آیا کارت های عابربانک در خطر هستند؟

[Drago]

نمیدونم خبر رو شنیدید یا نه.خلاصه اش رو توضیح میدم براتون.
سه شنبه‌ی قبل (۲۲ فروردین) یه نفر که به نظر میاد کارمند سابق شرکت انیاک هست یه وبلاگ زده (http://ircard.blogspot.de/) و توش شماره ۳ میلیون کارت عابر بانک (صادر شده از بانک های مختلف) رو نوشته.هدف؟ اطلاع رسانی.چه اطلاع رسانی ای؟ الان میگم.
انیاک به آدرس http://www.eniac-psp.net یه شرکت فناوری اطلاعاته.یکی از خدماتی که ارائه میده پایانه های فروشگاهی یا همون POS یا به قول بازاریا کارت خوانه.یعنی این شرکت یه شرکت واسطه میشه بین مردم و بانک.این آقا توی وبلاگش نوشته که من چند بار به مدیرهای بانک ها خطر سوء استفاده از کارت ها رو اطلاع دادم ولی جواب درستی ندادن.
یعنی میگه کارت هایی که شما توی مغازه ها کشیدین و کارت خوانش مربوط به شرکت انیاک بوده،ممکنه رمز عبور شما در خطر باشه.اون ۳ میلیون کارت در خطر هستن،اما ممکنه کسایی که شماره کارتشون اونجا نیست هم در خطر باشن.
بعضی ها میگفتن کارتشون غیر فعال شده (کاربرهای شبکه های اجتماعی) و بعضی ها میگفتن از طرف بانک اس ام اس اومده که به دلایل امنیتی کارت شما مسدود شد.یه عده هم میگفتن پول از حسابشون کم شده.
‫مدیر ادارهی نظامهای پرداخت بانک مرکزی‬ هم توی مصاحبه اش با رجانیوز گفته که کارت هایی که رمزشونو عوض نکردن تا وقتی عوض نکنن فقط گزینه تغییر رمز براشون فعاله.

خب،به نظر شما با این حجم بی توجهی،فرهنگسازی IT اصلا معنی پیدا میکنه؟ مردم کلی طول کشید تا به خرید اینترنتی عادت کردن،تا به همراه داشتن کارت عادت کردن،تا به خرید با کارت عادت کردن،حالا دیگه اعتماد همه از بین میره.

 

[Drago]

در مورد ساز و کار اینها کسی اطلاع نداره؟ یعنی رمزکارت ما تا تایید شدن توسط بانک رمزنگاری نمیشه؟! از طریق خط تلفن همینجوری plain ارسال میشه؟ شرکت واسطه دسترسی داره بهش؟

 

[danialfx]

طبق توضیحاتی که تو وبلاگ مربوطه نوشته شده بود. به دلیل اینکه سیستم انیاک طوری هست که لاگ اون ذخیره میشه و شماره کارت و پسورد ها ذخیره میشه. مشکل امنیتی داشت و باید سیستم hsm تهیه میکردن که بنا به اهمال کاری چنین کاری نکردن.

اون شخص هم که یکی از مدیر های سابق انیاک بود. مثل اینکه 3 میلیون شماره کارت رو استخراج کرد و به مدیر های بانک ها ایمیل زد که این باگ وجود داره. ولی مدیران بانک هم پیگیری نکردن.

حالا هم بعضی بانک ها اس ام اس زدن که شماره رمز کارت ها رو تغییر بدید.

این تغییر دادن رمز ها باعث میشه که رمزها از دست اون شخصی که وبلاگ زده یا افرادی که بخوان اون رمز ها رو ازش بدزدن خارج بشه. ولی هیچوقت باعث ایمن شدن باگ امنیتی شرکت انیاک نمیشه.

امیدوارم تغییر رویکردی در مسئولین ایجاد بشه.

 

[danialfx]

این 3 تا خبر خبرگزاری ها هم در همین مورد :


چه كسی حساب های بانكی را هک كرد؟


http://www.akharinnews.com/last-news/item/9328-hack.html


اطلاعات كارت هاي بانكي چگونه لو رفت؟


http://khabarfarsi.com/ext/2391405


لو رفتن اطلاعات بانکی به مجلس کشید/ بهمنی احضار شد

http://www.asriran.com/fa/news/209691/لو-رفتن-اطلاعات-بانکی-به-مجلس-کشید-بهمنی-احضار-شد


البته باید عرض کنم که هکی در کار نبوده و این مشکل به خاطر باگی هست که در سیستم انیاک وجود داره.

 

[danialfx]

هجوم مردم،عابربانک ها را نیمه جان کرد

پس از اين‌كه بانك مركزي شب گذشته در اطلاعيه‌اي از مردم خواست در اسرع وقت رمز اول و دوم كارت‌هاي بانكي خود را تغيير دهند، امروز حضور مردم در محل خودپرداز‌هاي بانكي براي تغيير رمز كارت‌ها محسوس است.

در همين رابطه شايعاتي مبني بر قطع شدن سيستم خودپرداز‌ها منتشر شده بود، اما خبرنگار ايسنا با مراجعه به چند خودپرداز مشاهده كرد كه همه آنها فعالند و امكان دريافت پول نقد از خودپرداز‌ها نيز وجود دارد.

به گزارش ایسنا،با اين وجود احتمالا به دليل هجوم زياد مردم به خودپرداز‌ها اين دستگاه‌ها در حال حاضر با كندي كار مي‌كنند، ولي هيچ اختلالي در عملكرد آنها و يا سيستم شتاب ديده نمي‌شود.



نگران نباشید؛برداشتی از کارت‌‌ها صورت نگرفته


ناصر حکیمی گفت: چند روز قبل تیم پایش رسانه ای بانک مرکزی گزارشی ارائه داد مبنی بر اینکه فردی در وبلاگ خود ادعا کرده که اطلاعات مربوط به تعدادی از کارت های بانکی شهروندان را در اختیار دارد و پیرو این ادعا شماره برخی از این کارت ها را هم منتشر کرده بود.

وی ادامه داد: بلافاصله بعد از دریافت این گزارش و از آنجایی که صرف این ادعا هم یک تهدید بالقوه امنیتی به حساب می آمد ما در قالب اطلاعیه ای شهروندان خواستیم تا رمز های کارت های خود را تغییر دهند. این اقدام نیز از آن رو انجام گرفت که طبیعتا بررسی ها زمان می برد و احتیاط حکم می کرد برای رفع تهدید منتظر نتایج بررسی ها نباشیم.

مدیر نظام های پرداخت بانک مرکزی در مورد تعداد کارتهایی که اطلاعاتشان منتشر شده است، گفت: در وبلاگ ادعا شده بود اطلاعات حدود ۱.۵ درصد از کل کارت های بانکی را در اختیار دارد که با توجه به حدود ۱۶۰ میلیون کار موجود این رقم حدود ۳ میلیون کارت می شد. البته بررسی های ما نشان داد که حدود یک سوم از اطلاعات منتشر شده مربوط به کارتهایی است که فعال نبوده اند یعنی یا تاریخ انقضای آنها گذشته بود یا به هر علتی مجاز به فعالیت نبودند.

وی افزود: از تعداد باقی مانده هم فرد مدعی برخی از اطلاعات را ساخته است و اصلا چنین کارتی در سیستم بانکی وجود ندارد. با این وجود بررسی ها در مورد تعداد دقیق کارت ها ادامه دارد.

حکیمی تأکید کرد: به تمامی شهروندان اطمینان می دهیم که اطلاعات افشا شده به هیچ وجه برای برداشت از حساب ها کافی نیست؛ اطلاعات منتشر شده شامل شماره حک شده روی کارت و یک کد است که در واقع رمز کارت نیست بلکه رمز کارت در قالب این اعداد، کد گذاری شده است و قابل استفاده نیست.

وی ادامه داد: برای برداشت از حساب ها اولا باید اصل کارت وجود داشته باشد، ثانیا رمز کارت هم در اختیار باشد که در شرایط فعلی هیچ کدام از این دو در اختیار فرد مدعی نیست بنا بر این امکان برداشت غیر مجاز از حساب ها وجود ندارد.

حکیمی در مورد خریدها و تراکنش های اینترنتی هم گفت: دارندگان حساب های اینترنتی استحضار دارند که انجام هر گونه تراکنشی در قالب این حساب ها مستلزم اطلاع از تاریخ انقضاء و cvv۲ است که این دو مورد تنها روی کارت ها حک شده است و هیچ کجا در سیستم های بانکی ثبت نمی شود تا امکان درز یا هک آنها وجود داشته باشد. ضمن اینکه رمز دوم که برای خرید اینترنتی لازم است هم در اختیار فرد مدعی نیست.

مدیر اداره پرداخت های بانک مرکزی در مورد چگونگی این اتفاق هم گفت: این اتفاق به هیچ وجه هک نیست بلکه در اثر یک اشتباه نرم افزاری این اطلاعات از یکی از شرکت های خصوصی فعال در این حوزه درز پیدا کرده است.

وی ادامه داد: بخشی از اطلاعات کارتها که برای رفع مغایرت ها در تراکنش ها برای مدتی در اختیار حسابداری های بانک ها و... قرار می گیرد باید بعد از مدت مشخصی پاک می شده اما سال گذشته در اواسط مرداد ماه مشخص شد که در پی یک اشتباه و اختلال نرم افزاری در یک مورد این اطلاعات پاک نشده و فردی هم در یک شرکت خصوصی با برداشت این اطلاعات در واقع اقدامی غیر قانونی انجام داده است.

حکیمی افزود: در همان مقطع زمانی این مسئله مشخص و مشکل نرم افزاری را به سرعت برطرف شد ولی متأسفانه بخشی از اطلاعات به دست فرد متخلف افتاده بود.

وی در پاسخ به اینکه تا کنون گزارشی مبنی بر برداشت از حساب ها داشته اید گفت: خیر تمام کارت هایی که اطلاعاتشان منتشر شده بود بررسی شده است و مشخص شد که هیچ برداشت غیر مجازی از این حساب ها صورت نگرفته است با این حال اگر فردی احساس می کند چنین اتفاقی برای موجودی حسابش افتاده می تواند به بانکی که در آن حساب دارد مراجعه کند تا مسئله بررسی شود.

حکیمی افزود: در حال حاضر با هماهنگی های بعمل آمده با بانک ها، انجام هر تراکنشی توسط خودپردازها و دستگاه های خرید و سیستم های اینترنت بانک در صورتی قابل انجام است که ابتدا دارنده کارت و حساب نسبت به تغییر رمز خود اقدام کند و پس از تغییر رمز ها تمام تراکنش ها ممکن خواهد بود.

به گزارش فارس،وی ضمن پوزش از مردم شریف بابت این اتفاق تأکید کرد: با وجود اینکه این اتفاق در خارج از سیستم بانکی افتاده ما خود را موظف می دانیم تا از مردم شریفمان عذرخواهی کنیم و این اطمینان را نیز بدهیم که در صورت مراقبت های معمول شهروندان مانند تغییر سه ماه یک باز رمز ها و تعیین رمزهای غیر قابل حدس، امکان برداشت غیر مجاز از حساب شهروندان وجود ندارد.