در پی انتشار اطلاعات «صدها هزار» مشتری بانکی مجوز شرکت خدمات‌دهنده لغو شد

به دنبال انتشار گزارش‌هایی مبنی بر لو رفتن اطلاعات صدها هزار مشتری بانکی در ایران، ناصر حکیمی، مدیر اداره نظام‌های پرداخت بانک مرکزی روز یکشنبه در نشستی خبری گفت که «مجوز شرکتی که اطلاعات بانکی مشتریان را لو داد، لغو شده» ولی «اطلاعاتی که به بیرون درز کرده، اهمیتی برای سوءاستفاده از حساب‌های بانکی افراد، ندارد.»

به گزارش خبرگزاری مهر، آقای حکیمی در نشستی خبری گفته است: «حدود ۳ روز پیش یک تیم در بانک مرکزی اخباری را دریافت کرد که طی آن یک شخص از کارکنان شرکت ارائه دهنده خدمات پرداخت بانکی (ف. ا) ادعا کرد که اطلاعات بانکی برخی از دارندگان کارت بانکی را منتشر کرده است.»

مدیر اداره نظام‌های پرداخت بانک مرکزی با ذکر اینکه «اطلاعات درز شده اهمیت آن چنانی نداشته»، به شهروندان توصیه کرده که رمز بانکی خود را تغییر دهند. متعاقب این خبر هجوم مردم به عابربانک‌ها برای تغییر رمز عبور گزارش شد.

آقای حکیمی گفته که خطر «احتمالی به وجود آمده» برای «حدود دو درصد از ۱۶۰ میلیون کارت بانکی موجود در شبکه ایجاد شده است.»

وی افزود: «طی سه روز گذشته مشخص شد که هیچ سندی حاکی از دسترسی غیرمجاز به حساب‌های بانکی مردم و یا برداشت ثبت نشده است.»

مدیراداره نظام‌های پرداخت بانک مرکزی همچنین گفته که هیچ‌گونه «هک در سیستم بانکی صورت نگرفته و ادعای شخص در وبلاگش صرفا از طریق گزارش‌های روزانه مردم بوده است، سهل‌انگاری مدیریتی یا نرم افزاری در یک شرکت خصوصی که عهده‌دار خدمات پایانه‌های فروش بود باعث این اتفاق شد.»

وی گفته است: «از این به بعد، فعالیت این گونه شرکت‌ها، برای اعطای مجوز چند ده برابر گذشته امنیت نرم افزارهای آنان کنترل خواهد شد.»

مدیر اداره نظام‌های پرداخت بانک مرکزی همچنین گفته که ۱۵ شرکت دیگر در این حوزه فعالیت دارند که ممکن است بانک‌ها در ادامه ارتباط با این شرکت‌ها تجدیدنظر کنند.

خبرگزاری مهر و فارس در دو گزارش و به نقل از منابع آگاه به بررسی شرکت مظنون در این مسئله، به نام شرکت ف آ اشاره کرده و نوشته‌اند: «این شرکت تنها شرکت خصوصی دارای مجوز پرداخت الکترونیک از بانک مرکزی است که در سال ۷۸ تاسیس شده است.»

گزارش یاد شده می‌گوید این شرکت در سال ۸۳ توانست موافقت اصولی «ارائه خدمات پرداخت» از بانک مرکزی را دریافت کند و در حال حاضر تنها شرکت خصوصی دارای مجوز پرداخت الکترونیک از بانک مرکزی است.

این گزارش می‌افزاید: «در سال ۸۴ این شرکت توانست موافقت اصولی اخذ شده از بانک مرکزی جمهوری اسلامی ایران را به مجوز دائمی به عنوان تنها و اولین شرکت خصوصی فعال در صنعت بانکداری و خدمات پرداخت کشور تبدیل کند.»

پیشتر گزارش شده بود که سیستم اطلاعات ۱۰ بانک کشور هک شده و اطلاعات محرمانه بانکی سه میلیون تن به بیرون درز کرده است. مجلس شورای اسلامی در زمان اعلام این گزارش گفت موضوع را دنبال می‌کند و حتی ممکن است رییس بانک مرکزی را به مجلس فرابخواند.

بانک مرکزی جمهوری اسلامی هم در اطلاعیه‌ای از بانک‌ها خواسته بود به مشتریان خود بگویند که رمز عبور خود را تغییر دهند ولی حاضر نشده بود درز اطلاعات یا هک شدن اطلاعات را بپذیرد و فقط گفته بود: «در پی بروز برخی شایعات در فضای مجازی، به بانک‌های کشور ابلاغ شده ضمن اعلام مراتب به دارندگان کارت‌هایی که طی چند ماه گذشته رمزخود را تغییر نداده‌اند، با مراجعه به خودپرداز‌ها یا شعب بانک مربوطه نسبت به تغییر رمز کارت اقدام کنند.»

سایت الف در گزارشی نوشته درز کردن مشخصات بانکی شماری از مشتریان هک نبوده، که یکی از کسانی که این اطلاعات را در دست داشته، از کشور خارج شده و آنها را منتشر کرده است.

این گزارش می‌گوید «مدیر نرم افزار اسبق یکی از شرکت‌های همکار بانک مرکزی پس از بروز اختلافاتی با مدیران شرکت، با همراه داشتن اطلاعات بانکی محرمانه، به خارج از کشور گریخته و سپس با ایجاد یک وبلاگ به انتشار اطلاعات سه میلیون کارت بانکی اقدام کرده است.»

در این گزارش آمده که شخص یاد شده که از اون به نام آقای خ- ز نام برده شده، چندین سال در شرکت مشغول فعالیت بوده و در حوزه وظایفش، «نرم افزارهای پایانه‌های فروش و سوییچ بانکی شرکت» را تولید کرده است. پس از آنکه بابت خدمات انجام شده و بر سر پرداخت آن با شرکت دچار اختلاف می‌شود، «با هدف آشکار کردن سوء مدیریت مدیران بانکی اقدام به انتشار اطلاعات محرمانه کارت‌های مشتریان بانک‌ها به همراه رمز عبور آنها (به شکل رمز مخفی) می‌کند.

شخص یاد شده گفته که قبل از این اقدام تلاش کرده با مدیران بانک‌های مختلف تماس بگیرد اما به درخواست‌های وی ترتیب اثر داده نشده است.

بر اساس این گزارش، اطلاعات سه میلیون کارت‌های صادره توسط بانک‌های ملی، ملت، صادرات، پارسیان، پاسارگاد، کشاورزی و ده‌ها بانک دیگر، درحال حاضر توسط خ- ز از طریق یک وبلاگ منتشر و علنی شده است.

شخص یاد شده روی وبلاگ خود نوشته رمزهای عبور را به نحوی اعلام کرده که فقط توسط صاحبان کارت‌ها قابل تشخیص است و فعلا تهدیدی برای صاحبان آن‌ها به شمار نمی‌رود.