کانال USSD ناامن است
بانک مرکزی از دو سال قبل نسبت به ناامن بودن کانال یواساسدی هشدار داده بود. چرا این هشدارها جدی گرفته نشد؟
به گزارش پایگاه خبری “ججین” به نقل از خبرگزاری تسنیم، این روزها در رسانهها بحثهای زیادی درباره حذف کدهای یواساسدی مطرحشده است. دو طرف درگیر ماجرا هستند؛ یکطرف بانک مرکزی، بانکها و شرکتهای پرداخت و طرف دیگر وزارت ارتباطات، اپراتورها، شرکتهای زیرمجموعه اپراتورها و شرکتهای پرداختی که صرفا در بستر ناامن یواساسدی فعالیت میکند. استدلال طرف اول ناامن بودن کانال یواساسدی است و استدلال طرف دوم این است که با محدود کردن این کانال امکان شارژ از طرق دیگر ممکن است برای همه امکانپذیر نباشد.
ناگهان عدهای از حقوق مصرفکننده گفتند و نگران این شدندکه در دورترین نقطه ایران ممکن است کسی نتواند راه دیگری غیر از یواساسدی برای خرید شارژ تلفن همراه از اپراتورها پیدا نکند؛ گویی این وظیفه بانک مرکزی است که با به حراج گذاشتن امنیت ۸۰ میلیون ایرانی زمینه فروش شارژ اپراتورها را فراهم کند. برخی هم سعی کردند دوز دراماتیک ماجرا را زیاد کنند و بگویند که یواساسدی ابزار کار خیر است و آنها که میخواهند این کانال ناامن را محدود کنند ابزار کار خیر را محدود کردهاند؛ این در حالی است که همه میدانیم مهمترین کاربرد یواساسدی خرید شارژ اپراتورهاست نه انجام کار خیر؛ البته با یواساسدی کماکان میتوان قبضهای خدماتی را از طریق یواسایدی پرداخت کرد که با استدلال بانک مرکزی مبنی بر ناامن بودن این کانال بهتر است همین امکان را هم از روی یواساسدی بردارند.
برخی مطرح میکنند که چطور ناگهان بانک مرکزی متوجه ناامن بودن این کانال شده است؛ نکته همینجاست. این اولین باری نیست که بانک مرکزی بر روی ناامن بودن یواساسدی دست گذاشته است. بارها و بارها بانک مرکزی نسبت به ناامن بودن یواساسدی هشدار داده است. مهرماه سال ۱۳۹۴ یعنی بیشتر از دو سال پیش بانک مرکزی به علی اصغر عمیدیان رئیس وقت سازمان تنظیم مقررات و ارتباطات رادیویی نامهای نوشت و در آن خواسته بود ارائه خدمات بانکداری و پرداخت بر بستر یواساسدی صرفاً توسط بانکها و شرکتهای پرداخت دارای مجوز پرداخت انجام شود. بانک مرکزی همان زمان هم گفته بود که بستر یواساسدی امن نیست و اطلاعات حساس مشتریان بانکها در آن ذخیره و نگهداری میشود و ممکن است زمینه سواستفاده را فراهم کند. در آن زمان به سازمان تنظیم مقررات گفته شده بود بهجز بانکها و شرکتهای دارای مجوز کسی حق دسترسی به اطلاعات حساس مالی مردم را ندارد؛ بنابراین بانک مرکزی حداقل دو سال است که نسبت به ناامن بودن این بستر هشدار داده است.
اگر کسانی با نادیده گرفتن هشدارهای بانک مرکزی کسبوکارهایی بر دهانه آتشفشان راه انداختهاند آیا بانک مرکزی مقصر است؟ هرچند انتقادهایی به بانک مرکزی وارد است ولی اجازه دهید در اینیک مورد خاص اسیر استدلال کسانی که ناگهان حامی حقوق مصرفکننده شدهاند، نشویم. اگر مانند موسسههای مالی غیرمجاز فردا مسائل و مشکلاتی برای مردم رخ داد همین دوستان نمیآیند بگویند که وظیفه بانک مرکزی بود برخورد با مسیرهای ناامن نبود؟ واقعا چه درصدی از مردم نیاز مبرم به یواساسدی دارند که قطع شدن آن زندگیشان را مختل میکند؟ آیا این طور نیست که برخی کسبوکارها که با امنیت مردم بازی میکنند در حال از دست دادن بازارشان هستند و اکنون دست به دامن این شدهاند که کسی نمیتواند در جاهایی که خدمات همین اپراتورها درست کار نمیکند شارژ بخرد؟
از همان سال ۹۴ و حتی قبلتر برخی شرکتها و دستگاههای زیرمجموعه اپراتورهای تلفن همراه، خدماتی را ارائه میدادند که در فرایند آنها اخذ دادههای حساس تراکنشها صورت میگرفت. ازآنجاییکه بنا به قانون، اخذ، ذخیره یا پردازش این دادهها باید از طریق مؤسسات دارای مجوز از بانک مرکزی، صورت گیرد، بهتر بود همان زمان تمام اپراتورهای تلفن ثابت و همراه دارای پروانه از سازمان تنظیم مقررات و ارتباطات رادیویی هرگونه ارائه خدمات بانکی یا پرداخت در بسترهای مخابراتی در هر شکل و فرایندی را صرفاً توسط بانکها و مؤسسات اعتباری و ارائهدهندگان خدمات پرداخت دارای مجوز از بانک مرکزی انجام میدادند. آنهایی که میگویند بانک مرکزی ناگهان به این فضا ورود کرده دو سال زمان داشتهاند در اسرع وقت خدمات سایر شرکتها، نهادها و دستگاههایی که کار بانکداری و پرداخت انجام میدادند را متوقف کنند. چرا در این دو سال باز ادامه دادند؟
همین امروز هم ادامه شرایط فعلی که موجب نشت اطلاعات حساس مشتریان بانکها در خارج از شبکه پرداخت و نظام بانکی نظیر اپراتورها، شرکتهای واسط ارائهدهنده خدمت و … میگردد، ممکن است تبعات و آسیبهای جدی به اعتماد و اطمینان عمومی در استفاده از ابزارهای پرداخت الکترونیکی وارد نماید. در صورت رخ دادن ماجرایی مانند افشای اطلاعات ۳ میلیون کارت بانکی چه کسی پاسخگوست؟
طبق ماده یک قانون تنظیم بازار غیرمتشکل پولی مصوب ۳۰ دیماه ۱۳۸۳ مجلس شورای اسلامی، اشتغال به عملیات بانکی توسط اشخاص حقیقی و یا حقوقی تحت هر عنوان و تأسیس و ثبت هرگونه تشکل برای انجام عملیات بانکی، بدون دریافت مجوز از بانک مرکزی جمهوری اسلامی ایران ممنوع بوده و بر اساس مفاد بند ب ماده ۱۱ و بند ۱۰ ماده ۱۴ قانون پولی و بانکی کشور (مصوب ۱۳۵۱)، «نظارت بر بانکها و مؤسسات اعتباری» و «رسیدگی به عملیات و حسابها و اسناد و مدارک بانکها و اخذ هرگونه اطلاعات و آمار از بانکها با توجه به لزوم حفظ اسرار حرفهای» از وظایف بانک مرکزی به شمار میرود. عملیات بانکی در این قانون به امر واسطهگری بین عرضهکنندگان و متقاضیان وجوه و اعتبار بهصورت دریافت انواع وجود سپرده، ودیعه و موارد مشابه تحت هر عنوان و اعطای وام اعتبار و سایر تسهیلات و صدور کارتهای الکترونیکی پرداخت و کارتهای اعتباری اطلاق میشود.
* رضا قربانی، تحلیلگر بانکداری الکترونیک
برچسب ها :USSD ، بانک مرکزی ، ججین ، ناامنی USSD
- نظرات ارسال شده توسط شما، پس از تایید توسط مدیران سایت منتشر خواهد شد.
- نظراتی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
- نظراتی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.
ارسال نظر شما
مجموع نظرات : 0 در انتظار بررسی : 0 انتشار یافته : ۰