آیا کارت من هم هک شده است؟

[روبیک 1204]

جزئیاتی از هک حساب کاربری ۳ میلیون حساب بانکی حاکی است، این هک شامل بخشی از کارت‌ها آن هم در سالهای ۸۷ تا ۸۹ می‌باشد.

به گزارش ایتنا؛ اخیرا خبر هک شدن حساب کاربری ۳ میلیون کارت مشتریان بانکی کشور در فضای مجازی منتشر شده است.

این اطلاعات که در وبلاگ عامل اصلی این حمله هکری منتشر شده متعلق به فردی است که خود را "خ.ز.ف" نامیده و به گفته وی ظاهراً پیش از این سرقت اطلاعات مذکور را به مدیران عامل بانک‌ها اطلاع داده است.

برای اینکه کارت بانکی خود را در بین بیش از سه میلیون کارت قرار گرفته در سایت پیدا کنید می توانید از لینک http://ircard.blogspot.de استفاده کنید.

اما پیش از این جست‌وجو موارد زیر را به خاطر داشته باشید:

۱- عدم وجود کارت بانکی شما در بین کارت‌های این سایت به معنی در خطر نبودن آن نیست.

۲- این سایت تنها حاوی بخشی از کارت‌ها آن هم در سال‌های ۸۷ تا ۸۹ استفاده شده می‌باشد.

۳- بانک‌ها موظف به شناسائی اطلاعات سایر کارت‌های استفاده شده هستند و ابطال آنها به عهده خود بانک‌ها می‌باشد. البته اگر حفاظت از حساب‌های مشتریان برایشان مهم باشد.

۴- اطلاع‌رسانی به سایر هموطنان و ثبت شماره کارت و رمز برای کنترل در این سایت قبل از تحویل آن به بانک صادر کننده تنها راه اطمینان هموطنان به این ادعا و اثبات کذب بودن ادعاهای دیگر می‌باشد.

۵- در هر صفحه از اطلاعات کارت‌ها تقریبا ۳۰۰۰۰ کارت گنجانده شده است لذا شاید باز کردن صفحات در سرعت پائین و با استفاده از " هیتلر دور زن " کمی زمان‌بر باشد.

--------------------------------------------------------

ویرایش : تروخدا مراقب واژه هایی که به کار می برید باشید. سایت رو هیتلر می کنند .

باتشکر تیم مدیریتی لیون کامپبوتر. @};-

ویرایش شده اپریل 16, 2012 توسط Poorya_Lion

[ARMIN 20667]

به شخصه دیگه هرگز از دستگاه پز خرید نمیکنم.

[Arash S 102]

من یه مفدار در مورد رمز من دچار شبه شدم. فکر میکنم این آقای خ.ز.ف به بیان ساده گفتن رمزتون دزدیده شده تا ملت بترسن برن رمزشون رو عوض کنن اما قضیه کمی تا قسمتی خیلی پیچیده تره:

همونطور که دوستان میدونن تقریبا امروزه تو هیچ سیستم امنیتی (اونم در سطح بانک) رمز بطور ساده (plain text) ذخیره نمیشه بلکه با الگوریتم هایی رمزنگاری میشه اونم الگوریتم های یک طرفه (Hash) که به هیچ عنوان با داشتن دیتای خروجی، به دیتای اصلی نمیشه رسید. به زبان ساده رمز اصلا روی سرور بانک ذخیره نمیشه و در حالت بهتر اصلا رمز به دست سرور نمیرسه که بخواد بدونه رمز چی هست! بلکه این رمز طی فرایندی به یک string منحصر به فرد تبدیل میشه و اون string هست که در سرور ذخیره میشه. (با داشتن اون String نمیشه به رمز رسید)

اینطور مثال میزنیم:

فرض کنید رمز شما 1234 هست.

1) وقتی این رمز میخواد در سرور ذخیره بشه:

اون دستگاهی که شما رمز 1234 رو بهش میدید، رمز رو تو الگوریتم میزاره و فرضا مقدار "abcd" رو بدست میاره. دستگاه مقدار abcd رو میفرسته واسه سرور و سرور این مقدار رو به عنوان رمز شما ذخیره میکنه.

2) وقتی میخواید با وارد کردن رمز، از کارتتون پول بردارید:

اون دستگاهی که رمز رو واردش میکنید، رمز رو میزاره تو الگوریتم و مقدار abcd رو به دست میاره و بعد این مقدار رو میفرسته واسه سرور. سرور چک میکنه که این مقداری که الان دستش رسیده (یعنی abcd) با همون چیزی که در مرجله 1 به دستش رسیده و ذخیره کرده یکی هست یا نه. خب اون مقداری که در مرجله 1 ذخیره شده بود abcd بود و این مقداری که در این مرحله براش فرستاده شده abcd هست. پس معلومه رمز ورودی همون رمزی هست که کاربر در مرحله 1 انتخاب کرده پس کاربر مجاز به انجام عملیات بانکی هستش.

وقتی رمز رو اشتباه میزنید:

اون دستگاهی که رمز رو واردش میکنید، رمز رو میزاره تو الگوریتم و مقدار efgh رو به دست میاره و بعد این مقدار رو میفرسته واسه سرور. سرور چک میکنه که این مقداری که الان دستش رسیده (یعنی efgh) با همون چیزی که در مرجله 1 به دستش رسیده و ذخیره کرده یکی هست یا نه. خب اون مقداری که در مرجله 1 ذخیره شده بود abcd بود و این مقداری که در این مرحله براش فرستاده شده efgh هست. پس معلومه رمز ورودی با رمزی که کاربر در مرحله 1 انتخاب کرده فرق داره درنتیجه رمز اشتباهه و به ما پیغام خطا نشون میده.

پس میبینیم که حتی رمز به دست سرور هم نمیرسه چه برسه بخواد کسی اون رو استخراج و پخش کنه. حداکثر فرد میتونه اون مقادیری که رو سرور ذخیره شده (abcd) رو بدزده و نه دقیقا خود رمز.

اما قسمت بد قضیه: اگه طرف بتونه یک سیستمی درست کنه که همین مقادیر abcd رو یه جوری بفرسته سمت سرور و تاییده رو از سرور بگیره، میتونه عملیات بانکی انجام بده و حساب نازنین شما رو جارو کنه! :( (البته نمیتونه حساب شخص بنده رو خالی کنه چون به قول معروف زده به کاهدون!!)

اما قسمت خوب قضیه: کارت اعتباری شما فقط یه تیکه پلاستیک نیست که زارتی بکنیدش تو اون خشاب دستگاه بلکه اطلاعات خیلی مهمی روش ذخیره شده که به پیچیده تر شدن قضیه کمک میکنه و با توجه به اینکه این آقا کارت قیزیکی تک تک افراد رو نداره پس نمیتونه کاری کنه! :)

اما مجددا قسمت بد قضیه: اگه طرف اون اطلاعات ذخیره شده تو کارت رو هم به نوعی بدست بیاره چی؟ همونطور که اطلاعات فعلی رو دزدیده؟ بله اگه اون اطلاعات رو هم تونسته دزدیده باشه خب بیچاره میشیم :(

و باز قسمت خوب قضیه: اون اطلاعات درون کارت اعتباری بدست آوردنش خیلی سخته و برای دسترسی به اونها باید تک تک بانکها رو هک کنه که این یکم زیادی بعید به نظر میرسه :)

و مجددا قسمت بد قضیه: اگه طرف مقادیر (String) مربوط به رمز دوم (رمز خرید اینترنتی) رو داشته باشه و بخواد از اون سو استفاده کنه چی؟ قطعا بدبخت میشیم :(

و البته قسمت.... بابا دهن ما رو سرویس کردی :angry:، بالاخره بدبخت شدیم یا نه ؟؟؟ به نظر من و با توجه به اطلاعات موجود و حرفها و شنیده ها و بر اساس ساز و کار سیستم، من شخصا حدس میزنم که خطری تهدیدمون نمیکنه اما شرط عقل اینه که همه رمزهاتون رو حداقل هر 3 تا 6 ماه یکبار عوض کنید.

ضمنا اونطور که من متوجه شدم این شرکت یک واسطه هست و فکر میکنم اطلاعات بیرون اومده از این شرکت در حد یه گزارش از اطلاعات مبادله شده هست و نه بیشتر.

ضمنا اگه اطلاعاتی دزدیده میشه و میخواد قابل استفاده باشه، نیاز هست بسیاری از موارد امنیتی اون بانک هک بشه در حالیکه میبینیم اطلاعات مورد نظر از همه بانکها هستش، یعنی طرف همه بانکهای ذکر شده رو هک کرده و تمام اطلاعات رو کشیده بیرون؟ من نظرم اینه که چنین چیزی یکم زیادی بعیده

گرچه میتونم اینطور تصور کنم که این آقا احساس خطری در سیستم کرده و چون گوش کسی شنوا نبوده، با پخش کردن یکسری اطلاعات و شماره کارت یک هیاهو درست کرده تا بلکه هیاهوی مردم باعث به فکر افتادن مسئولین بشه.

*تمام موارد بالا فقط نظر شخصی و حدس و گمان هست. فردا کسی نگه تو اینجوری گفتی فلان بلا سر من اومد تقصیر تو هست. گفتم شرط عقل اینه رمزتون رو عوض کنید*

[Nikita 22]

سلام

حرف های شما درست هست و این الگوریتم های رمز گذاری غیر قابل برگشت هستند ولی چون رمز های استفاده شده عدد هستند و دامنه هر کدوم 0 تا 9 هست و طولشون هم کم هست (4 رقم ) به راحتی می شه با یک الگوریتم مقایسه ای عدد ها رو پیدا کرد

مثلا یه حلقه می نویسیم که شروع می کنه از 0000 هی یه دونه اضافه می کنه تا به 9999 برسه (کلا 10000عملیات محاسباتی ) در این زمان یکی از حالت ها که به صورت مثلا agse در آمده با رمز های دزیده شده مطابقت پیدا می کنه و رمز اصلی پیدا می شه

بازم تاکید می شه این شخص عداد کد شه در اختیارش هست چون همونطور که دوستمون گفت این به صورت کد شده رو سرور های قرار می گیره

البته یه چیز دیگه هم هست یارو اون ور دنیا ریال به چه دردش می خوره؟! پول ما تو کشور خودمون ارزش نداره چه برسه به خارج

منم فکر می کنم قضیه یه هشدار جدی به سیستم بانکی هست

ویرایش شده اپریل 16, 2012 توسط Nikita

[OKTAY 113]

کلا جدی نگیرید اینارو چون تنها راهش اینه که با اون اطلاعات کارت رو کپی کنه و استغاده کنه که بعیده

دوما brute force نمیشه انجام داد چون بعد 3 عمل اشتباه کارت مسدود میشه

در ضمن بزارید حال کنه بابا الان کی تو حسابش پول داره هه هه

[saeed0c 1939]

شامل رمز اینترنتی کارت های شتاب هم می شه؟

ویرایش شده اپریل 16, 2012 توسط HOPLITE

[Nikita 22]

شامل رمز اینترنتی کاره ای شتاب هم می شه؟

سلام

اره می شه

[saeed0c 1939]

این که دیگه ربطی به اطلاعات کار نداره. فرت میشه حساب رو خالی کرد.

[UnforgiveN 1172]

دوستان عزیزی که در مورد احتمالات و Brute Force صحبت میکنید:

صحبت پخش کننده اطلاعات این هست که اطلاعاتی که از کارت در دستگاه ها خوانده شده و میشود شامل رمز و شماره کارت و یا اطلاعات دیگر که ما بیخبریم در چند مرحله داخل شبکه ( دستگاه - سویچ و ...) از امنیت پایین برخوردار هست و توسط هر کسی که به این قسمت ها دسترسی داشته باشد بدون دردسر قابل دسترسی و سوء استفاده هست ( مثل خود این شخص که به این قسمتها دسترسی داشته و خیلی افراد دیگر)

همچنین اشاره میکند که سوئیچ ها لاگ تراکنش ها را ذخیره میکنند که بعدا در صورت نیاز جهت عملیات مغایرت بانکی مورد استفاده قرار بگیرند و از این لاگ هم به راحتی میشود اطلاعات مورد نیاز جهت سوء استفاده از کارت را بدست آورد.

ضمن اینکه در حال حاظر ما میدونیم که میشود با داشتن اطلاعات کارت و الگوریتم های مربوطه ، توسط پروگرامر های کارت یک کارت با مشخصات اصلی تولید کرد ( حتی از این روش قبلا سوء استفاده شده بود به این طریق که دستگاه خواندن اطلاعات کارت رو جایگزین قسمت ورود کارت کرده بودند و با رد شدن کارت به صورت اتوماتیک اطلاعات کارت اسکن و خوانده شده بود).

پس با توجه به گفته های شخص پخش کننده اطلاعات 1- تغییر رمز تا زمانی که سیستم ها از دستگاه ها و نرم افزار های ذکر شده استفاده میکنند بی فایده است. 2- هرکسی که در حال حاظر و در گذشته به اطلاعات لاگ ها و سوئیچ ها دسترسی دارد امکان سوء استفاده از کارت ها را نیز دارد تا زمانی که تغییرات امنیتی توسط بانکهای عامل اعمال شود.

توصیه من در حال حاظر این هست که اولا در کارتی که رمز اینترنتی آن فعال شده است و یا از آن در دستگاه ها استفاده میکنید مبلغ پول زیادی را نگهداری نکنید ( پول را از یک حساب افلاین دیگر به اندازه نیاز چند تراکنش به آن انتقال دهید).

دوما حساب های اصلی خود را آنلاین نکنید و به کارت متصل نکنید و اگر در حال حاظر به کارت متصل هست آنرا از حالت اتصال خارج کنید.

[Morteza Alidoost 238]

دقیقا همینطوره. امنترین راه اینه که تا زمانی که این حفره وجود داره بعد از هر خرید رمز رو هم تعویض کنیم. خود من یه مورد برداشت غیر مجاز داشتم 2 سال پیش بود ولی حرفم به جایی نرسید بی خیال شدم. (حدود 300 تومن بانک ملی )