گره *# با دست باز می‌شود نه دندان!

مدیرعامل جیرینگ

گره *# با دست باز می‌شود نه دندان!

 

مهرداد خطیبی با ابراز شگفتی از نحوه اطلاع‌رسانی ابلاغیه جدید USSD گفت: جیرینگ به عنوان بزرگ‌ترین ارایه‌دهنده سرویس‌های مبتنی بر تلفن همراه از جمله زیرساخت USSD، تاکنون نامه یا ابلاغیه‌ای از شاپرک و یا هیچ نهاد قانون‌گذاری دیگری دریافت نکرده و درخواست مذاکره‌ای برای کمک به حل دغدغه‌های مطرح شده به این شرکت واصل نشده است.

به گزارش ایسنا، مدیرعامل شرکت جیرینگ اظهار کرد: خدمات مالی و پرداخت مبتنی بر USSD، حدود ۵ سال است که توسط جیرینگ و با مشارکت بانک‌ها و PSP‌ها در حال ارایه است و به‌رغم انجام چندین میلیون تراکنش موفق روزانه، تاکنون حتی یک گزارش دال بر بروز تخلف یا سرقت اطلاعات محرمانه کارت‌های بانکی وجود ندارد، پدیده‌ای که در سایر بسترهای به اصطلاح امن ارایه خدمات، زیاد به گوش می‌رسد.

وی افزود: ‌ای کاش به جای رسانه‌ای کردن این دغدغه و مشوش کردن بی‌مورد ذهن جامعه، موضوع در فضایی تعاملی با جیرینگ و سایر متولیان ارایه این خدمت مطرح می‌شد و راهکار منطقی و به دور از هیاهو برای حل دغدغه‌های مطرح شده، اتخاذ می‌شد.

دغدغه امنیت USSD

خطیبی در پاسخ به دغدغه‌های امنیتی مطرح شده برای ارایه خدمات مالی و پرداخت بر بستر USSD، گفت: برای ورود به مسأله، فرض را بر این می‌گذارم که امنیت USSD، صفر مطلق است (البته به فرض محال!). به جز در اولین پروسه ثبت کارت بانکی در انتهای یک تراکنش موفق مبتنی بر USSD که شماره کارت بانکی و رمز دوم کارت در یک session و در قالب تراکنش‌های جداگانه دریافت می‌شوند (فقط یک‌بار به ازای هر ثبت کارت)، در سایر تراکنش‌هایی که توسط مشترکان بر این بستر اتفاق می‌افتد، صرفاً رمز دوم کارت دریافت می‌شود.

وی بیان کرد: پس از آن شماره کارت بانکی به صورت توکن یا alias code ارسال می‌شود. پس اگر اولین تراکنش ثبت کارت را کنار بگذاریم، صرفاً رمز دوم کارت در اختیار شنودکننده متخصص قرار خواهد گرفت که قابل سوءاستفاده نخواهد بود.

او خاطرنشان کرد: برگردیم به مقطع تراکنش ثبت‌کارت، با فرض محال صفر بودن امنیت USSD برای این‌که دغدغه‌های امنیتی حل شود، راهکارهای ساده‌ای وجود دارد که می‌توان طی یک اطلاع‌رسانی عمومی از مشترکان USSD بخواهیم که برای انجام تراکنش بر این بستر، حتماً باید رمز دوم بانکی خود را با مراجعه به ATM بانک خود تغییر دهند و برای بالا بردن ضریب امنیت هم می‌توان پس از اعلان عمومی، در سمت PSP و شاپرک از پذیرش هرگونه تراکنش بر این بستر با رمز دوم قبلی، ممانعت کرد.

مدیرعامل شرکت جیرینگ گفت: به این ترتیب، دغدغه امنیتی استفاده‌کننده‌های فعلی از خدمات این بستر، حل می‌شود چراکه از این پس تراکنش‌های ایشان، صرفاً با اخذ رمز دوم کارت بانکی (متفاوت با آن‌چه در زمان ثبت کارت بانکی دریافت شده بود) میسر خواهد بود و سایر اطلاعات کارت، ارسال نخواهد شد.

وی افزود: برای مشترکانی هم که از این پس، می‌خواهند برای اولین بار، کارت بانکی خود را برای استفاده از خدمات بستر USSD ثبت کنند، راه‌حل‌هایی وجود دارد که به عنوان مثال می‌توان از ثبت کارت بانکی بر بستر USSD و الزام کاربر به تغییر رمز دوم برای انجام اولین تراکنش و عدم پذیرش تراکنش با رمز دوم زمان ثبت کارت بر این بستر از آن یاد کرد.

وی با بیان این‌که بانک مرکزی به جای این‌که به بهانه امنیت USSD آسایش ۲۵ میلیون مشترک تلفن همراه را مورد هدف قرار دهد، افزود: درصورت تعامل برای رفع دغدغه‌های امنیتی USSD به راحتی می‌توان گره USSD را بادست بازکرد نه دندان، چراکه ما معتقدیم آسایش مشترکان و کاربران شبکه بانکی از هرچیزی مهم‌تر است.

وی در پاسخ به این سؤال که در ابلاغیه شاپرک بیان شده که ارایه سرویس USSD با روش فعلی از اول مهرماه امسال امکان پذیر نیست، حال چه تغییری قرار است برای این سرویس ایجاد شود، گفت: تاکنون هیچ ابلاغیه‌ای دریافت نکرده‌ایم؛ بنده نیز همانند سایر بازیگران حوزه پرداخت، ابلاغیه شاپرک را در سایت‌های خبری مشاهده کردم و از جزییات آن هم بی‌اطلاع هستم و این‌که چرا جیرینگ به عنوان سرویس‌دهنده اصلی باید از این موضوع بی‌اطلاع باشد، برای من هم جای تعجب دارد.

 

خطیبی خاطرنشان کرد: اگر بخواهیم موضوع را خیلی پیچیده کنیم، باید گفت که ارتقای امنیت تراکنش از گوشی تا بستر تحویل اطلاعات به شبکه پرداخت بانکی با افزودن اپلت بر روی سیم‌کارت میسر است.