۱۳۹۱ اردیبهشت ۲۴, یکشنبه

A letter from my readers

Dear Mr. Zarefarid,

I have been tracking your blogs content in recent weeks in detail and hereby I would like to express my wholehearted appreciation to your great work of revealing this long-term huge security problem/hole in our e-banking system.The problem which has been tightly hidden and/or ignored by a chain of managers in different hierarchy levels and at least for 1.5 decades unfortunately*. The sample you locally exposed from Eniac, could show the big picture of the problem as well and was quite eye-opening.Your honestly supportive and clear technical explanations about the dimensions of the problem, that bravely announced, is highly admirable.

Based on my technical background, after reading your first blog posts and doing some deeper technical investigations on this issue, via some close friends at banking system, soon I found that you are exactly right.Also special thanks for your last post concerning ISC Switch, which somehow made my technical puzzle on this issue(also a catastrophe in ISC) complete.

Wish you the best in your bright way. May God bless and protect you and your family.

Kind regards,

۱۳۹۱ اردیبهشت ۱۵, جمعه

ازسه میلیون حساب حتی یک ریال کم نشده

هفته نامه آسمان از زبان مدیر اداره نظام های پرداخت بانک مرکزی جزئیات تازه ای از سرقت اطلاعات سه میلیون کاربر بانکی را فاش کرده است.بیست و پنج فروردین، اطلاعاتی در یک وبلاگ منتشر شد که در نگاه اول حاکی از انتشار رمز کارت های سه میلیون مشتری بانکی بود. در همین رابطه هفته نامه آسمان با ناصر حکیمی، مدیر اداره نظام های پرداخت بانک مرکزی گفت و گو کرده است. بخش هایی از این گفت و گو به شرح زیر است:


روز چهار شنبه حدود 3 روز پیش یک تیم پایش در بانک مرکزی اخباری را دریافت کرد که طی آن یک شخص از کارکنان شرکت ارائه دهنده خدمات پرداخت بانکی ادعا کرد که اطلاعات بانکی برخی از دارندگان کارت بانکی را منتشر کرده است. وبلاگی هم شناسایی شد که گویا اطلاعات خاصی را در اینترنت منتشر کرده بود. باید تاکید کنم که کار این تیم همیشگی است و مختص به این یک مورد نیست. بنابراین رصد اطلاعاتی که در مورد نظام بانکی رد و بدل می شود کار این تیم است. به هر حال روز پنجشنبه تیم رصد اطلاعات بین بانکی این وبلاگ را به عنوان یک «تهدید امنیت شبکه» معرفی کرد و روز جمعه اطلاعیه بانک مرکزی در مورد تغییر رمز کارت های بانکی منتشر شد. در واقع پروسه ای که شما از آن به عنوان یک شوک یاد می کنید به این صورت بود.
 فیلتر کردن سایت یکی از کارهای بانک مرکزی بود. اما در این رابطه کارگروهی تشکیل شد و پس از بررسی ها مشخص شد که این فرد اطلاعاتی را از طریق فعالیت در شرکت ارائه دهنده خدمات پرداخت منتشر کرده است که اساسا اهمیتی برای امکان سوءاستفاده از حساب های بانکی افراد وجود ندارد . بررسی های بعدی نشان داد که از 160 میلیون کارت بانکی صادر شده هیچ کدام برداشتی صورت نگرفته است.
 هیچ گونه نفوذ و برداشتی از حساب های مردم صورت نگرفته است. ادعای شخص در وبلاگش صرفا از طریق گزارشات روزانه مردم بوده است، سهل انگاری مدیریتی یا نرم افزاری در یک شرکت خصوصی که عهده دار خدمات پایانه های فروش بود باعث این اتفاق شد.
این که فرد مدعی به مدیران بانک ها این موضوع را اطلاع داده را باید از خود مدیران بانک ها بپرسید. ایشان به ما چیزی را اعلام نکرده است.
ببینید به هر حال ما هم در بانک مرکزی بیکار ننشسته ایم. رویه های مدیریتی در سال قبل از سوی بانک مرکزی در این شرکت ها اصلاح شد اما طرح هایی نیز وجود دارد که ضمانت های اجرایی این شرکت ها را از طریق سیستم های رصد، پایش و استانداردسازی کامل عملیات در داخل شرکت ها و سوئیچ های کارت ها اصلاح کند.

• متن کامل گفت و گو با مدیر اداره نظام های بانک مرکزی از هیچ حسابی برداشت نشده است

۱۳۹۱ اردیبهشت ۱۴, پنجشنبه

I did not publish confidential information


I did not publish confidential information on my weblog. You can read my text in
I am not hacker
After my alarm in public networks Iranian banks forced to change all of this cards. All card numbers in my weblog are not valid now. Card numbers are different than account numbers in Iran. And I secured PIN by hiding it in a another random number. So my weblog was for a great alarm to card holders about danger that threats their accounts. Nobody cannot to misuse card numbers alone. There was not any another information like Name or Account Number and else in my weblog. Using pins without track2 information of cards is not possible too. I had track2 information too but I had sent them to bank managers. and I did not publish them in public network.
My action was a 'whistle blowing' and this action must to be protected from any law for freedom of news and protecting whistle blowers.

۱۳۹۱ اردیبهشت ۱۲, سه‌شنبه

Help me to get back my weblog

I know that google is blocking my weblog by a wrong decision. I need to get help from free reporters all around the world. My weblog was for warning of a great threat to accounts of card holders in Iran. Please help me to get my weblog back.

ircard.blogspot.com

Thanks to Kevin Townsend for supporting me.