مستركارت !
آنطور كه در خبرها آمده است، اين رخنه امنيتي در سيستم پردازش كارتهاي اعتباري در شركت CardSystems Solutions، يكي از طرفهاي قرارداد با مستركارت و ديگر شركتهاي صادركننده كارتاعتباري مانند ويزا و آمريكن اكسپرس، كه بخشي از عمليات پردازش مبادلات مالي مربوط به كارتهاي اعتباري در سراسر جهان را پردازش ميكند، اتفاق افتاده است.
ماجرا هنگامي روشن شد كه بازرسان كنسرسيوم مستركارت به دنبال مطرحشدن شكايات و نگرانيهايي در زمينه گمشدن يا دستكاري اطلاعات برخي از مشتريان چندين موسسه مالي همچون Bank of America، براي سركشي به شركت CardSystems Solutions مراجعه كردند و متوجه وجود يك رخنه امنيتي جدي در سيستم پردازش تراكنشهاي مالي در شبكه اين شركت شدند. مستركارت اعلام كرد كه اين رخنه امنيتي به مهاجمان اجازه ميداد به شبكه مذكور نفوذ كنند و به اطلاعات مربوط به دارندگان كارتهاي اعتباري دسترسي داشته باشند.
شركت CardSystems Solutions يكي از بزرگترين شركتهاي فعال در زمينه پردازش تراكنشهاي مالي الكترونيكي، بيش از 15 ميليارد دلار تراكنش متعلق به 105 هزار شركت و بنگاه تجاري را هر سال پردازش ميكند. بنابر تخمين مستركارت، اطلاعات نزديك به 40 ميليون انواع كارت اعتباري از اين طريق در معرض تهديد قرارداشته و دستكم 200 هزار كارت از اين كارتها از نوع مستركارت بوده است. اطلاعيه شركت مستركارت اضافه كرده است كه چيزي بالغ بر 13.9 ميليون كارت از اين تعداد به طور جدي به خطر افتاده و احتمال ميرود اطلاعات بعضي از آنها توسط نفوذگران احتمالي به سرقت رفته باشد. بنابر گفته مستركارت، 68 هزار كارت از دسته اخير از نوع كارتهاي اين كنسرسيوم بينالمللي بوده است.
واكنشها
شركت CardSystems در بيانيهاي اعلام كرده كه كارشناسان اين شركت با همكاري مستركارت و ديگر نهادهاي مالي و قضايي مرتبط، مشغول بررسي ابعاد حادثه هستند. كارد سيستمز تاكيد كرده كه اين شركت همچنين بلافاصله نسبت به ارتقاي وضعيت امنيتي سيستمهاي خود اقدام نموده است.
ليندا لوك، نايبرئيس واحد ارتباطات بينالملل شركت مستركارت اعلام كرده كه اين موسسه با بانكهايي كه احتمال ميرود اطلاعات صاحبان حساب نزد آنها به سرقت رفته يا در معرض تهديد قرارگرفته باشد، مشغول همكاري و گفتگو است تا ابعاد حادثه مشخص، و راههاي جلوگيري از بروز خسارات بيشتر تعيين شود.
واكنش ديگر شركتهاي عمده صادركننده كارت اعتباري، تركيبي از ناباوري و عدم اطمينان بوده است. سخنگويان ويزا و امريكناكسپرس اعلام كردهاند كه هنوز اطلاعات كافي براي تخمين تعداد مشترياني كه احتمالا از اين طريق آسيب ديدهاند يا دادههاي كارت اعتباريشان در معرض تهديد قرار گرفته، ندارد. ويزا طي بيانيهاي اظهار داشته كه هنوز هيچ الگوي غيرعادي در تراكنشهاي مالي مربوط به كارت ويزا كه نشاندهنده وقوع يك حادثه عمده از ناحيه سيستم پردازشي شركت كارد سيستمز باشد، نيافته است. با اين حال ويزا افزوده است كه با وجود پيگيريهاي آتي كنسرسيوم، اين وظيفه نهادهاي قضايي اين است كه با به جريان انداختن پروندههاي مربوط، مسئله را كاملا روشن كنند.
شركت آمريكن اكسپرس نيز اعلام كرده كه تنها درصد كوچكي از مبادلات مالي مربوط به اين كارتاعتباري از درون شبكه كاردسيستمز ميگذرد و هنوز تصوري از ميزان آسيبهاي احتمالي ندارد.
پرسشها و ابهامات
به اين ترتيب هنوز روشن نيست كه اگر اين حادثه با همان توصيفي كه مستركارت ارائه كرده، اتفاق افتاده است، چرا فقط مستركارت حاضر به اعلام آشكار و صريح آن به عموم مردم شده است؟ همچنين اين پرسش مطرح است كه پس تكليف 26 ميليون كارت ديگري كه از نوع مستركارت نبودهاند و بنابر ادعاي مستركارت در معرض تهديد قرار گرفتهاند، چه ميشود؟
با اين همه، تحقيقاتي كه تاكنون درباره حادثه صورت گرفته است حاكي از سهلانگاري و بيتوجهي غيرقابلباور مسئِولان شركت كاردسيستمز در زمينه امنيت تراكنشهاي مالي است. گويا تحقيقات يك شركت امنيتي به نامCybertrust كه از سوي مستركارت مامور بررسي و بازرسي وضعيت شبكه كاردسيستمز گرديدهاست، نشان ميدهد كه نفوذگران يك برنامه بسيار كوچك نرمافزاري را از طريق رخنه مذكور به درون شبكه اين شركت راه دادهاند. اين كد قادر بوده كه اطلاعات كارتهاي اعتباري را مانيتور كند و به بيرون ارسال نمايد.
همچنين مشخص شده است كه كارد سيستمز مقررات و استانداردهاي تعيينشده از سوي مستركارت را رعايت نكرده و اطلاعات تعداد زيادي از تراكنشها را خارج از چرخه معمول عمليات، روي شبكه اين شركت ذخيره كردهاند. مسئولان كاردسيستمز در توجيه اين اقدام، هدف خود را انجام كارهاي پژوهشي روي مبادلات مالي عنوان كردهاند. بنابر توضيحات مستركارت، ذخيرهسازي اطلاعات مربوط به تراكنشها در شبكه كاردسيستمز در محيطي رمزنگاري نشده انجام شده و اين كار موجب به خطرافتادن بسيار زياد اطلاعات شده است.
از هنگامي كه اين اطلاعات اندك از جزئيات حادثه به طور رسمي منتشر شده است، تا اين لحظه هنوز اطلاعات بيشتري درباره چند و چون آن اعلام نشده است و هيچكدام از نهادهاي درگير در پرونده يعني مستركارت، ويزا، سايبر تراست، افبيآي (پليس فدرال) و كاردسيستمز حاضر نشدهاند توضيح بيشتري را در اين زمينه ارائه كنند.
تحليل و گمانهزني
در غياب اطلاعات رسمي بيشتر در اين زمينه، بازار گمانهزني و اظهارنظرهاي مردم در تريبونهاي آنلاين، خصوصا انجمنهاي روي وب داغ است. برخي از كاربران اينترنت علاقمندند بدانند اين رخنه امنيتي روي چه نوع نرمافزارها و سختافزارهايي كشف شده است. آنان با مراجعه به سايت شركت كارد سيستمز متوجه شدهاند كه اين سايت وب بر اساس نرمافزار IIS 5.0 روي ويندوز 2000 كار ميكند و بر اين اساس چنين حدس زدهاند كه شايد همه اين گرفتاريها روي سيستمعامل ويندوز پديد آمده باشد!
از سوي ديگر، برخي تحليلگران از بابت نتايج معنيداري كه تاكنون از تحقيقات بهدست آمده است، اظهار نگراني ميكنند. به نظر ميرسد سهلانگاري در رعايت مقررات مربوط به امنيت اطلاعات در دنياي اينترنت چنان گستردهاست كه حتي ممكن است برخي شركتهاي كليدي در قلب تجارت الكترونيك را نيز دربربگيرد. نتايج يك تحقيق مشترك كه از سوي شركت ادوبي و موسسه RSA Security انجام شده است نشان ميدهد كه از هر ده نفر متخصص رده بالاي IT در آمريكا، هشت نفر هنوز هيچ فعاليت جدي و مشخصي براي حفاظت از دادههاي مردم انجام ندادهاند. اگر واقعا چنين باشد، حساب كارشناسان IT ديگر كشورها هم روشن است!
همچنين ابهامات جدي از بابت نيت و انگيزه واقعي كاردسيستمز از آنچه كه "پژوهش روي اطلاعات تراكنشها" ناميدهاست، وجود دارد. اين پرسش مطرح است كه آيا اينگونه شركتها مجاز هستند كه اطلاعات مبادلات مالي الكترونيكي مردم را فرضاً با انگيزه بيرون كشيدن آمار و ارقام مربوط به رشد تجارتالكترونيك بهصورت غيررمزنگاريشده ذخيره و مورد استفاده قرار دهند؟ آيا ممكن است ساير گزارشهاي پرآبوتاب ديگري كه هرازچندگاهي درباره رشد تجارتالكترونيك در دنيا ميخوانيم، به همين ترتيب بهدست آمده باشند؟ بههرحال اين حادثه نشان داد كه عليرغم استقبال عمومي به شيوه الكترونيكي نقلوانتقال پول، هنوز راهي طولاني در مسير امنكردن فضاي مبادلات مالي وجود دارد، هرچند كه عملا رشد تجارتالكترونيك نميتواند با وقوع چنين حوادثي از مسير رشد و توسعه باز ايستد. منتظر انتشار نتايج بيشتري از تحقيقات درباره اين حادثه ميمانيم.
|
