخي افراد از سه سال پيش تاكنون شماره رمز كارت‌هاي بانكي خود را عوض نكرده‌اند در حالي كه طبق قاعده اين كار بايد سه ماه يكبار انجام شود.

در هر حال اين فرد مدعي شده طراح نرم‌افزار يكي از شركت‌هاي طرف قرارداد اين سيستم بانكي است و پس از اين اتفاق از سوي مسئولان بانكي بررسي شد كه اطلاعات منتشر شده تا چه حد صحت دارد كه مشخص شد كه حداقل ۳۰ درصد اطلاعاتي كه اين فرد منتشر كرده غير واقعي است.

به گزارش ايسنا مسوولان بانكي مي‌گويند تاكنون گزارشي مبني بر سوء‌استفاده از اطلاعات اين فرد در سيستم بانكي نداشته‌اند و ‌تمام لاگ‌هاي موجود بررسي شده‌ و هيچ تراكنش مشكوكي تاكنون گزارش نشده است.

كارشناسان هم مي‌گويند ‌اگر رمز اول كارت در دست اين فرد باشد كه امكان هيچ گونه استفاده از آن وجود ندارد چون رمز اول فقط در صورت وجود كارت قابل استفاده است. از سوي ديگر رمز دوم نيز بدون داشتن كد اعتبارسنجي و تاريخ انقضا غير قابل استفاده است كه اين اعداد نيز فقط روي كارت موجود است و از طريق سيستم قابل دستيابي نيست.

اما به راستي امكان ندارد اين اتفاق در سطح وسيع‌تر در سيستم بانكي تكرار شود؟ آيا تمام نرم‌افزارهاي سيستم بانكي را كه احتمال باقي ماندن اطلاعات در آن‌ها وجود داشته رصد و همگي اصلاح شده‌اند؟ حكيمي در اين باره گفته است: ما تمام سوييچ‌ها را بازنگري كرديم و هيچ مشكلي در اين زمينه وجود ندارد از سوي ديگر هر گونه تغيير نرم افزار نيز منوط به افزايش سيستم‌هاي امنيتي است.

اما مدير امور فناوري اطلاعات و ارتباطات بانك مسكن با اشاره به اين كه رسانه‌ها بايد با واقع‌بيني نسبت به موضوع اخير اظهار نظر كنند گفته است: هر كارت بانكي براي انجام هر كاري يك رمز دارد كه يكي از آن‌ها رمز اول و براي استفاده در خودپرداز است اما رمز دوم براي استفاده از پرداخت اينترنتي است.

ساسان شيردل با اشاره به اين‌كه رشد خدمات الكترونيكي و توسعه آن‌ها الگوي رفتاري متخلفين را متفاوت كرده است، تاكيد دارد: اگر چند سال پيش فردي با مراجعه به بانك ۱۰ ميليون تومان پول نقد مي‌گرفت، سارقان هنگام خروج از بانك اين پول را سرقت مي‌كردند اما هم اكنون با گسترش سيستم بانكداري الكترونيكي روش‌هاي سرقت نيز تغيير كرده و متخلفين تلاش مي‌كنند از روش‌هاي برداشت اينترنتي سوء استفاده كنند.

وي در پاسخ به اين سوال كه رمز مخفي كه اين فرد مدعي شده آن‌هارا كشف كرده چيست؟ گفت: رمز مخفي همان چهار رقمي است كه در خودپردازها مورد استفاده قرار مي‌گيرد. بنابراين براي استفاده از آن بايد حتما كارت بانكي وجود داشته باشد.

بنا به این گزارش، آنچه در اين مورد اتفاق افتاده اين است كه اطلاعات حساب‌هاي بانكي و كارت‌ها در اختيار مخاطبان گذاشته نشده و بانك‌ها نيز بلافاصله پس از انتشار اين خبر تلاش كردند مشكل را به شكل مطلوب برطرف كنند.

شيردل با بيان اين‌كه بانك مركزي الگوهايي را به بانك‌ها ابلاغ كرده كه سيستم كارت‌هاي بانكي براساس آن طراحي مي‌شوند، افزود: با اين وجود اگر يكي از اين سيستم‌ها دچار خلايي باشد ممكن است از طريق آن بتوان اطلاعات برخي بانك‌هاي ديگر نيز رصد كرد.

مدير امور فناوري اطلاعات و ارتباطات بانك مسكن با تاكيد بر اين كه بانك مركزي بايد نظارت روي شركت‌هاي پي.اس.پي را بيشتر كند، گفت: در مسائل امنيتي، دانش بانك‌ها بايد با هم به اشتراك گذاشته شود.

وي با اعلام اين اطمينان به مردم كه نظام بانكي كاملا ايمن است، از مخاطبان خواست كه نگران موضوعات مطرح شده نباشند. در تشريح وظايف مشتريان بانك‌ها براي عبور از مشكل پيش آمده گفت: اطلاعاتي كه فرد مورد نظر ما در وبلاگ خود منتشر كرده مربوط به سال ۸۹ و قبل آن است. بنابراين اطلاعات جديدي در اختيار او نيست.

مدير امور فناوري اطلاعات و ارتباطات بانك مسكن ادامه داد: مردم بدون هيچ دغدغه‌اي فقط در اسرع وقت رمز اول و دوم كارت خود را تعويض كنند اين روشي است كه در همه جاي دنيا به صورت دوره‌اي انجام مي‌شود و در واقع امنيت كارت‌ها را تا حدود زيادي تضمين مي‌كند.

وي در پاسخ به اين سوال كه آيا در صورت تغيير رمز افراد ديگري امكان پيدا كردن آن را نخواهند داشت؟‌ گفت: پس از اتفاق اخير بانك‌ها فيلتري در سيستم الكترونيكي خود ايجاد كرده‌اند كه پس از يكبار تغيير رمز ديگر امكان كشف آن توسط افراد غير وجود ندارد.

ظاهرا درباره سوء‌استفاده‌هاي احتمالي از حساب‌هاي بانكي پس از اتفاق اخير تاكنون هيچ گزارشي درباره استفاده از رمزهايي كه به ادعاي اين فرد كشف شده وجود نداشته‌ و به ادعاي خود اين فرد او به نيت خير و براي بيان مشكلات سيستم بانكي اين اقدام را انجام داده اما ممكن بود با اين موضوع جور ديگري برخورد كند و كارشناسان بر اين باورند كه سيستم بانكي براي تضمين امنيت بيش‌تر خود بايد از اين تجربه‌ هرچه سريعتر استفاده كنند.