براي درک اهميت اين خطر تنها کافي است به ياد بياوريم دو روز قبل بزرگترين شبکه پرداخت الکترونيک خاورميانه اطلاعات مشتريان خود را که روي يک فايل اکسل بدون پسورد و ايمني ذخيره کرده بود، اشتباها به همه آنها ايميل کرد.
هنگامي که پرونده مؤسسات مالي و اعتباري به تجمعات خياباني و اعتراضات دامنهدار سپردهگذاران منجر شد، جامعه ايران شاهد درگيري چند دستگاه کشور بر سر پذيرش مسئوليت اين مؤسسات بود. بانک مرکزي و وزارت تعاون، کار و رفاه اجتماعي در آن زمان تأكيد ميکردند که مجوز فعاليت اين مؤسسات از سوی طرف مقابل داده شده و حالا بايد پاسخگوي نتايج آن باشند.
به گزارش شرق، حالا در ماجراي شرکتهاي USSD اگرچه با يک کلاهبرداري چند هزار ميلياردتوماني روبهرو نيستيم؛ اما پاي يک تقلب در نظرسنجي تلويزيوني در ميان است که شرايط مشابهي را به وجود آورده است. درحاليکه صداوسيما چند سالي است به قرق شرکتهاي ارائه خدمات USSD درآمده و در همه برنامههاي آن ردپاي ستاره و مربعهاي گوناگون ديده ميشود، وزارت ارتباطات تأكيد دارد شرکتهاي USSD از اين وزارتخانه مجوز ندارند و تحت قوانين تجارت فعاليت ميکنند؛ ادعايي که نشان ميدهد شرکتهاي USSD درحالحاضر متولي مشخص و مسئوليتپذيري در کشور ندارند. نبود مسئوليت مشخص دستگاههاي نظارتي و اجرائي کشور در قبال شرکتهايي که از يک پروتکل ناامن براي ذخيره اطلاعات بانکي مشترکان استفاده ميکنند و خطرات آن بارها از سوی کارشناسان بانکي و فناوري اطلاعات هشدار داده شده، يک نگراني عميق درباره احتمال بروز فاجعه را به وجود ميآورد و بمب ساعتي USSDها را خطرناکتر از پيش ميکند.
يک بمب ساعتي
USSD يک مکانيسم انتقال اطلاعات است که ميتواند بين تلفن همراه و اپراتور پيامهاي 182 کارکتري ردوبدل کند. اين پيامها که با استفاده از کليدهاي * و # ارسال ميشوند، امکان بانکداري و نقلوانتقال مالي، خدمات تلفن همراه، اعلام اخبار فوري و خدمات خبري، نظرسنجي، مسابقه و... را فراهم ميکنند؛ اما نکته مهم درباره اين مکانيسم انتقال اطلاعات نبود رمزنگاري و امنيت بهشدت پايين اين روش انتقال اطلاعات است که بهویژه ميتواند در زمينه نقلوانتقالات مالي به فاجعه ختم شود. ايجاد هزينه ناخواسته براي مشترکان يا دستبرد به اطلاعات حساس کاربران مانند شمارهکارت، تاريخ انقضا و رمز دوم که امکان هر نوع سوءاستفاده از اطلاعات شهروندان را فراهم ميکند، تنها گوشهاي از تهديدات استفاده از اين مکانيسم انتقال است که بارها از سوی کارشناسان درباره آن هشدار داده شده است.
براي درک اهميت اين خطر تنها کافي است به ياد بياوريم دو روز قبل بزرگترين شبکه پرداخت الکترونيک خاورميانه اطلاعات مشتريان خود را که روي يک فايل اکسل بدون پسورد و ايمني ذخيره کرده بود، اشتباها به همه آنها ايميل کرد. حال يک شرکت ارائه خدمات USSD در ايران را تصور کنيد که اطلاعات ميليونها شهروند ايراني را که براي امور گوناگون مانند خريد شارژ تلفن همراه يا انتقال پول از خدمات اين شرکت استفاده کردهاند، در اختيار دارد. هرکسي که توانايي دسترسي به اطلاعات چنين شرکتي را داشته باشد، خواه يک کارمند متخلف يا مدير غيرمتعهد، ميتواند در يک لحظه تصميم بگيرد حسابهاي بانکي ميليونها شهروند خدماتگيرنده را تخليه کند يا به شخص ديگري بفروشد. اتفاقي که آنچنان در دسترس و محتمل است که توقفنيافتن آن، چيزي بيشتر از يک سهلانگاري به نظر ميرسد.
رفتار عجيب وزارت ارتباطات
کارشناسان بانکي و فناوري اطلاعات بارها درباره خطرات استفاده از USSD براي نقلوانتقال مالي هشدار دادهاند و حالا که تنها يک تقلب در نظرسنجي صداوسيما کار را به آنجا رسانده که کسي مسئوليت مجوز اين شرکتها را برعهده نميگيرد، اين خطر جديتر احساس ميشود که در صورت بروز فاجعه چه کسي مسئوليت آن را خواهد پذيرفت؟ محمد صادقي، معاون فناوري اطلاعات بانک اقتصاد نوين، سال گذشته در گفتوگو با «راه پرداخت» دراينباره گفته است: بستر USSD براي پرداخت امن نيست؛ زيرا اطلاعات واردشده از سوی مشتريان مانند شمارهکارت و رمز به صورت آشکار بر روي بستر ارتباطي تبادل ميشوند.
ساسان شيردل، مدير فناوري اطلاعات بانک مسکن، نيز در گفتوگو با همان خبرگزاري دراينباره گفته است: «بستر USSD نيز مانند يکسري از تکنولوژيها که از ابتدا بررسي نشدند و هيچ سنجشي درباره آنها صورت نگرفته، به اشتباه استفاده شده است و به نظر بنده هر وقت و در هر جايي جلوي انجام فرايندي اشتباه را گرفت، حرکت درستي صورت گرفته است». عليرضا لگزايي، قائممقام بانک ملت، يکي ديگر از مديران بانکي است که دراينباره گفته است: «اين بستر امن نبوده و چون کدهاي دستوري، اولين نسل از تکنولوژي تحت موبايل بودند، از ايمني لازم برخوردار نبوده و نيستند». ناامني شبکه USSD آنچنان آشکار و مورد توافق کارشناسان است که بانک مرکزي در بهمن سال گذشته در بخشنامهاي فوري به مديران عامل بانکها و مؤسسات عضو مرکز شتاب دستور داد «از 15 بهمن 96 تراکنشهاي فاقد رمزنگاري از مبدأ تا مقصد در مسيرهاي بدون حضور کارت صرفا براي تراکنشهاي پرداخت قبوض عمومي مجاز است و تراکنشهاي مربوط به خريد شارژ يا قبوض ويژه پذيرش و پردازش نخواهد شد. از ابتداي ارديبهشت 97 نيز تراکنشهاي مجاز (قبوض عمومي) صرفا با اتکا به زيرساخت فراهمشده در سامانه پيوند و از طريق شماره تلفن همراه به جاي شمارهکارت ميسر خواهد بود و تحت هيچ شرايطي شمارهکارت در بسترهاي فاقد رمزنگاري مبدأ تا مقصد انتقال نخواهد يافت».
بخشنامهاي که کاملا عقلاني و ضروري به نظر ميرسيد؛ اما هرگز اجرائي نشد تا شرکتهاي USSD همچنان به فعاليت انتقال مالي خود ادامه دهند. حال پس از افشاي تقلب در نظرسنجي انتخاب بهترين برنامه صداوسيما، برنامههاي خبري اين رسانه تحت مديريت واحد خبر، تأكيد ميکنند که شرکتهاي USSD با مجوز وزارت ارتباطات و فناوري اطلاعات فعاليت ميکنند و در مقابل وزارت ارتباطات و فناوري اطلاعات تأكيد ميکند که اين شرکتها از اين وزارتخانه مجوز نگرفتهاند. محمدجواد آذريجهرمي، وزير ارتباطات، روز گذشته درباره این موضوع در توييتر نوشت: «شرکتهاي ارزش افزوده و USSD مجوزي از وزارت ICT ندارند و فعاليت آنها مطابق قانون تجارت است. اگر آنگونه که در بخشهاي خبري ديشب سيما طرح شد، فعاليت آنها بايد با اخذ مجوز از وزارت ICT باشد، مطابق مصوبه ۱۹۲ کميسيون تنظيم مقررات، تبليغ يا فعاليت آنها سريعا در صداوسيما متوقف شود». درخواستي که قطعا با موافقت صداوسيما روبهرو نخواهد شد؛ اما نشان ميدهد وزارت ارتباطات خود را متولي اين شرکتها که چنين کسب و کار پرمخاطرهاي را اداره ميکنند، نميداند.
نکته جالب دراينميان آن است که با وجود موضعگيري وزير ارتباطات درباره دريافتنکردن مجوز فعاليت شرکتهاي USSD از اين وزارتخانه، يک منبع آگاه در بانک مرکزي به «شرق» گفت: «صحبتهاي آقاي وزير جالب است؛ زيرا هنگامي که بانک مرکزي تلاش کرد فعاليت انتقال مالي با بستر ناامن USSD را متوقف کند، اين وزارت ارتباطات و فناوري اطلاعات بود که بهشدت مخالفت کرد و جلوي اين کار را گرفت». اظهارنظري که نشان ميدهد درحالحاضر هيچکس مسئوليت شرکتهايي را که اطلاعات بانکي ميليونها ايراني را در اختيار دارند و هر لحظه ميتوانند منجر به يک کلاهبرداري بزرگ، نه در يک نظرسنجي رسانهاي؛ بلکه در نظام بانکي کشور شوند، قبول نميکند.