همونطور که میدونید بانک مرکزی ، چند روز پیش توسط آقای خسرو زارع فرید هک شد 

و اما چرا ایشون این کار رو کردند ؟!

"او سه شنبه هفته قبل در وبلاگ جدید خود مطلبی نوشت و از اتفاقات یک سال گذشته و رایزنی هایی که با مدیران بانکی داشته گفت. او مدعی بود که در تیرماه سال گذشته، به مدیران تمام بانک های کشور ایمیل فرستاده نواقص موجود در سیستم امنیتی کارت بانک ها را هشدار داده و اعلام آمادگی کرده است که در ازای یک قرارداد کاری، این نواقص را برطرف کند. اما در این بین تنها مدیری که نسبت به این هشدار واکنش نشان داده، خاوری، مدیر عامل سابق بانک ملی بود؛ کسی که دو ماه بعد به اتهام دست داشتن در بزرگترین فساد مالی کشور فرار کرد و به کانادا پناه برد.
در نتیجه زارع فرید با افشای شماره حساب و رمز عبور 3 میلیون حساب بانکی این هشدار را به یک بحران بانکی در فروردین ماه 91 تبدیل کرد. او، در وبلاگ خود دلیل این افشاگری را این طور توضیح می دهد: «جوابی که از بانک ملی و بانک ملت دریافت نمودم تقریبا مشابه بود. آنها اعلام آمادگی کرده بودند که با عقد قرارداد نفوذ اخلاقی با اینجانب، محل نشت اطلاعات را شناسائی و از بین ببرند. و من نیز سوال نمودم که به ازای هر کارت بانکی که اطلاعاتش را در اختیار بانک قرار میدهم آماده هزینه کردن چه مبلغی هستند؟ این سوال به هیچ عنوان پاسخ داده نشد... برعکس ارتش سایبری مامور پیدا کردن من گردید... مجبور شدم به جای همکاری جهت اصلاح ایرادات، مقدمات فرار خودم را از ایران فراهم کنم و گریختم. هم اکنون نیز نیاز به کمک محافل حقوق بشری و سازمان های بین الملی دارم تا با حمایت خود مرا از آزار و اذیت این مدیران در امان نگه دارند.»"


خسرو زارع فرید کیست ؟ 

"
به بانک ها بفروشد. زارع فرید، دو سال قبل که هنوز به عنوان مدیر نرم افزار شرکت انیاک فعالیت می کرد، در بیوگرافی کوتاهی از خود نوشته بود که متولد تبریز است و با وجود 20سال سابقه کار نرم افزاری، از سال 85 در تهران مشغول به کار شده و با بیست کارمند، واحد نرم افزاری شرکت انیاک را مدیریت می کند. شرکت فنآوران انیاک، یکی از شرکتهای طرف قرارداد بانک مرکزی برای تامین دستگاه‌های خودپرداز کشور است که در سال 84 موافقت نامه دائم P.S.Pرا از بانک مرکزی دریافت کرد تا تنها متولی بازاریابی، نصب و پشتیبانی دستگاه های خودپرداز بانکی در کشور باشد. این شرکت در جشنواره صنعت و فناوری اطلاعات سال 89 تندیس شرکت برتر در حوزه بانکداری الکترونیک را هم دریافت کرد اما در کمتر از دو سال بعد، افشای اطلاعات محرمانه آن باعث شد تا بحرانی ترین اتفاق بانکی سال رقم بخورد.  
از خسرو زارع فرید، تا چند هفته قبل، تنها می توانستید یک بیوگرافی کوتاه در اینترنت پیدا کنید و دو وبلاگی که یکی از آنها به عکاسی هایش اختصاص داشت و دیگری تنها یک پست از سال 2005 را نمایش می داد. اما سومین وبلاگی که زارع فرید در فروردین ماه امسال ساخت، او را به جنجالی ترین چهره فروردین ماه 91 تبدیل کرد."


سخنگوی بانک مرکزی :

مدیر نظام های پرداخت بانک مرکزی گفت: اطلاعات افشا شده از کارت‌های بانکی به هیچ وجه برای برداشت از حساب ها کافی نیست و تاکنون برداشت غیر مجاز از این حساب‌ها صورت نگرفته است. 

ناصر حکیمی گفت: چند روز قبل تیم پایش رسانه ای بانک مرکزی گزارشی ارائه داد مبنی بر اینکه فردی در وبلاگ خود ادعا کرده که اطلاعات مربوط به تعدادی از کارت های بانکی شهروندان را در اختیار دارد و پیرو این ادعا شماره برخی از این کارت ها را هم منتشر کرده بود. 

وی ادامه داد: بلافاصله بعد از دریافت این گزارش و از آنجایی که صرف این ادعا هم یک تهدید بالقوه امنیتی به حساب می آمد ما در قالب اطلاعیه ای شهروندان خواستیم تا رمز های کارت های خود را تغییر دهند. این اقدام نیز از آن رو انجام گرفت که طبیعتا بررسی ها زمان می برد و احتیاط حکم می کرد برای رفع تهدید منتظر نتایج بررسی ها نباشیم. 

مدیر نظام های پرداخت بانک مرکزی در مورد تعداد کارتهایی که اطلاعاتشان منتشر شده است، گفت: در وبلاگ ادعا شده بود اطلاعات حدود 1.5 درصد از کل کارت های بانکی را در اختیار دارد که با توجه به حدود 160 میلیون کار موجود این رقم حدود 3 میلیون کارت می شد. البته بررسی های ما نشان داد که حدود یک سوم از اطلاعات منتشر شده مربوط به کارتهایی است که فعال نبوده اند یعنی یا تاریخ انقضای آنها گذشته بود یا به هر علتی مجاز به فعالیت نبودند. 

وی افزود: از تعداد باقی مانده هم فرد مدعی برخی از اطلاعات را ساخته است و اصلا چنین کارتی در سیستم بانکی وجود ندارد. با این وجود بررسی ها در مورد تعداد دقیق کارت ها ادامه دارد. 

حکیمی تأکید کرد: به تمامی شهروندان اطمینان می دهیم که اطلاعات افشا شده به هیچ وجه برای برداشت از حساب ها کافی نیست؛ اطلاعات منتشر شده شامل شماره حک شده روی کارت و یک کد است که در واقع رمز کارت نیست بلکه رمز کارت در قالب این اعداد، کد گذاری شده است و قابل استفاده نیست. 

وی ادامه داد: برای برداشت از حساب ها اولا باید اصل کارت وجود داشته باشد، ثانیا رمز کارت هم در اختیار باشد که در شرایط فعلی هیچ کدام از این دو در اختیار فرد مدعی نیست بنا بر این امکان برداشت غیر مجاز از حساب ها وجود ندارد. 

حکیمی در مورد خریدها و تراکنش های اینترنتی هم گفت: دارندگان حساب های اینترنتی استحضار دارند که انجام هر گونه تراکنشی در قالب این حساب ها مستلزم اطلاع از تاریخ انقضاء و cvv2 است که این دو مورد تنها روی کارت ها حک شده است و هیچ کجا در سیستم های بانکی ثبت نمی شود تا امکان درز یا هک آنها وجود داشته باشد. ضمن اینکه رمز دوم که برای خرید اینترنتی لازم است هم در اختیار فرد مدعی نیست. 

مدیر اداره پرداخت های بانک مرکزی در مورد چگونگی این اتفاق هم گفت: این اتفاق به هیچ وجه هک نیست بلکه در اثر یک اشتباه نرم افزاری این اطلاعات از یکی از شرکت های خصوصی فعال در این حوزه درز پیدا کرده است. 

وی ادامه داد: بخشی از اطلاعات کارتها که برای رفع مغایرت ها در تراکنش ها برای مدتی در اختیار حسابداری های بانک ها و... قرار می گیرد باید بعد از مدت مشخصی پاک می شده اما سال گذشته در اواسط مرداد ماه مشخص شد که در پی یک اشتباه و اختلال نرم افزاری در یک مورد این اطلاعات پاک نشده و فردی هم در یک شرکت خصوصی با برداشت این اطلاعات در واقع اقدامی غیر قانونی انجام داده است. 

حکیمی افزود: در همان مقطع زمانی این مسئله مشخص و مشکل نرم افزاری را به سرعت برطرف شد ولی متأسفانه بخشی از اطلاعات به دست فرد متخلف افتاده بود. 

وی در پاسخ به اینکه تا کنون گزارشی مبنی بر برداشت از حساب ها داشته اید گفت: خیر تمام کارت هایی که اطلاعاتشان منتشر شده بود بررسی شده است و مشخص شد که هیچ برداشت غیر مجازی از این حساب ها صورت نگرفته است با این حال اگر فردی احساس می کند چنین اتفاقی برای موجودی حسابش افتاده می تواند به بانکی که در آن حساب دارد مراجعه کند تا مسئله بررسی شود. 

حکیمی افزود: در حال حاضر با هماهنگی های بعمل آمده با بانک ها، انجام هر تراکنشی توسط خودپردازها و دستگاه های خرید و سیستم های اینترنت بانک در صورتی قابل انجام است که ابتدا دارنده کارت و حساب نسبت به تغییر رمز خود اقدام کند و پس از تغییر رمز ها تمام تراکنش ها ممکن خواهد بود. 

وی ضمن پوزش از مردم شریف بابت این اتفاق تأکید کرد: با وجود اینکه این اتفاق در خارج از سیستم بانکی افتاده ما خود را موظف می دانیم تا از مردم شریفمان عذرخواهی کنیم و این اطمینان را نیز بدهیم که در صورت مراقبت های معمول شهروندان مانند تغییر سه ماه یک باز رمز ها و تعیین رمزهای غیر قابل حدس، امکان برداشت غیر مجاز از حساب شهروندان وجود ندارد.



بخش زیر نوشته آقای خسرو زارع است :

(سوال و جواب ها)

سوالهای پاسخ داده نشده؟ 

دقت زیادی به خرج دادم تا مطالب لازم را در سایت قرار دهم و سپس آن را پخش کنم ولی سوالاتی که از سوی هم میهنان برایم ارسال شد مرا بر آن داشت که این سوالات را جواب دهم. تا نکته مبهمی باقی نماند.


آیا عوض کردن رمز کارتهای پخش شده در این سایت باعث رفع مشکل میشود؟

رمز تنها یکی از اطلاعات محرمانه کارت بانکی است که بایستی فقط و فقط و فقط در اختیار دارنده کارت باشد. هر سیستم یا نقطه ای از شبکه بانکی که امکان دسترسی به رمز دارنده کارت را ممکن سازد نشاندهنده وجود مشکل امنیتی در آن نقطه هست. پس از رمز تراک دوم کارت یکی دیگر از اطلاعات محرمانه کارت بانکی هست که بجز بانک صادر کننده کارت در هیچ نقطه دیگری بایستی ثبت و نگهداری نشود. با توجه به امکان سوء استفاده از این دو اطلاعات محرمانه در سیستمهای شرکت انیاک مشکل اشاره شده در این سایت تنها با ابطال کارتهای استفاده شده در سیستم شرکت انیاک و صدور کارت جدید میتواند رفع شود به شرطی که این کارتهای جدید دوباره در ترمینالهای فروشگاهی شرکت انیاک استفاده نگردند.

آیا ابطال کارتهای پخش شده در این سایت کافیست؟

کارتهائی که در این سایت قرار گرفته بخشی از کارتهای استفاده شده در سیستم نا امن شرکت انیاک است مجموع تمامی کارتهای استفاده شده در این سیستم مشکل دار شاید بیش از ده میلیون کارت باشد. بانکهائی که با شرکت انیاک قرارداد دارند میتوانند لیست کامل کارتها را استخراج کرده در اختیار سایر بانکها قرار دهند تا تمامی کارتهای استفاده شده ابطال شده و کارت جدید صادر گردد.


دقیقا خطری که حسابهای بانکی را تهدید میکند چیست؟

هر کسی با در اختیار داشتن اطلاعات رمز و تراک دوم کارتهای بانکی میتواند یک کارت بانکی تقلبی کپی کرده و حساب بانکی متصل به آن کارت را خالی کند. به علت عدم رعایت استانداردهای بانکی و عدم خرید و استفاده از تجهیزات سخت افزاری لازم برای تامین امنیت شبکه بانکی در شرکت انیاک افراد متعددی بودند که هم در داخل شرکت انیاک و هم در شرکتهای همکار امکان دسترسی به این اطلاعات محرمانه را داشتند. اینکه افرادی بدون اینکه امکان ردیابی شدن باشد توان استفاده از اطلاعات محرمانه کارتهای بانکی را داشته باشند. خطری هست که به آن اشاره شده است.


آیا بنده قصد اخاذی داشتم و به این خاطر این اطلاعات را پخش کردم؟

من به عنوان یک مدیر نرم افزار در شرکت انیاک و با همین سمت در شرکت دیگری مشغول به کار بودم یک مدیر شایسته پیش از آزمودن تمامی راه حلهای آسان و منطقی و ممکن نبایستی اقدام به ریسکهای بزرگ کند. من نیز از این قاعده مستثنی نبودم. در طی یکسالی که از ابتدای سال 90 تا انتهای آن طول کشید تمامی راههای ممکن و کم خطر را برای حل این بحران امتحان کردم و زمانی که جان خود و خانواده ام را در خطر دیدم از ایران خارج شدم و تنها راه باقیمانده اطلاع رسانی به خود دارندگان کارتهای بانکی و مردم ایران بود. سوالهایی که از مدیران بانکهای کشور در مورد آمادگی آنها برای هزینه کردن جهت رفع مشکل بوده برای سنجش بینش مدیریتی بانک نسبت به میزان اولویت این موضوع برای بانک فوق بوده است. فراموش نکنید هم اکنون نیز بانکها با ابطال و صدور کارت جدید در مورد کارتهای استفاده شده در شرکت انیاک متحمل هزینه زیادی خواهند بود. هرچند ده ماه پیش به علت حجم کمتر کارتها هزینه کمتری میتوانستند داشته باشند.


آیا من با شرکت انیاک دشمنی دارم؟

از ابتدای همکاری من با شرکت انیاک تا انتهای آن تمامی تلاش من در جهت منافع شرکت انیاک بوده است. همکاران بانکی که با من در ارتباط بودند کاملا به این نقطه واقف هستند. تلاش هم اکنون من نیز نمیتواند نشانه دشمنی با انیاک باشد چرا که رفع مشکلات امنیتی شرکت انیاک به نفع خود انیاک نیز میباشد. اما نکته مهم در این است که اینجانب به عنوان مدیر و مسئول نمیتوانم به خاطر دریافت حقوق و مزایا از شرکت حق و حقوق میلیونها نفر از هموطنان خودم را نادیده بگیرم و مطمئنا با مدیرانی مانند آقایان حجازیان که این موضوع را نادیده میگیرند سر دشمنی دارم. علت عدم پرداخت تعهدات مالی شرکت انیاک به اینجانب نیز دقیقا همین موضوع بوده و ضرر بنده از این جهت میباشد.


چه نوع حمایتی نیاز دارم؟

من در حال حاضر انتظار کمک مالی از مردم ندارم اما انتظار دارم بانکهای کشور به خاطر این اطلاع رسانی و مشکلی که حساب مشتریان بانک را تهدید میکرد اقدامات لازم را انجام دهند و در درجه اول کارتهای آسیب پذیر را ابطال نمایند. و با بیان واقعیتهای مربوط به این بحران مشتریان بانکی را محرم اسرار خود قرار دهند. 


چه نوع خطری من و خانواده ام را تهدید میکند؟

با توجه به کاهش درآمدهای میلیاردی شرکت انیاک به خاطر این افشاگری دستهای پشت پرده و حامی شرکت فوق همچنین مدیران شرکت که دارای پاسپورتهای چندگانه هستند میتوانند با عوامل خود حتی بدور از وطن عزیزم ایران مرا مورد حمله قرار دهند. و تمامی هموطنان خارج از کشور که میتوانند در این مورد به من کمک کنند لطفا راهنمائی و کمک نمایند.