USSD؛ یک بمب ساعتی
هنگامی که پرونده مؤسسات مالی و اعتباری به تجمعات خیابانی و اعتراضات دامنهدار سپردهگذاران منجر شد، جامعه ایران شاهد درگیری چند دستگاه کشور بر سر پذیرش مسئولیت این مؤسسات بود. بانک مرکزی و وزارت تعاون، کار و رفاه اجتماعی در آن زمان تأکید میکردند که مجوز فعالیت این مؤسسات از سوی طرف مقابل داده شده و حالا باید پاسخگوی نتایج آن باشند.
به گزارش اقتصادآنلاین به نقل از شرق، حالا در ماجرای شرکتهای USSD اگرچه با یک کلاهبرداری چند هزار میلیاردتومانی روبهرو نیستیم؛ اما پای یک تقلب در نظرسنجی تلویزیونی در میان است که شرایط مشابهی را به وجود آورده است. درحالیکه صداوسیما چند سالی است به قرق شرکتهای ارائه خدمات USSD درآمده و در همه برنامههای آن ردپای ستاره و مربعهای گوناگون دیده میشود، وزارت ارتباطات تأکید دارد شرکتهای USSD از این وزارتخانه مجوز ندارند و تحت قوانین تجارت فعالیت میکنند؛ ادعایی که نشان میدهد شرکتهای USSD درحالحاضر متولی مشخص و مسئولیتپذیری در کشور ندارند. نبود مسئولیت مشخص دستگاههای نظارتی و اجرائی کشور در قبال شرکتهایی که از یک پروتکل ناامن برای ذخیره اطلاعات بانکی مشترکان استفاده میکنند و خطرات آن بارها از سوی کارشناسان بانکی و فناوری اطلاعات هشدار داده شده، یک نگرانی عمیق درباره احتمال بروز فاجعه را به وجود میآورد و بمب ساعتی USSDها را خطرناکتر از پیش میکند.
یک بمب ساعتی
USSD یک مکانیسم انتقال اطلاعات است که میتواند بین تلفن همراه و اپراتور پیامهای 182 کارکتری ردوبدل کند. این پیامها که با استفاده از کلیدهای * و # ارسال میشوند، امکان بانکداری و نقلوانتقال مالی، خدمات تلفن همراه، اعلام اخبار فوری و خدمات خبری، نظرسنجی، مسابقه و... را فراهم میکنند؛ اما نکته مهم درباره این مکانیسم انتقال اطلاعات نبود رمزنگاری و امنیت بهشدت پایین این روش انتقال اطلاعات است که بهویژه میتواند در زمینه نقلوانتقالات مالی به فاجعه ختم شود. ایجاد هزینه ناخواسته برای مشترکان یا دستبرد به اطلاعات حساس کاربران مانند شمارهکارت، تاریخ انقضا و رمز دوم که امکان هر نوع سوءاستفاده از اطلاعات شهروندان را فراهم میکند، تنها گوشهای از تهدیدات استفاده از این مکانیسم انتقال است که بارها از سوی کارشناسان درباره آن هشدار داده شده است. برای درک اهمیت این خطر تنها کافی است به یاد بیاوریم دو روز قبل بزرگترین شبکه پرداخت الکترونیک خاورمیانه اطلاعات مشتریان خود را که روی یک فایل اکسل بدون پسورد و ایمنی ذخیره کرده بود، اشتباها به همه آنها ایمیل کرد. حال یک شرکت ارائه خدمات USSD در ایران را تصور کنید که اطلاعات میلیونها شهروند ایرانی را که برای امور گوناگون مانند خرید شارژ تلفن همراه یا انتقال پول از خدمات این شرکت استفاده کردهاند، در اختیار دارد. هرکسی که توانایی دسترسی به اطلاعات چنین شرکتی را داشته باشد، خواه یک کارمند متخلف یا مدیر غیرمتعهد، میتواند در یک لحظه تصمیم بگیرد حسابهای بانکی میلیونها شهروند خدماتگیرنده را تخلیه کند یا به شخص دیگری بفروشد. اتفاقی که آنچنان در دسترس و محتمل است که توقفنیافتن آن، چیزی بیشتر از یک سهلانگاری به نظر میرسد.
رفتار عجیب وزارت ارتباطات
کارشناسان بانکی و فناوری اطلاعات بارها درباره خطرات استفاده از USSD برای نقلوانتقال مالی هشدار دادهاند و حالا که تنها یک تقلب در نظرسنجی صداوسیما کار را به آنجا رسانده که کسی مسئولیت مجوز این شرکتها را برعهده نمیگیرد، این خطر جدیتر احساس میشود که در صورت بروز فاجعه چه کسی مسئولیت آن را خواهد پذیرفت؟ محمد صادقی، معاون فناوری اطلاعات بانک اقتصاد نوین، سال گذشته در گفتوگو با «راه پرداخت» دراینباره گفته است: بستر USSD برای پرداخت امن نیست؛ زیرا اطلاعات واردشده از سوی مشتریان مانند شمارهکارت و رمز به صورت آشکار بر روی بستر ارتباطی تبادل میشوند. ساسان شیردل، مدیر فناوری اطلاعات بانک مسکن، نیز در گفتوگو با همان خبرگزاری دراینباره گفته است: «بستر USSD نیز مانند یکسری از تکنولوژیها که از ابتدا بررسی نشدند و هیچ سنجشی درباره آنها صورت نگرفته، به اشتباه استفاده شده است و به نظر بنده هر وقت و در هر جایی جلوی انجام فرایندی اشتباه را گرفت، حرکت درستی صورت گرفته است». علیرضا لگزایی، قائممقام بانک ملت، یکی دیگر از مدیران بانکی است که دراینباره گفته است: «این بستر امن نبوده و چون کدهای دستوری، اولین نسل از تکنولوژی تحت موبایل بودند، از ایمنی لازم برخوردار نبوده و نیستند». ناامنی شبکه USSD آنچنان آشکار و مورد توافق کارشناسان است که بانک مرکزی در بهمن سال گذشته در بخشنامهای فوری به مدیران عامل بانکها و مؤسسات عضو مرکز شتاب دستور داد «از 15 بهمن 96 تراکنشهای فاقد رمزنگاری از مبدأ تا مقصد در مسیرهای بدون حضور کارت صرفا برای تراکنشهای پرداخت قبوض عمومی مجاز است و تراکنشهای مربوط به خرید شارژ یا قبوض ویژه پذیرش و پردازش نخواهد شد. از ابتدای اردیبهشت 97 نیز تراکنشهای مجاز (قبوض عمومی) صرفا با اتکا به زیرساخت فراهمشده در سامانه پیوند و از طریق شماره تلفن همراه به جای شمارهکارت میسر خواهد بود و تحت هیچ شرایطی شمارهکارت در بسترهای فاقد رمزنگاری مبدأ تا مقصد انتقال نخواهد یافت». بخشنامهای که کاملا عقلانی و ضروری به نظر میرسید؛ اما هرگز اجرائی نشد تا شرکتهای USSD همچنان به فعالیت انتقال مالی خود ادامه دهند. حال پس از افشای تقلب در نظرسنجی انتخاب بهترین برنامه صداوسیما، برنامههای خبری این رسانه تحت مدیریت واحد خبر، تأکید میکنند که شرکتهای USSD با مجوز وزارت ارتباطات و فناوری اطلاعات فعالیت میکنند و در مقابل وزارت ارتباطات و فناوری اطلاعات تأکید میکند که این شرکتها از این وزارتخانه مجوز نگرفتهاند. محمدجواد آذریجهرمی، وزیر ارتباطات، روز گذشته درباره این موضوع در توییتر نوشت: «شرکتهای ارزش افزوده و USSD مجوزی از وزارت ICT ندارند و فعالیت آنها مطابق قانون تجارت است. اگر آنگونه که در بخشهای خبری دیشب سیما طرح شد، فعالیت آنها باید با اخذ مجوز از وزارت ICT باشد، مطابق مصوبه ۱۹۲ کمیسیون تنظیم مقررات، تبلیغ یا فعالیت آنها سریعا در صداوسیما متوقف شود». درخواستی که قطعا با موافقت صداوسیما روبهرو نخواهد شد؛ اما نشان میدهد وزارت ارتباطات خود را متولی این شرکتها که چنین کسب و کار پرمخاطرهای را اداره میکنند، نمیداند.
نکته جالب دراینمیان آن است که با وجود موضعگیری وزیر ارتباطات درباره دریافتنکردن مجوز فعالیت شرکتهای USSD از این وزارتخانه، یک منبع آگاه در بانک مرکزی گفت: «صحبتهای آقای وزیر جالب است؛ زیرا هنگامی که بانک مرکزی تلاش کرد فعالیت انتقال مالی با بستر ناامن USSD را متوقف کند، این وزارت ارتباطات و فناوری اطلاعات بود که بهشدت مخالفت کرد و جلوی این کار را گرفت». اظهارنظری که نشان میدهد درحالحاضر هیچکس مسئولیت شرکتهایی را که اطلاعات بانکی میلیونها ایرانی را در اختیار دارند و هر لحظه میتوانند منجر به یک کلاهبرداری بزرگ، نه در یک نظرسنجی رسانهای؛ بلکه در نظام بانکی کشور شوند، قبول نمیکند