نگران نباشید؛ برداشتی از کارتهای هک شده صورت نگرفته است
مدیر نظامهای پرداخت بانک مرکزی گفت: «اطلاعات افشا شده از کارتهای بانکی به هیچ وجه برای برداشت از حسابها کافی نیست و تاکنون برداشت غیرمجاز از این حسابها صورت نگرفته است.»
“ناصر حکیمی” گفت: «چند روز قبل تیم پایش رسانهای بانک مرکزی گزارشی مبنی بر اینکه فردی در وبلاگ خود ادعا کرده که اطلاعات مربوط به تعدادی از کارتهای بانکی شهروندان را در اختیار دارد و پیرو این ادعا شماره برخی از این کارتها را هم منتشر کرده بود، ارائه کرد.»
وی ادامه داد: «بلافاصله بعد از دریافت این گزارش و از آنجایی که صرف این ادعا هم یک تهدید بالقوه امنیتی به حساب میآمد، ما در قالب اطلاعیهای از شهروندان خواستیم تا رمز کارتهای خود را تغییر دهند. این اقدام نیز از آن رو انجام گرفت که طبیعتا بررسیها زمان میبرد و احتیاط حکم میکرد برای رفع تهدید منتظر نتایج بررسیها نباشیم.»
مدیر نظامهای پرداخت بانک مرکزی در مورد تعداد کارتهایی که اطلاعاتشان منتشر شده است، گفت: «در وبلاگ ادعا شده بود اطلاعات حدود 5/1 درصد از کل کارتهای بانکی را در اختیار دارد که با توجه به حدود 160 میلیون کارت موجود این رقم حدود 3 میلیون کارت میشد. البته بررسیهای ما نشان داد که حدود یک سوم از اطلاعات منتشر شده مربوط به کارتهایی است که فعال نبودهاند، یعنی یا تاریخ انقضای آنها گذشته بود یا به هر علتی مجاز به فعالیت نبودند.»
وی گفت: «از تعداد باقیمانده هم فرد مدعی برخی از اطلاعات را ساخته است و اصلا چنین کارتی در سیستم بانکی وجود ندارد. با این وجود بررسیها در مورد تعداد دقیق کارتها ادامه دارد.» حکیمی تاکید کرد: «به تمامی شهروندان اطمینان میدهیم که اطلاعات افشا شده به هیچ وجه برای برداشت از حسابها کافی نیست. اطلاعات منتشر شده شامل شماره حک شده روی کارت و یک کد است که در واقع رمز کارت نیست بلکه رمز کارت در قالب این اعداد، کد گذاری شده است و قابل استفاده نیست.»
وی ادامه داد: «برای برداشت از حسابها اولا باید اصل کارت وجود داشته باشد، ثانیا رمز کارت هم در اختیار باشد که در شرایط فعلی هیچ کدام از این دو در اختیار فرد مدعی نیست. بنابراین امکان برداشت غیرمجاز از حسابها وجود ندارد.»
حکیمی در مورد خریدها و تراکنشهای اینترنتی هم گفت: «دارندگان حسابهای اینترنتی استحضار دارند که انجام هرگونه تراکنشی در قالب این حسابها مستلزم اطلاع از تاریخ انقضا و cvv2 است که این دو مورد تنها روی کارتها حک شده است و هیچ کجا در سیستمهای بانکی ثبت نمی شود تا امکان درز یا هک آنها وجود داشته باشد. ضمن اینکه رمز دوم که برای خرید اینترنتی لازم است هم در اختیار فرد مدعی نیست.»
مدیر اداره پرداختهای بانک مرکزی در مورد چگونگی این اتفاق هم گفت: «این اتفاق به هیچ وجه هک نیست بلکه در اثر یک اشتباه نرم افزاری این اطلاعات از یکی از شرکتهای خصوصی فعال در این حوزه درز پیدا کرده است.»
وی ادامه داد: «بخشی از اطلاعات کارتها که برای رفع مغایرتها در تراکنشها برای مدتی در اختیار حسابداریهای بانکها و… قرار میگیرد، باید بعد از مدت مشخصی پاک میشده، اما سال گذشته در اواسط مرداد ماه مشخص شد که در پی یک اشتباه و اختلال نرمافزاری در یک مورد این اطلاعات پاک نشده و فردی هم در یک شرکت خصوصی با برداشت این اطلاعات در واقع اقدامی غیرقانونی انجام داده است.»
حکیمی گفت: «در همان مقطع زمانی این مساله مشخص و مشکل نرمافزاری به سرعت برطرف شد، ولی متاسفانه بخشی از اطلاعات به دست فرد متخلف افتاده بود.» وی در پاسخ به اینکه تاکنون گزارشی مبنی بر برداشت از حسابها داشتهاید، گفت: «خیر تمام کارتهایی که اطلاعاتشان منتشر شده بود بررسی شده است و مشخص شد که هیچ برداشت غیرمجازی از این حسابها صورت نگرفته است با این حال اگر فردی احساس میکند چنین اتفاقی برای موجودی حسابش افتاده میتواند به بانکی که در آن حساب دارد مراجعه کند تا مساله بررسی شود.»
حکیمی گفت: «در حال حاضر با هماهنگیهای بهعمل آمده با بانکها، انجام هر تراکنشی توسط خودپردازها و دستگاههای خرید و سیستمهای اینترنت بانک در صورتی قابل انجام است که ابتدا دارنده کارت و حساب نسبت به تغییر رمز خود اقدام کند و پس از تغییر رمزها تمام تراکنشها ممکن خواهد بود.»
مدیرکل اداره پرداختهای بانک مرکزی در پاسخ به این سوال که آیا این بانک باز هم به همکاری با شرکتی که اطلاعات مشتریان بانکی از آن درز کرده ادامه میدهد، گفت: «با اتفاقی که پیش آمده با این شرکت قطع همکاری میشود.»