USSD؛ یک بمب ساعتی

به گزارش اقتصادآنلاین به نقل از شرق، حالا در ماجرای شرکت‌های USSD اگرچه با یک کلاهبرداری چند هزار میلیارد‌تومانی روبه‌رو نیستیم؛ اما پای یک تقلب در نظرسنجی تلویزیونی در میان است که شرایط مشابهی را به وجود آورده است. درحالی‌که صداوسیما چند سالی است به قرق شرکت‌های ارائه خدمات USSD درآمده و در همه برنامه‌های آن ردپای ستاره و مربع‌های گوناگون دیده می‌شود، وزارت ارتباطات تأکید دارد شرکت‌های USSD از این وزارتخانه مجوز ندارند و تحت قوانین تجارت فعالیت می‌کنند؛ ادعایی که نشان می‌دهد شرکت‌های USSD درحال‌حاضر متولی مشخص و مسئولیت‌پذیری در کشور ندارند. نبود مسئولیت مشخص دستگاه‌های نظارتی و اجرائی کشور در قبال شرکت‌هایی که از یک پروتکل نا‌امن برای ذخیره اطلاعات بانکی مشترکان استفاده می‌کنند و خطرات آن بارها از سوی کارشناسان بانکی و فناوری اطلاعات هشدار داده شده، یک نگرانی عمیق درباره احتمال بروز فاجعه را به وجود می‌آورد و بمب ساعتی USSD‌ها را خطرناک‌تر از پیش می‌کند.

یک بمب ساعتی

USSD یک مکانیسم انتقال اطلاعات است که می‌تواند بین تلفن همراه و اپراتور پیام‌های 182 کارکتری ردوبدل کند. این پیام‌ها که با استفاده از کلیدهای * و # ارسال می‌شوند، امکان بانکداری و نقل‌و‌انتقال مالی، خدمات تلفن همراه، اعلام اخبار فوری و خدمات خبری، نظرسنجی، مسابقه و... را فراهم می‌کنند؛ اما نکته مهم درباره این مکانیسم انتقال اطلاعات نبود رمزنگاری و امنیت به‌شدت پایین این روش انتقال اطلاعات است که به‌ویژه می‌تواند در زمینه نقل‌و‌انتقالات مالی به فاجعه ختم شود. ایجاد هزینه ناخواسته برای مشترکان یا دستبرد به اطلاعات حساس کاربران مانند شماره‌کارت، تاریخ انقضا و رمز دوم که امکان هر نوع سوءاستفاده از اطلاعات شهروندان را فراهم می‌کند، تنها گوشه‌ای از تهدیدات استفاده از این مکانیسم انتقال است که بارها از سوی کارشناسان درباره آن هشدار داده شده است. برای درک اهمیت این خطر تنها کافی است به یاد بیاوریم دو روز قبل بزرگ‌ترین شبکه پرداخت الکترونیک خاورمیانه اطلاعات مشتریان خود را که روی یک فایل اکسل بدون پسورد و ایمنی ذخیره کرده بود، اشتباها به همه آنها ایمیل کرد. حال یک شرکت ارائه خدمات USSD در ایران را تصور کنید که اطلاعات میلیون‌ها شهروند ایرانی را که برای امور گوناگون مانند خرید شارژ تلفن همراه یا انتقال پول از خدمات این شرکت استفاده کرده‌اند، در اختیار دارد. هرکسی که توانایی دسترسی به اطلاعات چنین شرکتی را داشته باشد، خواه یک کارمند متخلف یا مدیر غیرمتعهد، می‌تواند در یک لحظه تصمیم بگیرد حساب‌های بانکی میلیون‌ها شهروند خدمات‌گیرنده را تخلیه کند یا به شخص دیگری بفروشد. ‌اتفاقی که آن‌چنان در دسترس و محتمل است که توقف‌نیافتن آن، چیزی بیشتر از یک سهل‌انگاری به نظر می‌رسد.

رفتار عجیب وزارت ارتباطات

کارشناسان بانکی و فناوری اطلاعات بارها درباره خطرات استفاده از USSD برای نقل‌و‌انتقال مالی هشدار داده‌اند و حالا که تنها یک تقلب در نظرسنجی صداوسیما کار را به آنجا رسانده که کسی مسئولیت مجوز این شرکت‌ها را برعهده نمی‌گیرد، این خطر جدی‌تر احساس می‌شود که در صورت بروز فاجعه چه کسی مسئولیت آن را خواهد پذیرفت؟ محمد صادقی، معاون فناوری اطلاعات بانک اقتصاد نوین، سال گذشته در گفت‌وگو با «راه پرداخت» در‌این‌باره گفته است: بستر USSD برای پرداخت امن نیست؛ زیرا اطلاعات وارد‌شده از سوی مشتریان مانند شماره‌کارت و رمز به صورت آشکار بر روی بستر ارتباطی تبادل می‌شوند. ساسان شیردل، مدیر فناوری اطلاعات بانک مسکن، نیز در گفت‌وگو با همان خبرگزاری در‌این‌باره گفته است: «بستر USSD نیز مانند یک‌سری از تکنولوژی‌ها که از ابتدا بررسی نشدند و هیچ سنجشی درباره آنها صورت نگرفته، به اشتباه استفاده شده است و به نظر بنده هر وقت و در هر جایی جلوی انجام فرایندی اشتباه را گرفت، حرکت درستی صورت گرفته است». علیرضا لگزایی، قائم‌مقام بانک ملت، یکی دیگر از مدیران بانکی است که در‌این‌باره گفته است: «این بستر امن نبوده و چون کدهای دستوری، اولین نسل از تکنولوژی تحت موبایل بودند، از ایمنی لازم برخوردار نبوده و نیستند». نا‌امنی شبکه USSD آن‌چنان آشکار و مورد توافق کارشناسان است که بانک مرکزی در بهمن سال گذشته در بخش‌نامه‌ای فوری به مدیران عامل بانک‌ها و مؤسسات عضو مرکز شتاب دستور داد «از 15 بهمن 96 تراکنش‌های فاقد رمزنگاری از مبدأ تا مقصد در مسیرهای بدون حضور کارت صرفا برای تراکنش‌های پرداخت قبوض عمومی مجاز است و تراکنش‌های مربوط به خرید شارژ یا قبوض ویژه پذیرش و پردازش نخواهد شد. از ابتدای اردیبهشت 97 نیز تراکنش‌های مجاز (قبوض عمومی) صرفا با اتکا به زیرساخت فراهم‌شده در سامانه پیوند و از طریق شماره تلفن همراه به جای شماره‌کارت میسر خواهد بود و تحت هیچ شرایطی شماره‌کارت در بسترهای فاقد رمزنگاری مبدأ تا مقصد انتقال نخواهد یافت». بخش‌نامه‌ای که کاملا عقلانی و ضروری به نظر می‌رسید؛ اما هرگز اجرائی نشد تا شرکت‌های USSD همچنان به فعالیت انتقال مالی خود ادامه دهند. حال پس از افشای تقلب در نظرسنجی انتخاب بهترین برنامه صداوسیما، برنامه‌های خبری این رسانه تحت مدیریت واحد خبر، تأکید می‌کنند که شرکت‌های USSD با مجوز وزارت ارتباطات و فناوری اطلاعات فعالیت می‌کنند و در مقابل وزارت ارتباطات و فناوری اطلاعات تأکید می‌کند که این شرکت‌ها از این وزارتخانه مجوز نگرفته‌اند. محمدجواد آذری‌جهرمی، وزیر ارتباطات، روز گذشته درباره این موضوع در توییتر نوشت: «شرکت‌های ارزش افزوده و USSD مجوزی از وزارت ICT ندارند و فعالیت آنها مطابق قانون تجارت است. اگر آن‌گونه که در بخش‌های خبری دیشب سیما طرح شد، فعالیت آنها باید با اخذ مجوز از وزارت ICT باشد، مطابق مصوبه 192 کمیسیون تنظیم مقررات، تبلیغ یا فعالیت آنها سریعا در صداوسیما متوقف شود». درخواستی که قطعا با موافقت صداوسیما روبه‌رو نخواهد شد؛ اما نشان می‌دهد وزارت ارتباطات خود را متولی این شرکت‌ها که چنین کسب و کار پرمخاطره‌ای را اداره می‌کنند، نمی‌داند.

 نکته جالب در‌این‌میان آن است که با وجود موضع‌گیری وزیر ارتباطات درباره دریافت‌نکردن مجوز فعالیت شرکت‌های USSD از این وزارتخانه، یک منبع آگاه در بانک مرکزی گفت: «صحبت‌های آقای وزیر جالب است؛ زیرا هنگامی که بانک مرکزی تلاش کرد فعالیت انتقال مالی با بستر نا‌امن USSD را متوقف کند، این وزارت ارتباطات و فناوری اطلاعات بود که به‌شدت مخالفت کرد و جلوی این کار را گرفت». اظهارنظری که نشان می‌دهد در‌حال‌حاضر هیچ‌کس مسئولیت شرکت‌هایی را که اطلاعات بانکی میلیون‌ها ایرانی را در اختیار دارند و هر لحظه می‌توانند منجر به یک کلاهبرداری بزرگ، نه در یک نظرسنجی رسانه‌ای؛ بلکه در نظام بانکی کشور شوند، قبول نمی‌کند