سلام،
امروز یکی از بستگان با من تماس گرفت و گفت یه نفر باهاش تماس گرفته و به بهانه برنده شدن در قرعه کشی فلان ازش اطلاعات گرفته. شماره دو کارت که خوشبختانه موجودی نداشته و چند تا اس ام اس احراز هویت که متاسفانه برای شخص کلاهبردار خونده شده.
اسکرین شات اس ام اس هارو ازشون گرفتم، چندتا از اسکرین شاتها مربوط به کارت به کارت بود و دو اس ام اس برای فعال سازی برنامه های انجام عملیات بانکی.
هر دو برنامه رو روی گوشی خودم نصب کردم و با شماره موبایل ایشون فعال کردم. برنامه اول توی تنظیمات، نشست هارو زده بود، یه اسکرین شات از مشخصات شخصی که قبلا وارد حساب ایشون شده بود گرفتم که شاید بعدا تاریخ ورود یا مشخصات گوشیش به درد بخوره و بعد هم اون نشست رو بستم.
توی برنامه دوم هرچه قدر گشتم چنین چیزی رو پیدا نکردم. با پشتیبانی تماس گرفتم و گفتن چنین امکانی ندارن و باید به پلیس فتا درخواست داده بشه تا اونا بهشون نامه بزنن و حساب رو ببندن. بهشون گفتم که صاحب یه حساب باید حق داشته باشه به هر دلیلی حساب خودش رو ببنده و شما با این کار عملا دارین کارشکنی میکنین و بیشتر برنامه ها مخصوصا برنامه های مالی قابلیت کنترل نشست (Session) رو دارن. حرف های من فایده نداشت و گفتن همینه که هست. حالا مشکل اینجاست که این برنامه فقط مخصوص کارهای بانکی نیست و کلی امکانات دیگه مربوط به خدمات پلیس الکترونیک و … هم داره که طبیعتا درست نیست یه نفر بهشون دسترسی داشته باشه.
جای تاسف داره که یه برنامه نویس نمیفهمه برای یه برنامه حساس باید چه امکانات امنیتیای رو پیاده سازی کنه و در بیسیک ترین حالت حداقل امکان حذف حساب کاربری رو فراهم کنه که اگر کسی قبلا بدون اجازه وارد شده و امکان مدیریت Session ها نیست، بشه با حذف حساب شخص رو از سیستم خارج کرد.