USSD؛ یک بمب ساعتی

          saqar 
            بازدید : 30
          شنبه 16 اسفند 1399
           نظرات (0)
        

هنگامی که پرونده مؤسسات مالی و اعتباری به تجمعات خیابانی و اعتراضات دامنه‌دار سپرده‌گذاران منجر شد،‌ جامعه ایران شاهد درگیری چند دستگاه کشور بر سر پذیرش مسئولیت این مؤسسات بود. بانک مرکزی و وزارت تعاون، کار و رفاه اجتماعی در آن زمان تأکید می‌کردند که مجوز فعالیت این مؤسسات از سوی طرف مقابل داده شده و حالا باید پاسخ‌گوی نتایج آن باشند.

به گزارش اقتصادآنلاین به نقل از شرق، حالا در ماجرای شرکت‌های USSD اگرچه با یک کلاهبرداری چند هزار میلیارد‌تومانی روبه‌رو نیستیم؛ اما پای یک تقلب در نظرسنجی تلویزیونی در میان است که شرایط مشابهی را به وجود آورده است. درحالی‌که صداوسیما چند سالی است به قرق شرکت‌های ارائه خدمات USSD درآمده و در همه برنامه‌های آن ردپای ستاره و مربع‌های گوناگون دیده می‌شود، وزارت ارتباطات تأکید دارد شرکت‌های USSD از این وزارتخانه مجوز ندارند و تحت قوانین تجارت فعالیت می‌کنند؛ ادعایی که نشان می‌دهد شرکت‌های USSD درحال‌حاضر متولی مشخص و مسئولیت‌پذیری در کشور ندارند.

نبود مسئولیت مشخص دستگاه‌های نظارتی و اجرائی کشور در قبال شرکت‌هایی که از یک پروتکل نا‌امن برای ذخیره اطلاعات بانکی مشترکان استفاده می‌کنند و خطرات آن بارها از سوی کارشناسان بانکی و فناوری اطلاعات هشدار داده شده، یک نگرانی عمیق درباره احتمال بروز فاجعه را به وجود می‌آورد و بمب ساعتی USSD‌ها را خطرناک‌تر از پیش می‌کند.

یک بمب ساعتی

USSD یک مکانیسم انتقال اطلاعات است که می‌تواند بین تلفن همراه و اپراتور پیام‌های 182 کارکتری ردوبدل کند. این پیام‌ها که با استفاده از کلیدهای * و # ارسال می‌شوند، امکان بانکداری و نقل‌و‌انتقال مالی، خدمات تلفن همراه، اعلام اخبار فوری و خدمات خبری، نظرسنجی، مسابقه و... را فراهم می‌کنند؛ اما نکته مهم درباره این مکانیسم انتقال اطلاعات نبود رمزنگاری و امنیت به‌شدت پایین این روش انتقال اطلاعات است که به‌ویژه می‌تواند در زمینه نقل‌و‌انتقالات مالی به فاجعه ختم شود.

ایجاد هزینه ناخواسته برای مشترکان یا دستبرد به اطلاعات حساس کاربران مانند شماره‌کارت، تاریخ انقضا و رمز دوم که امکان هر نوع سوءاستفاده از اطلاعات شهروندان را فراهم می‌کند، تنها گوشه‌ای از تهدیدات استفاده از این مکانیسم انتقال است که بارها از سوی کارشناسان درباره آن هشدار داده شده است. برای درک اهمیت این خطر تنها کافی است به یاد بیاوریم دو روز قبل بزرگ‌ترین شبکه پرداخت الکترونیک خاورمیانه اطلاعات مشتریان خود را که روی یک فایل اکسل بدون پسورد و ایمنی ذخیره کرده بود، اشتباها به همه آنها ایمیل کرد. حال یک شرکت ارائه خدمات USSD در ایران را تصور کنید که اطلاعات میلیون‌ها شهروند ایرانی را که برای امور گوناگون مانند خرید شارژ تلفن همراه یا انتقال پول از خدمات این شرکت استفاده کرده‌اند، در اختیار دارد.

هرکسی که توانایی دسترسی به اطلاعات چنین شرکتی را داشته باشد، خواه یک کارمند متخلف یا مدیر غیرمتعهد، می‌تواند در یک لحظه تصمیم بگیرد حساب‌های بانکی میلیون‌ها شهروند خدمات‌گیرنده را تخلیه کند یا به شخص دیگری بفروشد. ‌اتفاقی که آن‌چنان در دسترس و محتمل است که توقف‌نیافتن آن، چیزی بیشتر از یک سهل‌انگاری به نظر می‌رسد.

https://www.beytoote.com/computer/technews/tnews11022112.html

ارسال نظر برای این مطلب