علیرضا خراسانی: مدیر نرم افزاری شرکت وارد کننده دستگاه های پوز (دستگاهی که هنگام خرید از فروشگاه یا مغازه، کارت بانکی روی آن کشیده شده و پول از کارت مشتری به حساب بانکی صاحب مغازه یا فروشگاه می رود) از ایران فرار می کند. این شرکت، عمده واردات و ساپورت نرم افزاری و سخت افزاری دستگاهای پوز در ایران را در اختیار دارد و رقیبی ندارد.
مدیر نرم افزار این شرکت، مدعی است با مدیران ارشد خود صحبت کرده که چرا برای بالا بردن سیستم امنیتی مبادلات پولی از طریق دستگاههای پوز، از ماژول سخت افزاری HSM استفاده نکرده اند و همین عامل باعث شده تا وی سعی کند تا نقشی شبیه رابین هود را ایفا کند.
مشکل بزرگ به گفته خسرو زارع فرید این است که دستگاهای HSM کمک می کند تا اطلاعات مشتریان روی ترمینال هایی که ممکن است مورد سوء استفاده هکرها و دزدان قرار گیرد، ذخیره نشده و لو نرود و بانک مرکزی باید این ماژول سخت افزاری را از این شرکت می خریده؛ که هنگام بستن قرارداد و بعدا بر سر مشکلات مالی ناشی از فروش دستگاه ها اختلاف به وجود می آید. (هر چند این ماژول ها نیز لاگ می اندازند و مدیر بعدی نرم افزاری برای هر دم و دستگاهی هم که باشد می تواند این اطلاعات را مانند مدیر نرم افزار، همان کار را با دستگاههای جدید هم انجام دهد. )
همین مدیر نرم افزاری قهر کرده و از ایران فرار می کند و البته همان اطلاعات و رمزهای بین بانکی هنگام تبادل مالی بین دستگاهای پوز و ترمینال شرکت انیاک و بانک مرکزی را در هفته آخری که فرار می کند را روی هارد خود ریخته و به خارج می برد.(فرانسه یا آلمان)
اولین نکته و نتیجه این داستان: در عقب مانده ترین کشور جهان هم هیچ مدیر نرم افزاری حق ندارد دست به سرقت اطلاعات بزند. سرقت با هک کردن فرق دارد و دلسوزی شک بر انگیز مدیر نرم افزاری نیز نتیجه اش حداقل 5 سال زندان در فرانسه یا آلمان است که وی بدانجا فرار کرده است. خیلی راحت پلیس ایران می تواند شکایت رسمی به اینترپل کرده و وی را به ایران بازگرداند. مقر اینترپل در فرانسه است و به راحتی می توان با ارسال مدارک سرقت صورت گرفته توسط آقای نرم افزار وی را بازداشت کرد.(که اگر چنین کاری صورت نگیرد سناریو جور دیگر خواهد شد و توهم توطئه در ذهن افکار عمومی تقویت می شود.)
خوب برگردیم به داستان قبلی.
اطلاعاتی که مدیر نرم افزار در هفته قبل از فرار خود، کپی کرده حاوی رمزهای بین بانکی و شماره کارت فردی است که با دستگاه پز خرید و فروش کرده است.
این اطلاعات در حال حاضر به گفته او حدود سه میلیون اکانت بانکی است که وی آنرا منتشر کرده است. آیا انتشار این شماره ها خطر فوری دارد؟ تقریبا 99 درصد جواب منفی است. شماره ها از الگوریتم خاصی پیروی می کند که برای یافتن این الگوریتم باید ریاضی دانان جمع شده تا فرمول تولید شماره رمز از روی کارت هنگام ترانزاکشن را کشف کنند. پس نتیجه فوری آن چندان خطرآفرین نیست.
برای همین بانک مرکزی به هشدار دادن به مردم بسنده کرده و در نهایت با مسدود کردن کارت بانکی لو رفته ها، جلوی سوء استفاده احتمالی را بگیرد. (برخی نیز با تماس با بانک مرکزی گفته اند حسابشان خالی شده که در برخی موارد انسان را یاد گم کنندگان چمدان در فرودگاه می اندازد که هنگام پر کردن فرم گمشده هر آیتمی را که دلشان می خواهد می نویسند و از آب گل آلود ماهی می گیرند.)
بانک ها نیز خودشان وارد عمل شده و با ارسال اس ام اس از مردم خواسته اند تا جهت جلوگیری از سوء استفاده احتمالی شماره رمز خود را عوض کنند. کارشناسان بانکی هم می دانند که فعلا کسی نمی تواند سوء استفاده کند اما برای اطمینان بیشتر از مشتریان خواسته اند این کار را انجام دهند. (خیلی از بانکها روی سایت خود سالهاست نوشته اند که هرگز از اس ام اس استفاده برای پیامهای امنیتی استفاده نمی کنند اما در اولین مشکل واقعی امنیتی روی بانک این کار را انجام دادند، یک امتیاز منفی به بانکهای ارسال کننده اس ام اس)
اگر کسی این الگوریتم ها را کشف کند (که فعلا محال است) باید دسترسی به ترمینال شرکت وارد کننده دستگاههای پوز را هم داشته باشد تا بتواند دومین قدم از هک کارتها را انجام دهد (که این امکان نیز در حال حاضر وجود ندارد) و از طرف دیگر سایر اطلاعات ریز دارنده کارت از جمله CVV را هم داشته باشد تا بتواند به سوی گام بعدی هک حرکت کند.(که آنرا هم ندارد). تازه بانک مرکزی باید سریعا جلوی نقل و انتقالات بالا را بگیرد تا امکان سوء استفاده را به صفر برساند.
اما حالا برگردیم به سایر نتایج. در کوتاه مدت بازنده اصلی شرکت وارد کننده و خدمات دهنده دستگاه های پوز است که مدیر نرم افزاری وی به خارج رفته است.
نکته فنی قضیه متن مکالمه تلفنی مدیر فراری با رییس خودش است که در آن صدها نکته و سوال دارد. اول از همه خنده و بعد تعجب، عصبانیت، آرامش و بی خیالی را در ذهن خواننده متبادر می سازد.
نتیجه درازمدت که همان بی اعتماد شدن مردم به سیستم الکترونیک بانکها است به ذهن نمی رسد که این نیز اما و اگر زیاد دارد. اینکه نهادهای مسوول چگونه خود را وارد این بازی کرده و چگونه می خواهند سر و ته این داستان را جمع کنند نیز به واکنش های بعدی شرکت وارد کننده پوز، برگشتن فراری و اعترافات او دارد.
اما تنها یک نکته می ماند و اینکه بانک مرکزی قرارداد جدید را با کدام شرکت یا نهاد امضا خواهد کرد؟ پاسخ به این پرسش می تواند بسیاری از سناریوهای بازی شده در این داستان لج ولجبازی ( که به واقعیت تبدیل شد) را آشکار کند.
توپ در زمین چه کسی خواهد افتاد؟ مردم، شرکت واسط، شرکت جدید واسط و یا بانک مرکزی؟
/5631
افشای اطلاعات کارت های بانکی از سوی مدیر نرم افزار شرکت وارد کننده دستگاه های پوز چقدر نگران کننده است؟ فرجام افشای این اطلاعات به نفع و زیان کیست؟
کد خبر 208419
نظر شما