نقدی بر برنامه بی بی سی در مورد جریان انتشار پسورد سه میلیون کارت

این مطلب ، یکطرفه و نسبتا تند است. یک مطلب عادلانه نیست. من اینجا قاضی نیستم و نمی خواهم هم باشم. برای نقد موضع مخالف را گرفته ام و نقد کرده ام. گفتن اشکالات در کامنت ها برای متعادل شدن بحث خوب است ولی در کل این مطلب قرار نبوده قضاوت کند بلکه تلاشی است برای دیدن موضع مخالفی که در برنامه بی بی سی غایب بود

دیشب برنامه شصت دقیقه بی بی سی فارسی به سراغ آقای خسرو زارع پر سر و صدا رفت و چند دقیقه ای باهاش حرف زد. اینکه به سرعت طرف رو پیدا کردن و آوردن برنامه به عنوان یک کار خبری خوب بوده ولی از بی بی سی انتظاری خیلی بیشتر می‌رفت.

آقای زارع با افتخار توی برنامه نشست و صحبت کرد بدون اینکه از سابقه کارش حرفی زده بشه یا بعدش یک کارشناس امنیت نظر بده در مورد حرف هاش. بذارین قبل از بررسی کار بی بی سی خود جریان رو مرور کنیم:

  • آقای زارع این اطلاعات رو از طریق پست مدیریتی در شرکت اجرا کننده پروژه به دست آورده نه به عنوان یک آدم فنی مستقل. خودش هم چند بار توضیح می ده که کسانی به این اطلاعات دسترسی داشتن که پیمانکاران همون شرکت بودن. اینکار خیانت در امانت است. درسته که باید جلوش گرفته می شد ولی کار ایشون اصلا به این معنی نیست که یک آدم غیرمورد اعتماد هم می تونست به همین اطلاعات دسترسی داشته باشه. پس این الزاما یک حفره امنیتی نیست بلکه مشکل امنیتی پروسه های مبتنی بر اعتماد به افراد دخیل در سیستم است.
  • آقای زارع توی وبلاگش می گه که با این اطلاعات به سراغ مسوولین بانک ها رفته و درخواست کرده که به ازای هر پسورد که بهشون بده بهش پول بدن. اونها گفتن که اینکار رو قبول ندارن ولی حاضرن در مقابل نشون دادن محل نشت اطلاعات هزینه کنن. معامله صورت نگرفته و آقای زارع چاره رو در این دیده که از کشور خارج بشه و اطلاعات رو منتشر کنه. آیا اگر بهش پول می دادن الان با همون دسترسی که داشت بر اساس نیاز مالی هر روزش یکسری پسورد می داد و پولشون رو می گرفت و زندگی ادامه پیدا می کرد؟
  • چیزی که من از صحبت ها و شنیده ها درک کردم این بود که پسوردها از از یک بانک اطلاعاتی که افراد مختلفی بهش دسترسی دارن درز می کنه. قبول نکردن پیشنهاد نفوذ اخلاقی به بانک و نشون دادن محل نشت پسوردها و در مقابل درخواست پول در مقابل پسوردهای کارت ها این حدس رو تقویت می کنه. به هرحال این حدس ممکنه درست نباشه ولی اگر درست باشه معنی اش اینه که شرکت مورد نظر کاملا مبتنی بر اعتماد به افراد و مشاوران کار می کنه. این کاملا اشتباهه ولی کسانی که به این بانک اطلاعاتی دسترسی دارن و اطلاعاتش رو کپی می کنن هم کارشون شدیدا غیراخلاقی است، بخصوص اگر شروع کنن به خاطر داشتنش درخواست پول بدن
  • آقای زارع می گه پسورد رو بین ده رقم دیگه مخفی کرده و در پسورد قابل استفاده نیست. این کاملا اشتباهه. پایینتر در این مورد حرف می زنم. به نظر من اینکار شدیدا تجاوز است به حریم خصوصی افراد.
  • ایشون بعد از اینکه با مدیر شرکت به مشکل برخورده و نتونسته از بانک ها هم به خاطر هر پسوردی که داره پول بگیره به خارج رفته و پسوردها رو لو داد و مدعی شده که باید مجامع جهانی ازش حمایت کنن یا مردم بهش کمک مالی کنن؟!! حمایت از کی؟ کسی که پسوردهایی که بهشون دسترسی داشته رو یکضرب منتشر کرده روی وب ؟ اینکار در قانون ایران و هر جایی از دنیا که قانونی مربوط به حفاظت اطلاعات، حریم خصوصی، نفوذ به اطلاعات غیر مجاز، انتشار اطلاعات محرمانه و … داشته باشه جرمه و جرم سنگینی هم هست. نظر شخصی ام اینه که هر قاضی ای حکم خواهد داد که این آدم رو به ایران پس بدن. از این جریان ناراحت می شم چون می دونم تو ایران عادلانه باهاش رفتار نمی شه.
  • حرکت بی بی سی در بعد از مصاحبه با آقای زارع بسیار ضعیف بود. کسی که به وضوح مجرم است نباید بیاد توی تلویزیوین یک خبرگزاری و یکطرفه حرف بزنه و بعدش هم یک نفر در این مورد صحبت کنه که چقدر مهم است که پسوردها رو عوض کنیم هر چند وقت یکبار و توصیه های عمومی امنیتی بکنه – این توصیه ها بسیار لازمن و خوب بود همراه این خبر می بودن ولی به شرطی که یک منتقد یا متخصص هم در بعد از توضیحات یکطرفه و گمراه کننده آقای زارع، صحبت می کرد. من از رسانه و قواعد آوردن آدم ها توش سر در نمی یارم ولی به سادگی می فهمم که اگر به خاطر ابعاد خبر و نزدیکی اش به تک تک ما ایرانی ها این آدم لازم بود بیاد تو تلویزیون، بعدش باید یک متخصص امنیت یا یک نفر که حقوق سایبری بدونه میومد و صحبت می کرد و نظرات مخالف رو هم می گفت. الان جوری عمل شده انگار یک نفر آدم دلسوز مشکلی رو پیدا کرده و در داخل کشوری کسی بهش گوش نداده و حالا رفته بیرون داره سعی می کنه فسادی رو افشا کنه. این آدم دلسوز نیست. پایینتر حرف می زنم.
  • آقای زارع خودش مسوول این برنامه بوده! اگر هم مشکلی هست مستقیم باید به خودش برگرده! این رو چرا کسی نمی گه؟ درسته که توی شرکت مدعی مشکلات متنوع و عدم همکاری و فساد و غیره است ولی مثل اینه که من کلیدساز باشم و بعد که کل کلیدهای شهر رو نصب کردم بگم «این قفل ها به یک روشی که من می دونم قابل باز شدن هست دوستان» و ادعا کنم که همه باید با من مهربون باشن و بهم باج بدن تا نرم از خونه شون دزدی و در ضمن رییس قبلی من هم خیلی آدم بدیه

اما گفته بودم یکی دو تا از نکات رو کاملتر توضیح می دم… اول اینکه آیا این آدم حریم خصوصی افراد رو نقض کرده و‌آیا این اطلاعات منتشر شده قابل استفاده و دوم صحبت در مورد خیرخواه بودن این آدم.

حریم خصوصی آدم ها توسط این آدم نقض شده

پسوردها قابل پیدا کردن هستن. این «متخصص آی تی» باید قبل از انجام چنین کار بزرگی به این فکر می کرد که داره یک پسورد چهار رقمی رو بدون فاصله انداختن بین عددهاش «لای» یک عدد ده رقمی «مخفی» می کنه. یعنی چی؟ یعنی مثلا اگر پسورد من باشه 1111 اون به شکلی مخفی نوشته 5555511115555. درسته که الان من و شما راحت می بینیمش ولی اگر کسی ندونه چی؟ خب اگر کسی پسورد دقیق رو ندونه به راحتی می دونه که پسورد من هست 5555 یا 5551 یا 5511 یا 5111 یا 1111 یا 1115 یا 1155 یا … و ده حالت بیشتر نداره! یعنی احتمال درست بودن اولین حدس ۱۰٪ است و چون طرف سه تا حدس می تونه بزنه احتمال درست بودن یکی از حدس ها (با ضریب اشتباهی کوچیک) ۳۰٪ است. به عبارت دیگه یک دزد می تونه با خوندن اطلاعات یک کارت بانکی سالم، تغییر بخش شماره حساب خونده شده به یکی از کارت های منتشر شده توسط این فرد و نوشتن اطلاعات روی کارت جدید شانس این رو داشته باشه که در سی درصد مواقع از اون کارت پول برداره. دقت کنین که دزد روی شما تمرکز نکرده که حتما از کارت شما پول برداره بلکه کارت های مختلف رو امتحان می کنه و طبق محاسبات بالا از نظر آماری می تونه از یک سوم این کارت ها (سی درصدشون) یعنی تقریبا از یک میلیون کارت پول برداره.

این محاسبه فقط جنبه آماری داره. مطمئنا جلوی اینکار همین الان گرفته شده. شماره کارت من بین این کارت ها نبود ولی اگر هم بود امکان عوض کردن پسورد رو الان نداشتم و به هیچ وجه هم نگرانش نبودم چون می دونستم در عمل اتفاقی نمی افته. این بحث فقط به این سمته که این روش «مخفی کردن رمز چهار رقمی در یک عدد چهارده رقمی» بسیار بچه گونه است. قول هم می دم اگر این بخش رو یک متخصص آمار بازنویسی کنه فقط با داشتن چند پارامتر کوچیک مثل احتمال استفاده بیشتر از یک رقم خاص در پسورد (پسورد شما توش شش یا دو داره؟ (; )) می تونست احتمال حدس درست عدد پسورد در یک عدد چهارده رقمی رو بالاتر هم ببره.

در ضمن ! بحث فقط بانک نیست. آدم ها معمولا پسوردهای ثابت دارن. الان شماره گاوصندوق اتاق هتل من با شماره کارت بانکی ام یکیه و این آدم ممکن بود شماره گاوصندوق بانک من رو هم منتشر کرده باشه. همینطور رمز ورودم به داخل ساختمون شرکت رو. این آدم بدون شک حریم خصوصی آدم های زیادی رو نقض کرده. من کماکان برای کارش خطر اقتصادی فیزیکی قایل نیستم (سلب امنیت روانی و ایجاد استرس و احساس عدم امنیت و غیره به کنار.. منظورم اینه که حس نمی کنم الان ممکنه کسی که قبلا اینکار رو نمی کرده از حساب کسی پول برداره با این اطلاعات) ولی معتقدم این آدم با اینکار حریم خصوصی انسان ها رو نقض کرده

این آٔدم خیرخواه نیست – هکر هم نیست

هکر برای ما واژه مهمیه. رسانه ها به کسی می گن هکر که وارد سیستم های مردم بشه ولی ما به کسی می گیم هکر که دنیا و چیزهای توش رو عمیق تر از بقیه ببینه – مثل ماتریکس. این آدم هکر نیست و چیزی هم این وسط هک نشد. این آدم مسوول نوشتن یک نرم افزار بوده و الان می گه که اون نرم افزار مشکل امنیتی داره و من پسوردهای شما رو کپی کردم بردم پیش بانک ها و گفتم به ازای هر دونه اش باید بهم پول بدن و اونها گفتن نه و حالا من رفتم خارج و اینها رو منتشر کردم.

اینکار برای من شبیه انتقام گیریه و بدون شک جرم. درخواست هایی مثل «درخواست از سازمان های جهانی و حقوق بشر برای حفاظت از من» یا حتی درخواست مسخره تر از مردم برای کمک مالی فقط و فقط معنی همون توهمی رو می دم که وقتی کسی یک قاضی رو ترور کرد فکر کرد بعدش باید بره خارج خودش رو به سفارت آمریکا معرفی کنه تا اونها بهش پناهندگی سیاسی بدن. قتل جرمه و مجرم به کشوری که توش جرم انجام داده تحویل می شه. اینکار هم جرمه و هیچ ربطی به حقوق بشر نداره. به اون سناریو فکر کنین که بانک ها به اون پیشنهاد آقای زارع مبنی بر اینکه در مقابل هر پسوردی که نشون بده بهش پول بدن عمل می کردن تا بدونین چقدر خیرخواهی توی اینکار هست.

از طرفی حتی اگر ایشون می خواست اینکار اشتباه رو بکنه می تونست بسیار با احتیاط تر و اخلاقی تر و کم ضربه زننده تر ثابت کنه که این اطلاعات رو داره. مثلا می تونست به جای اون روش بچگونه مخفی کردن یک عدد چهار رقمی لای ده رقم اضافی که ۳۰٪ احتمال حدس درست رو به هر کسی می ده (که روی سه میلیون شماره می شه حدس درست پسورد یک میلیون کارت) اینکار رو بکنه که هر کارت رو فقط با دو رقم اول پسوردش منتشر کنه. اینطوری دارنده کارت و مسوول بانک مطمئن می شدن که طرف پسورد رو داره (چون مثلا می دونه کارت من به شماره X پسوردش با 84 شروع می شه) و احتمال حدس صمیم توسط یک هکر رو هم ده برابر کمتر می کرد (در حد سه درصد بعد از سه تلاش). در عین حال این آدم اگر نیازمند توجه بود می تونست هر جمعه، مثلا صد هزار کارت رو منتشر کنه (با گفتن تنها دو رقم اول پین کد) و اینجوری هر هفته کلی آدم رو بکشه به وبسایتش و هر لحظه که توجه کافی بهش شد و به نتیجه دلخواهش (مثلا رفتن آبروی فلان شرکت یا اومدن مسوولین به میز مذاکره یا حمایت سازمان های حقوق بشری ازش یا هر چی) رسید کار رو متوقف کنه.

پس این آدم از نظر من به هیچ وجه خیرخواه نیست. بنا به گفته های خودش بعد از اینکه با شرکتش به مشکل برخورده ، اول سعی کرده از شرکت صاحبکارش که دسترسی به این اطلاعات رو از اون طریق داشته و بعد بانک ها که می تونستن متضرر بشن پول بگیره و وقتی پول ندادن با نقض حریم خصوصی دارنده سه میلیون کارت و افشای اطلاعات محرمانه سعی کرده ضربه محکمی بزنه.

جمع بندی

این رو نوشتم که بگم کار بی بی سی به نظرم حرفه ای نبود. باید از دیدگاه مقابل هم کسی می بود برای حرف زدن و باید به گذشته و پروسه رسیدن این جریان به اینجا هم توجه می کردن. به نظر من این آدم آدمی می یاد که به خاطر شغلش به اطلاعات مهمی دسترسی داشته – که دیگران هم داشتن و اون از این ناراحت بوده – و در لحظه ای فکر کرده می تونه پولدار بشه ولی بانک فقط قبول کرده در مقال نشون دادن دقیق محل مشکل پول بده و نه به ازای هر پسورد هر کارت و این معامله سر نگرفته. بعد این آدم سعی کرده ضربه ای کاری بزنه و به اشتباه ترین وجه ممکن حریم خصصوی یکسری آدم رو نقض کرده بدون اینکه واقعا بهش نیازی باشه. دیشب هم بی بی سی به خاطر خبر بزرگ و هیجان مصاحبه مستقیم با کسی که همه ایران دارن بهش نگاه می کنن به سراغش رفته بدون اینکه دقت کنه باید نظر مقابل و انگیزه طرف رو هم در این جریان لحاظ کنه. درسته که زارع توی برنامه کراوات زده بود و سنش بالا بود و سعی کرد از کسی اسم نبره و خودش رو خیرخواه مردم نشون بده ولی با استدلال های بالا این حداقل برای من شدیدا مورد شکه و خیلی خوب بود اگر بی بی سی بعدش به جای صحبت در مورد اینکه پوز چیه و چقدر عوض کردن پسورد کارت مهمه به سراغ این می رفت که یک نفر این جریان رو نقد کنه تا اعتبار خبری حرفه ای اش برای من حفظ بشه.

البته چلنج در مورد نقض حریم شخصی حین مصاحبه نسبتا خوب بود و بعدش هم گفته شد که تلاش کردن با اون شرکت تماس بگیرن که جواب نگرفتن. مشخصه. اون شرکت فعلا گیجه و تحت فشار. احتمالا کاملا مقصره در این جریان ولی این دلیل کافی نیست برای صحبت های یکطرفه و حق به جانب یک مجرم احتمالی توی بی بی سی.

این دو تا نکته رو هم نگم ممکنه خفه بشم:

  • بی بی سی تنها رسانه ای است که من اگر بخوام اخبار فارسی رو دنبال کنم می خونم. اینها رو نوشتم که بهتر بشه. کلا قابل قیاس با بقیه رسانه های فارسی نیست ولی باید شدیدا مواظب باشه که نیافته توی تله VoA شدن . بی بی سی مین استریم مدیا است و مال و غیره و غیره ولی بین چیزهایی که من بهش دسترسی دارم اولویت اول رو داره برای گرفتن اخبار منطبق بر واقعیت.
  • این اطلاعات روی سرورهای گوگل و بلاگ اسپات فرانسه منتشر شدن. احتمالا یک تذکر پلیس بین الملل می تونه این اطلاعات رو از این سایت حذف کنه و پروسه های قضایی مختلفی رو به جریان بندازه ولی ظاهرا ما واقعا آماده مقابله با تهدیدات سایبری نیستیم و جنگ سایبری رو کلا با دیفیس کردن سایت ها و کامنت گذاشتن تو وب اشتباه گرفتیم. احتمالا تو خیلی کشورها اینکه یک روز خودپردازها تعطیل بشن ضربه عظیمیه چه برسه به اینهمه ماجرای مرتبط با این اتفاق.

واقعا نمی دونم چند نفر ممکنه تا اینجا رو بخونن (((: به هرحال اگر تا اینجا رو خوندین یک مدال tl;dr بهتون تقدیم می شه با احترام

99 نظر مربوط به “نقدی بر برنامه بی بی سی در مورد جریان انتشار پسورد سه میلیون کارت

  1. Wahid

    سلام
    جادی جان مطلب فوق العاده ای بود. هر چند من اون برنامه رو ندیدم ولی با نظرت کاملاً موافقم.
    نقد به جا, خوب و عادلانه ای بود :D
    برای خودت هم یه مدال برای این نوشته در نظر میگرفتی. ;)
    در آخر اگر این مطلب جای دیگه ای منتشر می شد شاید کامل نمی خوندم ولی مطلب هایی شما بنویسی حتماق ارزش خوندن داره.
    خسته نباشی.

    نظر
  2. مهدی

    من داشتم دنبال یه الگوریتم خاص میگشتم که پسورد رو توش جا داده باشه
    8 تا کارت بانکی رو تست کردم اما هیچکدوم نبود متاسفانه توش

    ولی یه جای خوندم که بین کارکتر 7 تا 12 پسورد رو قایم کرده
    مثلا اگه تو دو تا کارت از کارتای من همین الگوریتم بود کاملا میشد به بقیه پسورد ها هم دسترسی داشت.

    ولی از طرفی اون فرایندی که گفتی در مورد “خوندن اطلاعات یک کارت بانکی سالم، تغییر بخش شماره حساب خونده شده به یکی از کارت های منتشر شده توسط این فرد و نوشتن اطلاعات روی کارت جدید ” فکر نکنم به سادگی بشه صورت بگیره . البته خیلی در موردش نمیدونم .

    توی وبلاگش گفته که اگه من این ها رو منتشر نمیکردم و مردم و مدیران رو در جریان نمیزاشتم , ممکن بود آقای منافی از این ها استفاده کنه

    جایی هم اشاره کرده که پسورد ها چرا در هنگام استفاده از دستگاه های پوز سیو میشن که اعضای شرکت انیاک بتونن بهش دست پیدا کنن ؟

    واقعا چرا ؟ کسی هست که جواب این سوال رو بده ؟ بانک مرکزی یا هر جایی ؟ وقتی که مدیران اعلام میکنند که اطلاعاتی مثل کد اعتبار سنجی و تاریخ انقضا به غیر از کارت فیزیکی در هیچ جای ثبت نیست , خوب چطور ممکنه که موقع وارد کردن این کد ها , با کد اصلی مطاقبت داده بشن ؟

    یه عالمه نقص هست که خوب حداقل سودی که کار این آقا داشت معلوم شدن اشن نقص ها بود …

    نظر
  3. soheil

    این آقا اشتباه کرده حرف شما هم درسته هکر هم نیست به فایل ها دستر سی داشته کپی کرده ظاهرا دنبال پول هم بوده که نشون می ده یک دزده و باجگیره و نه یک آدم خیر خواه. ولی بحث اخلاقی این قضیه به نظر من اصلا مهم نیست چون این بابا چه خیر خواه باشه چه نباشه فرقی در اصل موضوع نمی کنه

    به نظر من افشا شدن این داستان بهتر از نشدنش بود. این که پسورد کارت های بانکی ما جایی بین سرور های بانک و دستکاه کارت خوان ذخیره می شه اونم به صورت رمز نشده حقیقتی بوده که اکثر کاربرا نمی دونستن. مسئولان هم چون مردم نمی دونست بهش اهمیتی نمی دادن حالا چون کار بالا گرفته همین فشار افکار عمومی باعث می شه کمی به خودشون بیان و از فاجعه احتمالی بعدی جلوگیری کنن یا حداقل راه رو یکم سخت تر کنن.از طرفی مردم هم یکم راجع به نگهداری و حفاظت از کارتاشون سخت گیر تر می شن و اینطوری به نفع همه است.

    نظر
  4. مجتبی

    من هم برنامه رو ندیدم اما متن خود وبلاگ رو هم که خوندم احساس کردم این وسط Sniff صورت گرفته اما بعدا که اطلاعات بیشتر منتشر شد فهمیدم که این طرف توی ف.ا کار می کرده .صبح هم تو روزنامه خوندم که بانک مرکزی گفته همکاری با ف.ا رو متوقف می کنه ولی در کل من اون شرکت رو به اندازه خود فرد منتشر کننده اطلاعات مقصر نمی دونم ولی دقیقا مشکل اینجاست که این شخص پاشنه آشیل شرکت بوده

    نظر
  5. Mahyar

    خوندم و کاملا موافقم! اما آیا می شه حالا که این رمزها منتشر شدن امیدوارم باشیم که کمی بحث رمزنگاری تو تبادل داده ها جدی گرفته بشه؟ فکر نکنم!!! و امیداورم این بحث ها باعث فراموشی عدم کفایت مدیران بانکی و شرکتی که یا از روی بی دانشی و یا قصور زمینه ساز این حرکت بودن نشه! نه اینکه مدیران بگن فلانی خطا کرد و ما به خاطر احساس مسولیت نمی تونیم صندلی رو ترک کنیم :(

    نظر
  6. Aboo

    جادى جان
    بى شك وقتى كه صرف ميكنى براى نوشتن اين مطالب منطقى قابل تحسين هست.
    من برنامه رو هنوز نديدم اما بدليل اينكه از دور دستى بر آتش داشتم كاملا فهميدم كه اوضاع از چه قرار هست.
    با حرفات موافقم و اضاف ميكنم كه اگر يك كليدسازى براى يك پروژه بزرگ كارى رو به شاگردش يا همكارش واگذار ميكنه بايد از سلامت كارى اون به آگاه باشه.
    سيستمها بايد طورى طراحى بشند كه خطاى انسانى نتونه ضربه اب به اونها وارد كنه.
    نشت اخير اطلاعات على رغم اينكه به خودى خودش بد هست اما اين نكته رو كه چه ديد سطحى و غير حرفه اى در طراحى سيستم ها در ايران هست رسانه اى كرده. تازه اين چيزى هست كه روى آب اومده. ديگر تو خود بخوان حديث مفصل.
    در مور بى بى سى ام اين اولين بارى نيست كه اين اشتباه ها از اينها سر ميزنه اميدوارم كه بتونند در آينده بهتر عمل كنند.

    نظر
  7. Aboo

    بابت غلطهاى املايى عذرخواهى ميكنم.

    من الان مصاحبه رو ديدم اما كجاش ايشون گفته بود كه اطلاعات رو برده بفروشه؟ و بابت هر رمز پول بگيره؟
    منبع شما كجاست؟

    نظر
    1. جادی

      تو متن چند جا لینک دادم. سایت افشای رمزها. تو بی بی سی خیلی بهتر بود از تو سایت. حداقل از کسی اسم نبرد مستقیم و داستان های عجیب رو هم تعریف نکرد.

      نظر
        1. Aboo

          آره. چون اومن موقع روی آیپد بودم خیلی تایپ فارسی سخته و نمیدونم چرا لینکها رو ندیدم. بخشی از کار ایشون خوب بوده و بخشیش به روش بدی انجام شده. در نهایت فکر کنم که به سود مردم تموم بشه. البته با کمی زحمت.
          به هر حال خوشحالم که خیلی راحت و واضح نظرت رو میگی و با بخش زیادیش موافقم.

          نظر
  8. Hamed kh

    جادی، دقیقا همه این داستان رو مو به مو داشتم دیروز به دوستان میگفتم و از اینکه این یارو در ازای هر پسورد پول خواسته، فقط اسمش دزدی و کلاشی هست و چیز دیگه ای نیست. بانک ها هم واکنش ( تقریبا ) مناسبی نشون داده اند و حاضر شده اند همکاری کنند مشکل حل بشه، ولی آقا دلش میخواسته از این راه کلا میلیاردر هم بشه!
    رو که نیست! سنگ پای قزوینه. بی بی سی هم دفعه اولش نیست یکطرفه به قاضی میره. درسته فعلا بهترین اوتلت فارسی هست، ولی مشکل زیاد دارند دوستان و گوش هم نمیدند…

    نظر
  9. شیخ شهر

    دقیقا.این خیلی مهمه که گفته بشه این آقا هکر نیست.با این وضعیت عدم اعتمادی که ما توی مردممون به بانکداری الکترونیک داریم یه همچین تصوراتی می تونه اوضاع رو هزاران بار بدتر کنه.

    نظر
  10. aMIRHOSSEIN

    سلام جادی عزیزم ممنونم از نقد عااااالیت و همچنین به موقع ات! همچنین اینکه من مدالم رو هم گرفتم! (با افتخار!)

    نظرات دوستمون جناب آقای مهدی (در بالای کامنت ها) خیلی برام جالب بودم نگاه ایشون بسیار Geek بود و مثل یک هکر بود!
    و واغعاً این موضوع درسته اگر آدم الگوریتم 2یا چند کارت بیشتر پیدا کنه که شماره هاشون توی این لست باشن خیلی درصد افشای این پسوورد ها بالا میره!!!!!!!!!!! با یک پالِش آماری ساده کاملاً مشخصه که این آقا چه نقض حریم خصوصی بزرگی کرده! در ضمن بنده اصلاً (شخصاً) با ایکه اهل لرستان هستم توی پاچه ام نمیره که این بابا یک مدیر آی تی یا نرم افزار توی اون شرکت بوده باشه! یعنی اصلاً احمق ترین آدم ها که دست کوچیکی توی امنیت و اصلاً الگوریتم داشته باشن هیچوقت یه همچین کار فوق العاده غیر حرفه ای انجام نمیدن چون با یه سرچ ساده کاملاً میشه فهمید که سطح سواد کاربرا در چه حده که آدم بخواد دست به یک همچین طریق افشای پسوورد بزنه!

    بازی پیچیده تر از این حرفاست!

    نظر
  11. سپهر

    درخواست پول بابت دادن اطلاعات هر کارت خیلی مسخره است. واقعا چی فکر کرده پیش خودش؟
    به نظرم فقط قصدش این بوده که بانک ها رو تیغ بزنه وگرنه دلش به حال امنیت سیستم نمیسوخته ولی کارش از نظر اینکه بانکها حواسشون رو بیشتر جمع میکنن خوب بوده.
    در ضمن ظاهرا تمام رمزها از یک آفست شروع میشن

    نظر
    1. جادی

      سپهر: کارهات های من هیچ کدوم نبودن ولی دقیقا دو تا از دوستان (در مجموعه سه کارت) گفتن که هر دو از یک آفست شروع شدن. اما با دوستای دیگه چک کردم و دیدم آفست های دیگه هم بوده. احتمالا الگوریتم رندمش هم خوب نبوده (((:

      نظر
  12. سميک

    اولا يعني چي يه نقد مينويسي بعد ميگي من قاضي نيستم؟!
    نيم ساعت يارو رو متهم ميکني بعد ميگى قضاوت نيست؟!
    بعد من نفهميدم چطوري 30 درصد رو بدست اوردي! تو اومدي يه حالت خيلي خاص نوشتى پس بهتر بود اصلا مينوشتى 55555555511111
    اما من عددها رو که ديدم همه اينجوري بودن:
    73510793726379
    چطورى از اين 30 درصد در مياد؟!!

    نظر
    1. جادی

      چون دقیق پرسیدی دقیق جواب می دم. تو اون عددی که نوشتی پسورد یکی از اینها است:
      7351, 3510, 5107, 1079, 0793, 7937, 9372, 3726, 7263, 2637
      و حدس سه تا از بین اینها شانسش سی درصده که اون عدد خاص توش باشه. البته اینجا حس می کنم از نظر آماری ممکنه درست احتمال رو حساب نکرده باشم ولی به هرحال همین حدود می شه (:

      در مورد قضاوت هم بحث اینه که قاضی باید عادل باشه. من اینجا سعی نکردم عادل باشم. طرف منفی جریان به سمت دوستمون رو دیدم برای اینکه تنهایی اومد تو یک رسانه عظیم فقط طرف مثبت خودش رو گفت.

      نظر
  13. ساری گلین

    جادی جان عالی بود و تند هم نبود و کاملا به‌جا بود.
    یه مدال هم برای من بزار
    ————
    کامنت آقای سهیل هم +2
    —————

    به سميک:
    در 14 رقم، 11 رمز 4 رقمی پشت سر هم میشه پیدا کرد.(شک داری بشمار) یعنی یکی از اون 11 تا رمز واقعی هست. هر دزدی می‌تونی تا سه بار رمز اشتباه بده بدون اینکه خودپرداز کارتش رو بخوره!
    پس با احتمال 3/11 پسوردهایی که میده برای یه کارت درسته که همون میشه 30٪

    نظر
  14. داود مظفری

    اطلاعات منتشر شده توسط ایشون اصن جالب توجه نیست و حتی نیاز به تعویض رمز نیست؛ رمز های 4رقمی برای رمز1 یا بهتر بگم پایانه های واقعی هست مثل دستگاه های ATM و POS، یعنی حتماً باید کارت خونده شه و رمزتون هم چک بشه.
    اما قضیه اینجاس دسترسی به لاگ سوئیچ هایی که تراکنش ها انجام شده روش (چون اطلاعات از روی تراکنش POSها هست) بدست اومده، این یعنی انکریپیشن اون دستگاه ها صفره، هیچ دیتایی انکریپت نمیشه یا شایدم یه حفره ای که خود برنامه نویس توش گذاشته تا وقتی دلش خواست همچین کاری کنه که این بازم عملکرد ضعیف شرکت رو نشون میده که کاملاً به یه نفر آدم فقط اعتماد کرده!
    نکته بعدی اینه این شرکت دپارتمان کارت های مغناطیسی رو هم داره، و اگه یه آدم بدبینی باشه مسلماً حرف از کارت های فیک با رمزهایی که موجوده می زنه! حتی از اونجایی که و وقتی دسترسی به سوئیچ داشته پس می تونه یه تراکنش فیک با همون POS ها ایجاد کنه مثل خرید/کارت به کارت/پرداخت قبض، البته من بلد نیستم و پارامترهاشم نمی دونم اما خب به دلیل وجود شناسه های پرداختی و کد پیگیری، احتمالش میاد پایین ولی خب همین که امکان دست بردن تو همچین چیزایی باشه باعث میشه جو نامناسبی بین مردمی که از این امکانات استفاده می کنن پیش بیاد.
    بین رمزهای منتشر شده توی جایگشت طرف اشتباه کرده یا … رو نمی دونم اما جفت کارتای قدیمی من که توش بودن، رمزش از عدد پنجم شروع میشد.
    اما در کل ایشون چیزی جز یه انتقام گیری خیلی بچگانه نکرده که براش گرون تموم میشه!

    نظر
  15. مجید

    یکم: در مورد محاسبه احتمال که جادی با شک حرف می‌زنه!
    احتمال اینکه اولین حدس درست باشه ۱/۱۱
    احتمال اینکه دومین حدس درست باشه ۱۰/۱۱ * ۱/۱۰
    احتممال اینکه سومین حدس درست باشه ۱۰/۱۱ * ۹/۱۰ * ۱/۹
    که مجموع همون ۳/۱۱ هست.

    دوم:از کجا مطمئنید تراکنش‌ها بدون انکریپشن و رمزها بدون انکریپشن سیو شده؟

    سوم: من یک کارتم رو که اونجا بود از رقم ۱۱هم شروع می‌شد احتمالا شروع از رقم‌های یکسان برای برخی دوستان تصادفی بوده (احتمال اینکه دو کارت از یک رقم شروع شوند حدود 9٫1 درصد است که کم نیست!)

    سوء استفاده ممکن رو فکر کنم فقط دزدهایی می‌تونستن انجام بدن که چندین کارت دزدیده شده جدید (که صاحبشان آنها را باطل نکرده) داشته‌اند و از این رمزها در این چند روز استفاده کرده‌اند که احتمال اینکه دزد فرضی انقدر به روز باشد اندکی کم است!

    نظر
  16. اکبر

    از همون روز اول هم مشخص بود این آدم حسن نیت نداره وگر نه راه‌های خیلی زیادی وجود داشت برای اطلاع‌رسانی این ماجرا و اخطار به مسئولان و کاربران، این بابا یک کارمند ناراضی شرکت بوده که خواسته با اطلاعات دیگران باج خودش رو بگیره. البته به نظرم اگر ایران یک پیگیری ساده بکنه می‌تونه اون رو برگردونه و محاکمه‌ش هم بکنه که به نظرم باید این اتفاق بیفته چون این‌طور باشه هر کارمندی هر دیتای با ارزشی از هر جا داشته باشه می‌شه وسیله‌ی اخاذی‌ش. تنها بردی که این آدم الان نصیب‌ش شده خانه خراب کردن مدیران شرکت تابعه‌ش هست.

    نظر
  17. رهگذر

    جادی جان خیلی خوب بود فقط کاش در این زمینه که چگونه میشه با داشتن فقط شماره کارت و رمز کارت یک کارت فیک درست کرد هم مطلبی بزنی تا همه بدونن اینکه پسوردشون رو در اختیار کسی قرار می دن حتی بدون حضور فیزیکی کارت امکان برداشت از حسابشون هست اون هم صرفا با دانستن شماره حساب / یه پیشنهاد دیگه هم دارم مبنی بر اینکه یه اطلاعاتی در مورد شرکتهای تهیه کننده دستگاه پوز در سایر کشورها بدی تا مشخص شه اونها چقدر ضریب امنیتی دارن و .. با تشکر از پنجه هات

    نظر
    1. جادی

      خب من در این مورد تخصصی ندارم. یک حدس توی متن زدم ولی فقط حدس تئوریک است. البته اینو می دونم که تو خارج کارت ها رو کپی می کنن و پسورد رو هم که معمولا بهشون می دی ولی اینکه مثلا با این اطلاعات دقیقا می شه چیکار کرد هیچ اطلاعاتی ندارم (:

      نظر
  18. amin

    دوست عزیز من هم مشاور امنیتی هستم، من هم برنامه نوشتم زندگی یه شرکت فلان میلیونی روش قرار داده اطلاعات لاگ کنم و بفروشم ؟! این نهایت پست فطرتی .
    فقط تعهد و اعتماد هست، فقط همین هر جای این جهان به این عظمت ، افشای اطلاعات در هر صورت با ثابت شدن خیانت در امانت جرم هست، کار احمقانه این فرد باعث ضربه به کار حرفه ای هست، دیر یا زود این فرد دستگیر میشه و اینکه هیچ شرکتی به این چنین فردی اعتماد نمی کنه، هیچ وقت

    نظر
  19. علیرضا

    دقیقا من هم به نتیجه تو رسیدم، جادی، آدمی پیدا شده با اجازه یا امکان دسترسی به یک پایگاه داده و احتمالا به خاطر اختلاف مالی با مدیران یک شرکت با تظاهر به نمایان کردن نقص های امنیتی، اومده ایجاد تشویش کرده، با نیت نفع شخصی یا شاید اندکی هم شهرت و در مورد نیت دومی بی‌بی‌سی خوب بهش خدمت کرد!
    این فرق می‌کنه با گوشزد کردن یک رخنه یا باگ در سیستم، با نیت غیرانتفاعی.

    نظر
  20. ج

    سلام
    به یه نکته در مورد پسورد توجه نکردی 27 درصد احتمال داره اگه کارت رو در اختیار داشته باشی از این عدد 14 رقمی به حساب بانکی دسترسی پیدا کنی . احتمال اینکه یکی بتونه کارت منو غیر از من داشته باشه چقدره . مهم این بود که ایشون مشکل اصلی گفت که از پوز های خرید هست که از طریق اونا میشه کارت ها رو جعل کرد و اینکار برای این کرد که نشون بده سیستم چقدر فشله اینهمه پرت و پلا نوشتی ولی نکته اصلی رو نگرفتی مشکل از دستگاه های پوز خرید هست

    نظر
  21. hamid_dreams

    به قول مسعود بهنود “رادیکال بودن در میانه روی ”
    که نوشته های شما بهره مند از این روش و منش، هم کیشان تان را متعهد به خواندن مطلب تا سطر آخر مینمایید.

    نظر
  22. همایون

    درود. کارهای آماری جالبی میشه با داده‌ها انجام داد. به عنوان مثال احتمال این که آدمها تاریخ تولدشون رو به عنوان رمز انتخاب کنن بالاست. به دنبال ۱۳۶ بگردبن در فهرست رمزها و مقایسه‌اش کنین با هر عدد ۳ رقمی دیگه‌ای. (۱۳۷ و ۱۳۵ و ۱۳۴ هم تعدادشون بالاست). من اگه دنبال دزدی بودم از اینجا شروع میکردم.
    برسم تلاشی میکنم که شاید آنالیز کنم این همه داده رو ببینم چی ازش در میاد.

    نظر
  23. farshadd

    آره جادی جون اما رفتار رسانه های وطنی هم بررسی کن خیلی ها تلاش می کنن چون شرکت خصوصیه عقده اختلاس رو هم روش پیدا کنند داستانی هم تعریف می کنند داستان قشنگی یه ریس پول دار و فاسد و یه کارمند که حقشو خوردن. شرکت انیاک کمک زیادی به پرداخت الکترونیک کشور کرده کل پوز های بانک هایی مثل رفاه دستشه و برای بانک هایی که نمی خوان یه پی اس پی جدا راه اندازی کنند یه گزینه خوبه!درسته این شرکت با کارمنداش همچین مهربون نیست(از نزدیک دیدم)ولی روند کاریشون برای یه شرکت خصوصی خوب بود.مشکل بانک هایی هستند که حتی نمی خوان یه سویچ مستقل برای خودشون بخرند(البته شرکت هم مقصره)جالبه خودش هم اعتراف می کنه چون دستگاههای مسکن سویچ مستقل و رمز نگاری مستقلی داشتن نتونسته اطلاعات اونارو برداره.

    نظر
  24. بازتاب: چرا افشاکننده‌ی رمز عبور کارت‌های بانکی ایران مجرم است؟ | ندای امروز

  25. گدفلای

    جادی،

    من هکر نیستم ولی یه کم کار امنیتی کرده‌م و اتفاقا بیشترش هم روی PKI بوده. همون 7-8 سال پیش هم بحث این بود که ایران CA واقعی نداره و حتی اون موقع پذیرشش هم وجود نداشت. اون موقع که POSها داشتن راه میفتادن، رمز و همه‌چیز دست روسای شعبه‌های منتخب بانکها بود و مسوول هر اتفاق امنیتی در مورد POSها اونا بودن.

    بحث اصلی PKI و CAها اینه که باید دسترسی به اطلاعات مردم کاملا کنترل‌شده باشه و هر مورد دسترسی یه اطلاعات افراد، دست‌کم با دوکلید که دست دو نفر مسوول متفاوت هست صورت بگیره. برای بحث کارکنان تغییرشغل‌داده و از همه بدتر (مثل این مورد) اخرا‌ج‌شده هم رویه‌های محدودیت‌دسترسی‌ مختلفی هست که باید جدی گرفته بشه.

    نکته دیگه اینکه این آقا گفت که افراد زیادی به این اطلاعات دسترسی داشتن (دست‌کم خودش و دست بالا ؟!) و به احتمال خیلی زیاد، دسترسی دونفره هم اصلا درکار نبوده.

    بدتر از همه اینکه پسوردها به صورت متنی ذخیره شده و حتی یه درهم‌سازی ساده هم برای تامین حداقل امنیت روشون صورت نگرفته.

    روش‌های ذخیره‌نکردن روی خود POSها که اصلا هیچ!

    کار ایشون، هیچی هم که نه، همین چندتا مشکل اساسی امنیتی رو رو کرد. فکر نکنم الان چیزی گیر ایشون بیاد اگه کسی واقعا در راستای امنیت بخواد کار کنه. کما اینکه من شنیدم که ایشون اول با روسای بانکها نامه‌نگاری کرده و تنها دو بانکی که جوابش رو دادن، به جای رفع مشکل امنیتی می‌خواستن به ایشون رشوه بدن که مشکل رو مخفی نگه داره و بعدهم رفته‌ن دنبال پیگرد قضایی.

    خلاصه اینکه فقط مخالف بودن مشکلی رو حل نمی‌کنه!

    نظر
  26. آرش

    من این مطلب را باید قاب کنم بعد بکوبم تو سر بی بی سی شاید اینطوری درک کنند که چقدر بی سواد هستند
    من با تک تک جملات این مطلب موافقم.
    متشکرم که اینقدر حال و حوصله به خرج دادی و این موضوع رو به طور قابل برای خیلی ها که اصرار نا به جایی بر هکر بودن این دزد داشتند روشن کردی.

    نظر
  27. مهدی

    رسانه ای شدن لو رفتن این اطلاعات یک بعد مثبت هم داره، مثل آتش سوزی می مونه. شاید باعث بشه بحث امنیت و استانداردهای رمزنگاری جدی تر گرفته بشه و دولت هم مجبور بشه به ارتباطات امن بهای بیشتری بده و بی بهانه ما رو از دسترسی به پروتکل های امن محروم نکنه. همینطور باعث افزایش آگاهی مردم می شه که بدونن ضعف های امنیتی هم واقعی هستند و توی ایران هم اتفاق می افته.
    اگر رسانه ای نشده بود توجه کسی رو جلب نمی کرد، همین الان هم با اینکه آشکارا اطلاعات مردم منتشر شده تیتر بانک ها و بانک مرکزی محافظه کارانه است و از «شایعه» و «ارتقای امنیت» صحبت می کنند و آشکارا نمی پذیرند که بخشی از اطلاعات سه میلیون کارت بانکی روی اینترنت قرار گرفته.
    راستی خبرگزاری آلمان رو هم امتحان کن، به بزرگی بی بی سی نیست اما لذت می بری از بی طرفی شون.

    اون مدالت رو هم که دیگه گفتن نداره، همه گرفتن! ;-)

    نظر
  28. عباس

    کاملا موافقم باهات. کل ماجرا یه شارلاتانیسم حسابی بوده و گروه های مختلف هم به نفع خودشون ماهی گیری رو شروع کردن

    نظر
  29. مرجان

    من وب لاک خسرو زارع فرید را زیرو رو کردم ولی نگفته بود که کمک مالی مخواهم.
    اینرا از کجا آوردید؟

    نظر
  30. Jimmy Heller

    اصلا مهم نیست که چه سوراخ امنیتی بوده و چه چیزی وقتی تو وبلاگ گفته بود برای خلق الله و اینها کار می کنم، پس پول خواستنش اگر به کنار باشه نمی تونم با این قضیه کنار بیام که اطلاعات مردم رو بذاره توی اینترنت و بعد هم بگه من می خوام مشکل رفع بشه. کاملا باهات موافقم.

    نظر
  31. ak

    چطور ممکنه با داشتن رمز و شماره حساب، از يک حساب پول برداشت کرد در حاليکه کارتي موجود نيست.؟

    نظر
  32. صالح

    مطالب بسیار مهمی رو اشاره کردید. ممنون

    اما خدمت دوستان عزیز تو چند موردی که من و دوستام شماره حساب ها رو تست زدیم 2 کارت وجود داشت. که هر دو رمزشون به صورت زیر مخفی شده بود
    3 رقم اول تصادفی – 4 رقم بعدی رمز کارت – وسایر ارقام نیز تصادفی بود.

    حالا یکی احتمالات رو حساب کنه :دی

    نظر
  33. مسعود

    جادی جان من یه چیزی رو نفهمیدم. فرض بر این که ما رمز 4 رقمی را داشته باشیم و شماره کارت. بدون کارت آیا کاریم می شه انجام داد؟ اگه نه که خوب این سوپرمارکت سر محل ما هم این کار رو بلده انجام بده ” موقع خرید شماره رمز رو بلند می پرسه؟!” می شه یکم توضیح بدی ممنون.

    نظر
    1. جادی

      توضیح دادم تو متن. کارت قابل کپیه. نه به این معنی که این الان یک خطر امنیتی عظیم برای مردمه ولی به هرحال پسورد رو گذاشتن که همه نداشتن باشن دیگه. به هرحال اینها قدم های امنیت هستن. اما اینطوری نیست که الان با داشتن این فایل همه پول های ما از بین بره.

      نظر
      1. آرش

        در باب مطلب بالایی که مسعود گفت جا داشت اینقدر سروصدا میشد تو رسانه ها که
        ای مردم! آدم وقتی جایی کارت میکشه کسی حق نداره رمز رو بپرسه یا اینکه نگاه کنه

        فرهنگ سازی این موارد رو هم شامل میشه

        نظر
  34. رامین

    جادی جان مطلبت رو خوندم و چقدر با چیزهایی که از چند روز پیش تو دلم بود هم نوایی داشت متاسفانه بی بی سی خیلی از این اشتباهات مرتکب شده و این بار اولش نیست گرچه من هم مثل تو معتقدم فعلا انتخاب بهتری نداریم.
    اما در مورد این آقای زارع ایشون گند زدن به هرچی آی تی من تو این مملکت هست و من نمی دونم این رفتار احمقانه ایشون رو چجوری باید جمع و جور کرد مشکل من صرفا حریم خصوصی نیست مشکل عدم اعتمادی که مردم به مسائل تجارت الکترونیک پیدا می کنن.
    دومین مسئله اینه که چرا باید رمز کارت ها به صورت هش نشده در دیتابیسی وجود داشته باشه من ده ساله که برنامه نویسی وب می کنم و از روزی که این کار رو شروع کردم تا به امروز حتی یک پروژه هم نداشتم که دست کم پسوردها رو md5 نکرده باشم سوال اینه که چرا اطلاعات پسوردها باید برای کسی یا کسانی به صورت هش نشده در دسترس باشه؟

    نظر
  35. محسن

    من یه سوال دارم شاید خیلی ابتدایی باشه ؟
    ولی مگه نباید رمزکارت ها بصورتی کد یا hash بشوند که غیرقابل برگشت باشه مثل md5 یا همچین چیزی ؟؟؟

    نظر
    1. جادی

      خب ظاهرا که نبوده. اگر هم باشه وقتی بحث چهار رقم است فایده خاصی هم نداره ولی به هرحال یک قدم بهتر از اینه

      نظر
  36. محمد

    سلام جادی!
    خیلی برایم سخت بود که تا آخر مطلبت را بخوانم، چون با خواندن هر پاراگراف می‌خواستم کلی کامنت بنویسم. ولی خوب حالا که تا آخر مطلب را خواندم، خودم را خالی میکنم. امید وارم که تو هم این کامنت را کامل بخوانی!

    اول چند نکته نسبتاً خنثی:

    ۱) اطلاعات من در مورد اینکه آقای زارع آدم خیرخواهی نیست ندارم. همانطور که احتمالاً تو هم نداری! و به نظر من گفتن «این آٔدم خیرخواه نیست» شتاب زده است.

    ۲) حتی از روی خیرخواهی هم که نبوده به نظر من در این ماجرا اتفاق خوبی رخ داده است.

    ۳) به اعتقاد من رفتار بی-بی-سی آنقدرها هم سزاوار این نقد تند تو نیست، چرا که همانطور که خودت اشاره کردی «چلنج در مورد نقض حریم شخصی حین مصاحبه نسبتا خوب بود». پرسیدن نظر یک کارشناس خوب بود ولی نبود آن آنقدرها هم اشکالی ایجاد نکرده است.

    نکته نسبتا منفی:

    * روش دو رقم اول رمز عبور به نظر من نیز بهتر است. ولی انتشار کم کم رمزهای عبور احتمالاً بی فایده می بود. چون خیلی زود بانک‌ها مردم را به اجبار وادار به تغییر رمز عبور می کردند.

    اما نکات منفی نقدی که کردی:

    ۱) تو گفتی که «دزد می تونه با خوندن اطلاعات یک کارت بانکی سالم، تغییر بخش شماره حساب خونده شده به یکی از کارت های منتشر شده توسط این فرد و نوشتن اطلاعات روی کارت جدید شانس این رو داشته باشه که در سی درصد مواقع از اون کارت پول برداره.» برای اینکار به تاریخ انقضا و رمز سه رقمی سی-وی-وی-۲ هم نیاز است که این اطالاعات منتشر نشده. آقای زارع در محاسبه‌اش ادعا می کند که این اطلاعات نیز برای شرکت پیمانکار قابل دسترس است. بنابراین انتشار این رمزها آنقدرها هم مشکلی ایجاد نمی کند و مثال ۳۰ در صد کاملا غلط است زیرا احتمال حدس درست تاریخ انقضا و رمز سی-وی-وی-۲ احتمال درست بودن کل ورودی را شدیداً پایین می‌آورد.

    ۲) به خطر افتادن حریم خصوصی؟ به اعتقاد شخصی من (که به عنوان یک متخصص امنیت در یک شرکت امنیتی کار می کنم) حریم خصوصی قبلا توسط سیستم بانکی نقض شده. این که افراد خاصی به اطلاعات کارت من دسترسی دارند، از نظر به خطر افتادن حریم خصوصی کاملا غیر قابل قبول است. یک فرد مبتدی در امور امنیتی حتماً از این موضوع آگاهی دارد که برای تأیید اعتبار یک رمز ورود نتها ذخیره فاش رمز عبور هیچگاه ضروری نیست، بلکه به دلایل امنیتی واجب است که از این کار اجتناب شود. اینکه عده‌ای از افراد مختلف که معتمد بانک باشند، از دیدگاه امنیتی کاملا غیر قابل قبول است.
    به نظر شخص بنده، فاش شدن این اطلاعات بسیار خوب است. چون منجر به واکنش شدید خواهد شد (همانطور که در واقعیت نیز چنین شد) و ممکن است به بهتر شدن کلی سیستم نیز کمک شود. در عین حال چون قبلا حریم خصوصی نقض شده، اعلام عمومی کار غلطی نیست هر چند ممکن است از نظر قانونی در تمام دولت‌ها دنیا اینکار مجرمانه باشد. به عنوان یک هکر باید بگویم، آنها فکر می کنند می توان با غیر قانونی کردن استفاده از ابزارهای هکری، می توان جلوی جرم را گرفت (اخبار فعلی اروپا). قوانین دولت‌ها همواره احمقانه بوده است.
    به اعتقاد من وقتی اطلاعاتی را افراد خاصی به ناحق در اختیار دارند، سزاوار افشای عمومی است. هدف ویکی-لیکس به نظر تو چیست؟ آیا ادعای تو در مورد به خطر افتادن حریم خصوصی مردم ایران با ادعای دولت‌هایی که معتقدند اطلاعات ویکی‌لیکس جان انسان‌ها را به خطر انداخته شباهت ندارد؟

    نظر
  37. parviz

    با این نوشته احتمالا ازسوی ارتش سایبری با حقوق بالا دعوت به کار میشی :-)
    خارج از شوخی, نوشته متین و درستی هست.

    یک سوال من اگر پسورد اول کارتم را روی بلاگم بنویسم چی میشه؟
    بدون داشتن کارت مگر کسی میتونه به حسابم دسترسی داشته باشه؟ در واقع هیچ کس هیچ آسیبی نمی بینه مگر اینکه کارتش رو از دست بده و تصادفا بدست کسی بیافته که بتونه رمزش را از بین لیست پیدا کنه.

    نظر
  38. شهرام

    جادی جان . اخلاقی بودن یا نبودن عمل این فرد ارتباطی با مصاحبه بی بی سی با اون نداره. یک رسانه می تونه با هر شخصی که فکر میکنه در ماجرایی اطلاعاتی داره مصاحبه کنه . این حرفی که شما می زنی بی بی سی حق نداره با یک مجرم مصاحبه کنه خیلی خنده داره چون اولا شما کسی رو مجرم میدونی که ممکنه افراد دیگه اونو قهرمان بدونن و هنوز دادگاهی تشکیل نشده که چنین حکمی بده و بر فرض هم که مجرم باشه مصاحبه با یک مجرم اصلا مذموم نیست. بی بی سی یا هر رسانه دیگه یی باید با تحلیل درست اطلاعات فرصت قضاوت رو برای مخاطب فراهم کنه که اتفاقا به اینجا برسیم که بگیم هر کدام در مورد این شخص و کارش چه نظری داریم.
    به نظرم اتفاقا بی بی سی در پیدا کردن این آدم و مصاحبه کردن باهاش بسیار خوب عمل کرده اما در تمام مدت مصاحبه انتظار داشتم از او این سوال را می پرسید آیا به خطر انداختن اطلاعات میلیون ها نفر برای گرفتن حق خودش یا دعوا با یک مدیرعامل شرکت روش درستی است؟ یا مثلا اگر شرکت انیاک ۳ میلیارد تومن دستمزد شما را پرداخت می کرد هم این اطلاعات را منتشر میکردی؟ دیگر مشغول زمبه سه میلیون نفر نمی شدی ؟
    البته قرار نیست همه سوالات را یک رسانه بپرسد. همه ما میتوانیم حالا که دلایل این آدم را شنیده ایم سوالتمان را بپرسیم.

    نظر
  39. امیر

    با شهرام موافقم، و در کل هم اصلاً متوجه ماجرا نشده اید! فکر نمیکنم درست باشد درباره چیزی که تخصصی است و اطلاعی نداریم (طبق اذعان خودتان) اینطور نظر بدهیم.

    نظر
  40. عطا

    جادی جان مرسی از مطلبت. با بخشی زیادی از حرف هات موافقم ولی در مورد پول گرفتن از بانک، تنها جمله ای که آقای زارع در مورد گرفتن پول از مدیران بانکی گفته ظاهرا اینه:
    ” آنها اعلام آمادگی کرده بودند که با عقد قرارداد نفوذ اخلاقی با اینجانب محل نشت اطلاعات را شناسائی و از بین ببرند. و من نیز سوال نمودم که به ازای هر کارت بانکی که اطلاعاتش را در اختیار بانک قرار میدهم آماده هزینه کردن چه مبلغی هستند؟”
    و لزوما معنیش این نیست که این آقا به ازاء هر کارت درخواست پول کرده بوده، میتونسته اینطور باشه که “احتمالا” مبلغ قراردادی که میخواستن باهاش ببندن کم بوده و با بیان اون جمله خواسته این رو بگه که ارزش کارش برای رفع اون سوراخ امنیتی بیشتر بوده و اونها به این موضوع اهمیت کافی نداده بودن . به نظر من این موضوع رو بد بیان کرده و البته که حتا اگر هم اینطور بوده کارش رو توجیه نمیکنه و کارش شبیهه انتقامه بیشتر تا خیرخواهی.

    نظر
    1. مهدی

      حتی در این صورت هم به معنی هست که فقط دنبال پول بوده و وقتی بهش گفتن بیا درستش کن قبول نکرده. من که خیرخواهی اینجا نمیبینم!

      نظر
      1. عطا

        قبول دارم خیر خواهی درش نیست. فقط خواستم اینو بگم که اون جمله ای که ازش نقل میشه احتمالا جمله صحیحی نیست.

        نظر
  41. شهریار

    “الان جوری عمل شده انگار یک نفر آدم دلسوز مشکلی رو پیدا کرده و در داخل کشوری کسی بهش گوش نداده و حالا رفته بیرون داره سعی می کنه فسادی رو افشا کنه. این آدم دلسوز نیست”
    جادی جان به نظر من دقیقا همینطوریه
    من به نحوه ای که این آقا به این اطلاعات دسترسی پیدا کرده کاری ندارم ولی مطمئن باش اگر کاملا خارج از این سیستم هم می تونست همین کار رو بکنه واکنش مسئولین (!) همین بود دقیقا

    در مورد پسورد هم که در صورتی که خود پسورد رو هم می زاشت (که البته این روش هم خیلی فرق نداره) هم به درد نمی خورد چون بدون حضور فیزیکی کارت این پسورد ارزشی نداره

    نمی دونم اینو خوندین یا نه ولی بد نیست یه نگاهی بهش بکنین
    http://ircard.blogspot.fr/2012/04/blog-post_6639.html

    نظر
  42. سینا

    جادی جان خیلی ممنونم بابت این مقاله. منم با حرفات موافقم. این شخص اصلا هکر نیست که بعضی از رسانه ها از اون به عنوان یک هکر نام می برند. اینکارش بیشتر تعرض به حریم خصوصی افراد بوده و سوء استفاده از موقعیتی که داشته.

    نظر
  43. آرش

    من کمی اطلاعات تکمیلی بدم. اینها پارسال رفتن اول هزارتا رو نشون دادن به بانک ملی و ملت
    بعد درخواست چندصد ملیون پول کرده اند. دوبانک هم با مبلغی کنار آمده اما خوب این دزدان
    گرامی دندان گرد بودند و خلاصه کنار نیامده اند و این گندی که میبینید.

    در ضمن اینها کلی POS در اختیار داشته اند. شرکت هم که لغو امتیاز شده است مدیرش هم تحت پیگرد هست

    نظر
  44. بازتاب: چرا گنو/لینوکس را دوست دارم: بررسی سال های تولد در اطلاعات افشا شده ۳۰۰۰۰۰۰ کارت بانکی

  45. mehrdad

    برام عجیبه تو این قضیه چرا جادی از جهتی نگاه کرده به موضوع که کمترین ربط رو به موضوعات مورد علاقه اون و خط مشی معمول وبلاگش داره.بهر حال در مورد نقد برنامه بی بی سی والبته تعصب جادی نسبت به کیفیت محتوای بی بی سی فارسی حرفی نیست به نظر من هم کاری نپخته و احساساتی بود ولی بیانیه صادر کردن وحکم دادن در مورد انسانها انهم بدون در نظر گرفتن شرایطی که در اون واقع شدن و اشراف کامل به اتفاقات .کاری احساساتی تر و صد البته غیر حرفه ای تره.رسانه رسانه است و سوای از محصول نهایی نباید تفاوت فاحشی بین رسالت ذاتی و اخلاقی یک وبلاگ و یک تلوزیون بین المللی
    وجود داشته باشد .
    سوای اینکه شخصااز نوع رفتار ایشان و حتی لحن نوشته هاشون وعجز ولابه و ننه من قریبم درآوردنشون بیشتر احساس تهوع کردم تا ترحم ولی انتظار دارم در جایی که چندین بار در مورد کسی مثل آسانژ صحبت
    میشه بدون هیچ نقدی و حتی با توضیح در خصوص کیفیت تجاوز جنسی ایشان سعی در تبرئه اون داریم با این جناب برنامه نویس نگون بخت رفتاری از نوع دیگر در پیش میگیریم.(انگار واقعا مرغ همسایه غاز است)
    بهر حال تا جایی که من دیدم ایشون در هیچ جایی نگفتن که هکر هستن و صد البته ادعای خیرخواهیشون هم بشدت حال بهم زننده است .ایشان اطلاعاتشون رو از نرم افزاری که برای ارتباط بین دستگاه های پایانه خرید فروشگاه ها و سرور شرکت خدمات دهنده و از انجا به سرور بانکهای عامل توسط خودشان نوشته و طراحی شده بدست اورده اند .
    نرم افزاری که مطمعنا به پیشنهاد خود ایشان بعلت اطلاعاتی که از بستر سخت افزاری و نرم افزاری شبکه مبادلات داشته اند(البته به کمک اسنادی که برای شرکت در مناقصات در اختیار شرکت کنندگان قرار میگیرد )و اطلاعاتی که از نوع رابطه و رانت حاکم بر روح قرارداد بین بانک مرکزی و کارفرمایش ونهایتا اطلاع از این واقعیت که هرگز بانک مرکزی از اهرمی به نام کنترل و نظارت استفاده نخواهد کرد
    با دور زدن اصول اولیه برنامه نویسی و حذف عامدانه سرویس های امنیتی که باید از خارج خریداری میگردیده دست به شیرین کاری و خوش خدمتی میکنند و البته صاحب پست و مقامی اجرایی در شرکت .
    از آنجایی که حق العمل شرکت در این بین بر اساس حجم ریالی مبادلات محاسبه میشود و عدد چهارده میلیون کارت بانکی موجود در سیستم بانکی ,یک شبه نتیجه دو سه ماهه فسفر سوزاندن ایشان تبدیل میشود به دستگاه چاپ اسکناس قانونی برای صاحبان شرکت که بطور شبانه روزی هم در حال کنتور انداختن بوده .
    تصور کنید احساس دوست عزیزمون رو وقتی که صبحها به سر کار میومده و با یک نگاه به تراکنش انتقالی
    ثبت شده در سیستم و یک ضرب و درصد ساده پی به حجم تولیدی سود توسط کاردستی خودش برای صاحبان شرکت میبرده !
    از نوشته های ایشان بر میاد که مدیران شرکت هم با درخواست ایشان در سهیم شدنش در کمی از این سود
    باد آورده شدیدا مخالفت میکنند (حدس بزنیند میزان حرص وتمع انسانها را)در اینجاست که دوست ما وقتی دستش رو از سفره ای که خودش پهن کرده کوتاه میبینه شروع میکنه به انجام عملیات ژانگولر بازی
    و با زدن ایمیل های ناشناس و قراردادن تعدادی از این شماره کارتها به عنوان مستوره در ایمیلها قصد داره ادای بچه باحالهای هکر تو فیلمهارو در بیاره و با فلش بک های گاه و بیگاه به سکانس آخر
    اگه میتونی منو بگیر خودش رو در لباس احتمالی مدیر امنیت تبادلات بانک مرکزی و یا معاونت راهبری سیستم در بانک ملی میدیده….که البته از شوربختی مدیرانی در این اندازه در کشور ما اصلا وقت چک کردن ایمیلهای سازمانی رو ندارن و تازه اگر ایمیل مذکور رو خونده باشن اصلان اطلاعاتی فنی در خصوص سمت اجرایشون ندارن که به عمق فاجعه پی ببرن و در نهایت با چند با ارجاع کار به دست احتمالا کارمند حراست بانک میفته که خوب اونها هم ذاتن بیشتر دنبال کارهای عملی مثل بگیر و ببند و شنود و اینجور کارها هستند که توش هیچ پولی در نمیاد و در یک مورد هم که دوستان بانکی واقعا به تصور اینکه با یه هکر کلاه خاکستری طرف هستند که میشه با چاشنی پول از افتادنش به دامان پلید کلاه سیاه های نا نجیب جلوگیری کنند وبا کمی تربیت اضافه تبدیلش کنند به کلاه سفید ساخت وطن متاسفانه طمع جناب برنامه نویس کار دستش میده و معامله به هم میخوره (درخواست مبلغی معین ضربدر تعداد سه میلیون شماره کارتی که در دست داشته اند )
    حالا دیگه علی مونده و حوضش .از اونجایی که بعضی انسانها معتقند که بدنامی بهتر است از بی نامی دست به خودزنی میکنه و الباقی قصه…………
    دراینکه رفتار جناب برنامه نویس چقدر ریاکارانه و زننده بوده هیچ شکی نیست ولی نباید فراموش کنیم که نتیجه عمل ایشان توجه جامعه و مسولان اجرایی به عمق فاجعه ای است که در زیر شالوده های مدیریت کشور در حال رخ دادن است.
    نظام کنترل و نظارت بکلی از فرهنگ مدیریتی جامعه حذف شده سرطانی به نام رانت خواری تا حتی امن ترین نهادهای پولی کشور رو آلوده کرده.هنوز دادگاه سه هزار میلیارد اختلاس(هک کردن فیزیکی سیستم بانکی)بر پاست .
    در این چند روز کدام مدیر امنیت ویافنی یا حتی حقوقی بانکهای طرف قرارداد با این شرکت از کار بیکار شده اند و یا در این خصوص توضیح داده اند
    شبیه همین اتفاق در شرکت ایرانسل در جریانه و اتفاقا این شرکت با استفاده از https بدون اعتبار و تاریخ گذشته اقدام به اتصال کاربران وایمکس به شبکه وای مکس میکرد و میکند .
    و در نهایت در عجبم که جادی با توجه به اطلاعات حرفه ای و فنی در این زمینه نگرانیش در حد حرفه ای نبودن گزارش بی بی سی است وجریه دارشدن تعصبی که نصبت به این رسانه دارد

    نظر
  46. بازتاب: چرا گنو/لینوکس را دوست دارم: بررسی سال های تولد در اطلاعات افشا شده ۳۰۰۰۰۰۰ کارت بانکی « دگرگون

  47. مجید

    من که نفهمیدم این آقا مهرداد چی میخواد بگه — اول موعظه می کنه که:
    “بیانیه صادر کردن وحکم دادن در مورد انسانها انهم بدون در نظر گرفتن شرایطی که در اون واقع شدن و اشراف کامل به اتفاقات .کاری احساساتی تر و صد البته غیر حرفه ای تره.”
    اما بعد خودش با استناد به ذم خروس هائی که همه میبینیم به همون نتیجه نویسنده مقاله میرسه:
    “دراینکه رفتار جناب برنامه نویس چقدر ریاکارانه و زننده بوده هیچ شکی نیست”

    واقعا لازمه همیشه ساز مخالف زیر بغلمون باشه؟

    راستی، پست خوب و جون داری بود. ممنون.

    نظر
    1. mehrdad

      مجید جان دلیل اینکه متوجه نشدی اینه که به یک موضوع دقت نکردی .من به عنوان یک خواننده وبلاگ انتظار دارم نویسنده محبوبم در طول و عرض منش فکریش که از توی پست هاش بیرون ریخته در طول زمان و من هم پسندیدم و مشتری شدم به کارش ادامه بده.من معتقدم این جهتی که جادی به قضیه نگاه کرده با توجه به موضوع پست که اصلا
      نقد یک برنامه تلویزیونی بوده و نه نقد آقای برنامه نویس با دیدهمیشگی اون و نظراتش درباره آزادی,اخلاق حرفه ای و…….فرق داشت چرا درباره آسانژ که کاری مشابه انجام داده بود و اطلاعات دزدی و محرمانه را منتشر کردکه البته اکثر خوانندگان هم مثل من به چشم یک قهرمان بهش نگاه می کردیم هیچ صحبتی از حریم خصوصی افراد و حتی بدتر از اون به خطر انداختن امنیت ملی کشورهای مختلف
      حرفی نزدیم .ویا در مورد هک شدن پسورد کاربران سایت ایکس باکس در هندوستان و انتشار اطلاعاتشون در وب نیز همینطور .حالا اینجا درجایی که هیچ حریم شخصی محترمی وجود نداشته و تازه معلوم شده اطلاعات حسابها و از اون بدتر حتی میزان تراکنش ها هم بدن رمز نگاری و از طریق ایمیل و حتی توسط سی دی و احتمالا توسط پیک بادپا جابجا میشده ناگهان در یک جمله بنویسیم
      ====حریم خصوصی آدم ها توسط این آدم نقض شده****
      این توهم حریم خصوصی بود که توسط ایشان نابود شد .
      و در نهایت عمدا ندیدن نتیجه بزرگی که توسط کار ایشان میتونه بدست بیاد ولو با هر نیتی حتی دزدی!
      شخصا راضی بودم اون چهل پنجاه هزار تومان الباقی حقوق کارمندی رو ایشون برده بودند ولی با این ماسک های مسخره نتیجه شیرین کارش رو تلخ نمی کرد

      نظر
      1. جادی

        مهرداد: ممنون که وقت گذاشتی دو دوبار طولانی توضیح دادی نظرت رو.

        ۱- آسانژ در اون پروژه ویکی لیکس و جریان کیبل های دیپلوماتیک اطلاعات محرمانه کشورها رو منتشر کرد و نه افراد مستقل رو. همینطور با دقت هر جنبه ای از اطلاعات که ممکن بود به ضرر یک فرد تموم بشه رو حذف کرد از داخل متن و خورد خورد بر اساس شرایط اطلاعات رو منتشر کرد. هیچ وقت هم قبل از انتشار به دولت آمریکا نگفت که من اینها رو دارم و اگر برای هر صفحه پول بدین اینها رو بهتون می دم و بعد که آمریکا بهش پول نده اونها رو منتشر کنه.

        این آدم اطلاعاتی رو که به خاطر شغلش بهش دسترسی داشته پیش بانک برده که بهشون بفروشه و اونها نخریدن و این اومده پسورد مردم رو گذاشته توی اینترنت و بعد هم مدعی کار حقوق بشری شده. اینکه توجه جلب شده به این جریان بد نیست ولی به نظرم این آدم مجرمه (همونطور که منینگ هم مجرمه) و درست همونطور که یک رسانه منینگ رو نمی یاره تنها در اخبار توضیح بده که چرا اطلاعات رو دزدیده و به آسانژ داده، این مورد هم نباید اتفاق می افتاد.

        سیستم بانکی شدیدا مشکل داشته و شرکت ها توجه نکردن و همه اینها قبول. با اینکار توجه جلب شده اینهم قبول. ولی تفاوتی در مجرم بودن این آدم از نظر من – و طبق قوانین ایران و هر جایی که قوانین سایبری داره- نمی کنه.

        اگر این آدم همین اطلاعات رو منتشر کرده بود ولی قبلش سراغ بانک ها نرفته بود که برای هر پسورد پول بگیره و اگر نمی گفت که نیازمند حمایت سازمان های جهانی است و تنها هدفش جلب توجه مردم به ناامن بودن سیستم بانکی است به نظر من کارش هنوز جرم بود ولی چیزی در حد منینگ که کیبل ها رو داد به آسانژ.

        در مورد بی بی سی هم من واقعا تعصب خاصی ندارم. اگر هم می گم می خونم منظورم اینه که ایمیل هاش صبح ها برام می یاد و سر صبحانه نگاه می کنمشون. انتقاد هم می کنم چون هر چیزی که مصرف می کنم رو با دید انتقادی مصرف می کنم. مشخصه که اگر آزادی بیان بود نظرات دیگه ای هم داشتم که فعلا نیست (:

        نظر
        1. mehrdad

          به به جناب جادی عزیز
          با با من هم که همینها رو میگم.بجز اینکه واقعا به نظزت افشای اطلاعات دولت ها خطر کمتری داره از افشای اطلاعات افراد مستقل .بیچاره سفیر عربستان داشت میرفت رو هوا به علت افشای حرف های که زذه بود.
          در مورد معامه اسانژ هم اصلا بعید نیست .اومدن ویکی لیکس بااون حیا هو و سر و صدا انتشار چیزی حدود 20 درصد اسنادی که ادعا میکردند در دست داره و تسلیم شدن به اختیار خودش در بین بهت طرفدارانش و خاموش شدن ویکی لیکس به یکباره کم بو نمیده!
          در مورد سود هم که خوب خدا پدر دنیای نسبتا آزاد رو بیامرزه و صد البته پی پال رو اگه یه روز اطلاعات مربوط به وجوه واریزی از سرتاسر دنیا به حساب ویکی لیکس منتشر بشه حتما خیلی چیزهای دیگه مشخص میشه.
          در مورد مجرم بودنش هم به نظرم بهتر یه حقوق دان نظر بده چون برگه تعهد عدم افشای اطلاعات رو پر نکرده و در زمان انتشار هم کارمند شرکت نبوده و قبلا هم با مسولین تماس گرفته و هشدار داده و به ریس شرکت هم اطلاع داده و حتی ضرب العجل مشخص کرده برای اینکه خودتون اطلاع بدید به بانک ها تا کارتها رو باطل کنند .جالب که ریس شرکت از افشای اطلاعات کارتها نگران نیست و میگه چون احتمال نشت اطلاعات از محلهای مختلغی در بیرون شرکت هم وجود داره ما میندازیم گردن دیگران .اون فقط نگرانه که ایشان با اسم خودش و شرکت انیاک این کار و بکنه .
          فقط نمی دونمچرا به راحتی در مورد سیستم بانکی و شرکت ها میگی که مشکل داشتن و قبول ولی این برنامه نویس مفلوک رو بی هیچ ارفاقی مجرم میدونی .سیستم بانکی کلاه سر کاربرانش گذاشته و حق اونها رو برای دانستن اینکه تا چه اندازه حریم خصوصی و دارایی های شخصیشون در خطره زیر پا گذاشته .
          در جایی حتی بانک ملی سر شرکت بیمه هم کلاه گذاشته و بدون روشن کردن این موضوع که کس وجود داره که ادعا میکنه به سه میلیون شماره حساب و پسورد دسترسی داره و چندهزارتایی هم واسه نمونه برامون فرستاده اقدام به بیمه کردن کارتها میکنه .
          اینهمه جرم کوتاه و بلند که البته سازمان یافته و با قصد قبلی هم بوده جلو چشمامون دارن رژه میرن
          اون وقت فقط گیر دادیم به این بیچاره که اون جوری که ترسیده اگر خودکشی نکنه طی چند روز آینده حتما وقتی پلیس بین الملل داره تحویلش میده به ایران سکته میکنه از ترس
          در مورد قوانین ایران هم که خوب مطالعه وبلاگ شخص شخیص جنابعالی هم با فیلتر شکن جرمه سایبری(:

          نظر
  48. tor

    شما اینهمه حساب و کتاب کردی و از آمار و احتمال حرف زدی اما چند نکته بسیار مهم را [عمداً؟!] ندیده گرفتی‌

    ۱. اگر کسی‌ ۳ مرتبه رمز اشتباه را بزند کارت میسوزه و فقط صأحب حساب میتواند برود درخواست کارت جدید بدهد پس احتمال‌ها بعد از ۳ مرتبه ۰% خواهد شد!!

    ۲. شماره کارت و رمز به چه دردی می‌خورد؟!! برای سؤ استفاده از کارت کسی‌ احتیاج به “خودِ کارت بصورت فیزیکی‌” است. آیا شما میتوانی‌ از خودپرداز، یا فروشگاه خرید کنی‌ بدون اینکه اصل کارت همراهت باشد؟!! برای خریدِ اینترنتی هم احتیاج به رمز دوم داری که اصلا موضوع بحث نیست، چرا که باید ۶ یا بیشتر باشد…

    ***************

    لطفا حرکت اصیل و خیر خواهانه کسی‌ را بی‌دلیل زیر سوال نبرید تا این راه برای بقیه هم هموار بماند.

    =========================

    به شخصه احساس می‌کنم خیلی‌ از منتقدان از حرکت شجاعانه و در عین حال بسیار زیرکانه این دوست عزیز شوکه شده اند. چرا که راهی‌ زیباتر از این برای اثبات حرفهایش وجود نداشت و بر خلاف تصور شما هیچ راهی‌ هم برای سؤ استفاده باقی‌ نگذشته است.

    نظر
    1. جادی

      چطور حرکتش رو اصیل می دونی وقتی بانک گفته حاضره پول بده و مشکل امنیتی رو ببینه ولی این دوستمون گفته این قبول نیست و می خواد برای تک تک پسوردها پول بگیره ؟ (: برای بقیه سوال هات متن رو بخون (:

      نظر
    2. tor

      این موضوع رو شما از خودت ساختی و مدام هم روش مانور میدی…

      ***

      هیچ جا نگفته که برای تک تک پسوردها پول می‌خواد + اگه واقعا پول می‌خواست، ۱۰۰۰ تا کارت رو میگذاشت توی سایتش، نه… ده هزار تا، نه ۵۰ هزار تا که حرفش اثبات بشه نه اینکه بیاید ۳ میلیون بگذاره

      ***

      +

      این شخص واقعا تخصصی رو داره که تعداد انگشت شماری آدم دارند، یعنی‌ بنظرت میشد این خدمت رو به بانکِ مرکزیِ دزد!! [یادتون باشه اون موقع که این بنده خدا حرفش رو میزنه، جناب خاوری رئیس بودند] بکند و بگوید برای رضای خدا کردم؟! پول هم نمی‌خوام!!

      اگه به یکی‌ از افراد حرفه یی در هـــــــــــــــــــــــر رشته‌ای یک صحبت کوتاه بکنید، بهتون میگه: بزرگترین اشتباه حرفه یی اینه که در قبال کاری که میکنی‌ و تخصصت هست، پولی نخوای یا کمتر بخوای، این یعنی‌ اینکه “من به اندازه کافی‌ خوب نیستم”

      تمام این حرفها رو بگذار پیش هم ببین چقدر، نقد ت غلطه

      نظر
  49. ar

    اینا رو یکی از رفقا شر کرده بود تو فیس‌بوک:
    http://way2pay.ir/%D8%AF%D8%B1-%D9%85%D8%A7%D8%AC%D8%B1%D8%A7%DB%8C-%DB%B3-%D9%85%DB%8C%D9%84%DB%8C%D9%88%D9%86-%DA%A9%D8%A7%D8%B1%D8%AA-%D8%A8%D8%A7%D9%86%DA%A9%DB%8C%D8%8C-%DA%86%D9%87-%DA%A9%D8%B3%D8%A7%D9%86%DB%8C/
    http://way2pay.ir/10-%DA%86%DB%8C%D8%B2-%DA%A9%D9%87-%D8%AF%D8%B1-%D9%85%D9%88%D8%B1%D8%AF-%D8%A7%D9%81%D8%B4%D8%A7%DB%8C-%D8%A7%D8%B7%D9%84%D8%A7%D8%B9%D8%A7%D8%AA-%DA%A9%D8%A7%D8%B1%D8%AA%E2%80%8C%D9%87%D8%A7%DB%8C/

    یه موردی هم هست.
    شرکت سرویس‌دهنده pos اصلاً قرار نیست authentication ای صورت بده، فقط قراره اطلاعات رو بفرسته به سرور صاحب کارت برای تأیید. یعنی اصلاً این‌که این‌ها داشتن اطلاعات کارت و پسورد رو ذخیره می‌کردن کار عجیبیه. یعنی خیلی بعیده که یه نفر همین‌جوری بدون قصد سوء بیاد پسورد مردم رو نیگر داره. خود بانک هم فک نمی‌کنم اصل پسورد رو نگه داره. فک کنم کار معمول اینه که هش پسورد رو نگه می‌دارن اصلاً.

    یه موردی هم در مورد این‌که این کامنت بالایی می‌گه اصل کارت باید باشه. کپی کردن کارت خیلی تکنولوژی پیچیده‌ای نداره تا اون‌جایی که می‌دونم. اگه اشتباه نکنم یه نوار مغناطیسی داره و یه سری اطلاعات مشخص توش ذخیره می‌شه، من جمله اسم طرف و شماره‌ی کارت. یه استاندارد ایزو نمی‌دونم چند داره فک کنم، این‌که چی رو چه‌جوری باید توش نوشت مشخصه. حالا من نمی‌دونم که بانک‌ها چه جوری authenticate می‌کنن، ولی استبعادی نداره که فقط با پسورد و شماره‌ی کارت باشه (یعنی منطقی‌ش اینه که همینا باشه فقط).
    اگه درست یادم باشه یه اپیزود سی‌اس‌آی بود که یه یارویی دوربین گذاشته بود بغل ای‌تی‌ام و شماره کارت و اینا رو می‌خوند و خودش اون‌طرف‌تر نشسته بود تو ماشین و کارت کپی می‌کرد. (البته قضیه یه کم پیچیده‌تر از دوربین گذاشتن بود فک کنم، ولی حالا کار نداریم D: )

    نظر
  50. joker

    سلام

    یه مشکلی هست با این متن، اگه بخاطر پول این کارو کرده باشه فکر نمیکنی میتونسته غیر از بانک به کسای دیگه هم بفروشه؟؟

    یا اینکه بدون اینکه اسمش بخواد درز کنه حسابارو به هم بریزه؟ در ضمن اگه کسی رمز کارتش اونطوری که شما توضیح دادی ساده باشده دیگه برای کپی کردن کارتش دیگه کسی احتیاج نداره از رو اون وبلاگ پسوردو پیدا کنه

    ولی خیلی باهات سر اینکه یه طرفه حرف زد تو BBC و اینکه باید چندتا حرفه ای هم صحبت میشد موافقم.

    نظر
    1. جادی

      جوکر: خودش صریحا می گه رفت پیش بانک و بانک قبول کرد پول بده مشکل امنیتی رو ببینه ولی این گفت که به ازای هر پسورد که به بانک بده چقدر پول می دن و اونها جواب ندادن.

      نظر
  51. سینا

    جادی جان با اکثر حرفات موافقم ولی عملا جوابی به کامنت دوم tor نداری!
    بعد از اینکه با بانک صحبت می‌کنه اونا می‌گن بیا راه‌حل دقیق رو بگو تا ما بهت پول رو بدیم. بعد اون می‌پرسه شما چقدر حاضرین برای هر پسورد پول بدین، اما با توجه به context متنش دقیقا معلوم نیست که آیا واقعا از بانک‌ها درخواست مبلغی به ازای هر پسورد کرده، یا اینکه می‌خواسته به مخاطبان پستش بگه که بانک‌ها حتی حاضر نیستند که n تومن به ازای هر حساب بدند.
    از طرفی خودش در ادامه اشاره می‌کنه که بهش گفتن با فلانی تماس بگیر، ولی چون طرف تیز بوده می‌فهمه که ارتش سایبری رو فرستادن دنبالش (البته اگه من هم جای بانک بودم همین کار رو می‌کردم). در نتیجه عملا گرفتن پول به ازای هر حساب براش غیر ممکن می‌شه. این آدم حتی اگر قانع هم می‌بود و حاضر می‌شه به ازای گرفتن پول کمی با بانک برای رفع مشکل همکاری کنه، به دلایل سو استفاده از موقعیت شغلی‌اش و اطلاعات محرمانه باز هم مجرم محسوب می‌شد و بعد از اینکه به بانک‌ها کمک می‌کرد، احتمالا نه تنها پولی گیرش نمی‌اومد بلکه بازداشت هم می‌شد. حداقل در اون شرایط با اون همه دزد در راس مدیریت بانکی کشور، اگر هیچ کسی هم باهاش کاری نمی‌کرد، مافیای انیاک با رانتی که داشت به راحتی کله‌پاش می‌کرد.
    پس کاری که اون کرده عملا تنها کاری بوده که می‌تونسته حداقل برای انتقام‌گیری بکنه. درست مثل کسی که در کمال ناامیدی دست به عملیات انتحاری می‌زنه.

    نظر
  52. tor

    این موضوع رو شما از خودت ساختی و مدام هم روش مانور میدی…

    ***

    هیچ جا نگفته که برای تک تک پسوردها پول می‌خواد + اگه واقعا پول می‌خواست، ۱۰۰۰ تا کارت رو میگذاشت توی سایتش، نه… ده هزار تا، نه ۵۰ هزار تا که حرفش اثبات بشه نه اینکه بیاید ۳ میلیون بگذاره

    ***

    +

    این شخص واقعا تخصصی رو داره که تعداد انگشت شماری آدم دارند، یعنی‌ بنظرت میشد این خدمت رو به بانکِ مرکزیِ دزد!! [یادتون باشه اون موقع که این بنده خدا حرفش رو میزنه، جناب خاوری رئیس بودند] بکند و بگوید برای رضای خدا کردم؟! پول هم نمی‌خوام!!

    اگه به یکی‌ از افراد حرفه یی در هـــــــــــــــــــــــر رشته‌ای یک صحبت کوتاه بکنید، بهتون میگه: بزرگترین اشتباه حرفه یی اینه که در قبال کاری که میکنی‌ و تخصصت هست، پولی نخوای یا کمتر بخوای، این یعنی‌ اینکه “من به اندازه کافی‌ خوب نیستم”

    تمام این حرفها رو بگذار پیش هم ببین چقدر، نقد ت غلطه

    نظر
  53. Hamed

    در مورد احتمال پیدا کردن پسورد از بین عدد 14 رقمی گذاشته شده در وبلاگ آقای زارع -در صورت دزدیده شدن یک کارت و برای سوء استفاده از طریق خودپردازـ به راحتی این احتمال 100 در 100 هستش و نه حتی 99 در 100.
    چرا که اگه شما به جای اینکه 3 بار پسورد غلط رو وارد کنی، فقط 2 بار این کار رو بکنی و به جای وارد کردن پسورد برای بار سوم کارت رو بیرون بکشی و دوباره امتحان کنی نه کارتت ضبط میشه و نه میسوزه. به همین راحتی 100 در 100 پسورد یک کارت دزدیده شده بدست میاد.

    نظر
  54. آراهاتا

    سلام

    بر برخی نظرات شما ایراداتی جدی وارده. نخست، این فرض که مشکل شرکت فناوران انیاک مشکل امنیتی نیست و مشکل روال های فراسیستمیه:
    {درسته که باید جلوش گرفته می شد ولی کار ایشون اصلا به این معنی نیست که یک آدم غیرمورد اعتماد هم می تونست به همین اطلاعات دسترسی داشته باشه. پس این الزاما یک حفره امنیتی نیست بلکه مشکل امنیتی پروسه های مبتنی بر اعتماد به افراد دخیل در سیستم است.}
    اگر به جزئیات بیشتر این ماجرا رجوع کنیم خواهیم دانست که یک قاعده ساده سیستمی در این شرکت نقض شده و اون ذخیره کردن رمز عبور کارت ها در لاگ های سیستمه. در لاگ نباید رمز عبور اساسن ذخیره بشه و به نظر میرسه این یک سوء استفاده آگاهانه و عمدی و نقض صریح پروتل های اولیه برنامه نویسیه. مثل اینکه هنگام ورود و خروج افراد و کشیدن کارت حضور و غیاب، میزان حقوق دریافتی شما هم توسط برنامه نویس مربوطه لاگ بشه. و کارمندان همکاران سیستم هم بتونن لاگ دیتابیس رو کپی کنن ببرن. این ضعف بیزنس لاجیکه و صددرصد نقض اصول امنیتی توسط برنامه نویس و طراح سیستمه. (اگر اساسن سیستم طراح داشته باشه!!) بیزنس لاجیک یکی از مولفه های ایمنی نرم افزاری که برای اطلاعات بیشتر و در صورت تمایل میتونم لینک برخی از این استانداردها رو با دوستان به اشتراک بذارم. البته بگذریم از کارفرما که باید این ها رو به عنوان ATP یعنی تست پذیریش سیسستم در نظر بگیره و فعلن فرض رو بر تعطیلی بخش نظارت کارفرما در نظر می گیریم.

    نکته بعدی اینکه قرار نیست در یک سازمان که مسوولیت مهم یا خاصی رو عهده دار شده همه افراد به اطلاعات محرمانه دسترسی داشته باشند و مبنا طبق آنچه در برخی نظرات دیده میشه اعتماد به افراد باشه. در این شرکت ظاهرن برنامه نویس ها، افراد فنی مسوول شبکه، یا هر فردی که به نوعی میتونسته اونجا به شبکه دسترسی داشته باشه به این لاگ ها و دیگر اطلاعات محرمانه دسترسی داشتن. این موضوع هم یک مشکل امنیتی برای خود سیستم و نرم افزاره چون طبق استاندارد های امنیتی، یک نرم افزار امن باید دو مولفه authorization و authentication رو به درستی مدیریت کنه. همچنین جایی که به ذخیره سازی اطلاعات محرمانه مثل رمز عبور نیاز است (اگر واقعن نیاز باشه که طبق مصوبات قانونی کشور ما که از سال 83 لازم الاجرا بوده این رمزهای کارت ها نباید در هیچ یک از مسیرهای انتقال به صورت متن ساده ذخیره بشه) این اطلاعات باید در پایگاه داده مطمئن ذخیره سازی شده و در داخل پایگاه داده هم از پروتکل های cryptography استفاده بشه. اما این کافی نیست. بلکه رمزهای عبور همیشه و همیشه و همیشه بدون استثنا باید به طور یک طرفه hash بشه. یعنی از تابع hash رمز عبور که در پایگاه داده ذخیره میشه به هیچ وجه نتوان ورودی که رمز عبور باشد را به دست آورد. یعنی اگر حقوق شما را هم قرار بود لاگ کند (که جای این پرسش باقی است چرا باید لاگ کند) آنرا با توابع ریاضی که اثبات شده یک طرفه هستند درهم برهم کند و مثلن از یک رمز 4حرفی یک رشته یکتای 32کاراکتری بسازد. این ها همه نقض اصول مسلم نرم افزاری توسط این شرکته که ظاهرن توسط افشاگر خسرو زارع گوشزد شده ولی توجهی به اون نشده و به گفتن همه جای مملکت همینه بسنده شده :)

    در مورد انتشار رمزهای عبور هم اساسن فرض کنیم بتوانیم رمز همه کارت ها رو هم داشته باشیم. بدون داشتن خود کارت، یعنی کارت مغناطیسی، امکان سوء استفاده برای افراد عادی میسر نخواهد بود مگر دسترسی فیزیکی به اون کارت. پس احتمال داشتن کارت توسط فردی غیر از صاحب کارت رو هم باید در اون 3/11 (احتمال صحیح) ضرب کرد. و اقدام برای تغییر رمزی که در این افشاگری از مردم خواسته شده به راحتی تونسته این احتمال دسترسی فیزیکی به کارت رو هم به نحو چشمگیری به صفر نزدیک کنه. احتمالی که قبل از افشاگری هم صفر نبوده چون شما رمزتون رو هنگام خرید در اغلب موارد آنقدر بلند اعلام می کنید که همه حاضرین در فروشگاه یا سوپرمارکت بشنوند! اما حتی با فرض جعل کردن کارت های مغناطیسی (توسط افراد معدودی که امکانات خاص دارند) نیاز به cvv2 و تاریخ انقضا خواهیم داشت که توسط افشاگر در دسترس عموم قرار داده نشده بنابراین صرف داشتن یک شماره 16 رقمی و یک شماره 4 رقمی امکان شبیه سازی و جعل کارت برای افراد حتی توانمند میسر نخواهد بود و تنها ریسک همان ریسک دسترسی فیزیکی به کارت است که قاعدتن توسط خودی ها (یعنی مثلن افراد درجه یکی که میتونن دست در جیب شما بکنند و شما را می شناسند یا قصابی و سوپری محل که مرتب از آنجا خرید می کنید) قابل بهره برداری است.

    البته یک ریسک دیگر شبیه سازی “کشیدن کارت” است که با نرم افزار قابل انجام است و طبق اونچه خسرو زارع فرید به عنوان یک فرد مطلع اعلام کرده بدون داشتن cvv2 و تاریخ انقضا غیرقابل شبیه سازی است. دلیلش هم این است که همراه شماره کارت و رمز عبور، یک توکن دیگر که از cvv2 و تاریخ انقضا ساخته می شود به سمت سوئیج های مرکزی ارسال خواهد شد.

    به هر حال با عنایت به جنبه مثبت این اقدام که افشاگری است و در دنیای امنیت آی تی هم نظایر بسیار داشته (به داستان آقای مایکل لین در شرکت مشاور امنیت سیسکو میتوانید رجوع فرمائید یا حتی ماجرای اتاق شماره 19 در مرکز زیرساخت ایالات متحده که وظیفه شنود اینترنت در ایالات متحده در سال 2001 و به دستور جورج بوش را داشت و یک فرد داخلی به دلیل نقض حقوق اساسی و حریم شخصی یا همون privacy مردم دست به افشاگری زده بود) و اساسن با اخلاقیات هکرهای حرفه ای چندان ناسازگار نیست کار ایشون رو دارای جنبه های مثبت بسیار و البته جنبه های منفی که قابل اغماض است می بینم. در مورد فروش هم که اشاره کردید به نظر حقیر مطلب شما که البته وزین و مفصل است و نیز برخی نظرات دوستان، کمی با احساسات و قضاوت های شخصی همراه است؛ اینکه ایشون قصد اخاذی و پول گرفتن دارد چندان پخته و سنجیده و مطابق با واقع نمی تواند باشد چون اگر چنین قصدی مطرح بود امکان امضاهای آنچنانی و دریافت پول های بیشتر قبل از این کار وجود داشته و در بسیاری از کشورها هکرها برای انجام کارهای حرفه ای خود donation می پذیرند چه برسه به ایشون که می توان شرایط سختی که توش قرار گرفته رو درک کرد و کمک و حمایت مالی چه بسا می تونه کاری اخلاقی و پسندیده باشه و البته چنین مباحثی جایی در یک نفد فنی و تخصصی نداره و قضاوت ها رو باید به جای دیگری و فضای دیگری واگذار کرد.

    موفق باشید

    نظر
  55. مجید

    من این برنامه بی بی سی رو ندیدم. با اینکه این آقا چه قصد و نیتی داشته هم کاری ندارم. چیزی که این وسط به نظر من واضحه اینه که مشکل بر خلاف گفته شما خیانت در امانت یک کارمند نیست بلکه مشکل یک ضعف امنیتی فاحش در سیستم بانکی است که اگر کمترین نظارتی توسط بانکها بر روی این شرکت پیمانکاری وجود داشت حتما تا به حال کشف میشد ولی از آنجا که مانند بقیه مسائل در ایران بطور قریب به یقین این شرکت هم در هنگام انتخاب به عنوان پیمانکار و هم در ادامه کارش با استفاده از روابط و پرداخت رشوه های کلان به مدیران بانکها به فعالیت می پرداخته عجیب نیست که چطور چنین مشکلی تا کنون حل نشده باقی مانده است. من شما رو فردی آشنا با مسائل امنیتی می دونستم و برام عجیبه که چطور به این مسائل اشاره ای نکرده اید.
    اولین و بزرگترین مشکل امنیتی ذخیره اطلاعات حساس مانند شماره و رمز کارت ها در یک شرکت واسط است. این اطلاعات قاعدتا باید تنها توسط بانک نگهداری شوند و از طریق سرویسهایی در اختیار شرکتهای واسط مثل انیاک قرار گیرند و این شرکتها به هیچ وجه حق ندارند این اطلاعات را ولو بصورت رمز شده و برای مدت کوتاه در پایگاه داده های خود ذخیره کنند. مشکل بعدی نحوه ذخیره سازی این اطلاعات است که بصورت Hash نشده ذخیره شده اند که واقعا از لحاظ امنیتی احمقانه است. اگر بصورت Hash شده ذخیره میشد حتی با وجود ذخیره در پایگاه داده و دسترسی ایشون به اطلاعات بازهم نمیشد رمزها را بازیابی کرد. مشکل سوم عدم کنترل دسترسی کارمندان شرکت به این اطلاعات است که البته شاید با توجه به پست ایشون در این شرکت دسترسی به پایگاه داده چندان عجیب نباشد ولی عدم کنترل عملکرد ایشون که به راحتی توانسته است کل اطلاعات را کپی کرده و از شرکت خارج کند یک ضعف امنیتی بزرگ است.
    به هرحال به نظر من قصد ایشون هرچه بوده با این کارش خدمت بزرگی انجام داده. البته افشای رمز کارتها با آن شکل مسخره به هیچ وجه کار درستی نبوده و همانطور که شما ذکر کردید نقض حریم خصوصی محسوب می شود.

    نظر
  56. ناشناس

    یعنی آرزو به دل موندم، تا آخر یکی این احتمال رو درست حساب کنه :)
    11 تا جا داریم
    میشه 1/11+ 1/10+1/9 که میشه 0.3020202020202020202020202020202
    و به عبارتی جواب 3/11 غلطه (چون هر دفعه که یکی از این 11 تا رو امتحان می کنیم و غلط در میاد، دفعه ی بعد تو لیست انتخاب مون نیست)
    جادی عددت درسته :)، ولی تعداد جاها و راه حل ات غلطه ;)

    نظر
  57. مصطفی محمدی

    “آقای زارع این اطلاعات رو از طریق پست مدیریتی در شرکت اجرا کننده پروژه به دست آورده نه به عنوان یک آدم فنی مستقل. خودش هم چند بار توضیح می ده که کسانی به این اطلاعات دسترسی داشتن که پیمانکاران همون شرکت بودن. اینکار خیانت در امانت است.”
    این نظر شما اشتباهه، اگه موضوع خیانت در امانت بود که طرف به خودش جرات نمی داد داخل ایران باج خواهی کنه! مطمئنا همونطور که طرف ادعا می کنه موضوع یک حفره امنیتی‌ه که بالا دستی هاش موضوع رو پیگیری قانونی نکردن.
    بعلاوه چرا اینقدر روی این شخص مانور می دین؟ اصلا این زارع یه دزد بوده مثل بقیه شون و بهش سهم ندادن، رفته خارج! (با توجه به سمتی که داشته واقعا یک تومور حماقتی باید داشته باشه که همچین کاری کرده باشه) چه تاثیری در اصل قضیه داره؟ شما گفتگوی طرف رو با بالا دستی اش روی وبلاگ گذاشته، گوش بده. کاملا معلومه نقل و انتقالات الکترونیکی روی هوا انجام میشه و بالا دستی اش حتی سعی نمی کنه این موضوع رو تکذیب کنه و خودش هم اعتراف می کنه که این موضوع ادعای زارع رو تایید می کنه.
    حالا شما بیا هی پشت سر این طرف صفحه بزار و بگو اِلِ بِلِ جیم بِلِ
    حساب بانک ملی اینجانب هم توی وبلاگ بود، اتفاقا فردا صبح اش سر کلاس بودیم با ناراحتی به یکی از هم کلاسی هام که توی شرکت سداد کار می کنه زخم زبون زدم. یک مدت با هم بحث کردیم، یک جای بحث برگشت و گفت: “شما رمز ات رو میدی فروشنده برات کارت می کشه، حالا برات چه فرقی می کنه که رمز ات رمز نگاری بشه بره پایانه و تراکنش انجام شه یا چه می دونم تو log پُز باشه یا نباشه!” من هم راست اش رو بخوای دهن ام بسته شد. تو مملکتی که هر بار خرید الکترونیکی می کنم، مجبورم پسورد ام رو به فروشنده بگم، نگران این باشم که زارع هم پسورد من رو داره؟

    نظر
  58. بازتاب: گزاره‌ها » لینک‌های هفته (۸4)

  59. بازتاب: گزاره‌ها » لینک‌های هفته (84)

  60. بازتاب: گزاره‌ها » لینک‌های هفته (84)

  61. شهرام

    خسته شدم از خوندن این همه کامنت

    اما لازمه بدونید که گوگل وبلاگ ایشون رو حذف کرده و فقط کش اون موجوده
    و این یعنی که دنیا اینقدر هم بی در و پیکر نیست

    نظر
  62. وفا

    حالا یه سوال، من رمز کارت و رمزم رو میزارم اینجا.
    در حالت عادی کدوم یکی از شما ها میتونید ازش استفاده کنید؟
    کجای سیستم بانکی ایران با این دو پارامتر میشه خرید کرد؟

    نظر

اظهار نظر کنید

آدرس ایمیل شما فاش نخواهد شد. بخش‌های ستاره‌دار * الزاما باید پر شوند.

*

شما میتوانید از تگ‌هایHTML استفاده کنید: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>