مشکلات برنامه‌های بانکی - مراقب باشید

سلام،
امروز یکی از بستگان با من تماس گرفت و گفت یه نفر باهاش تماس گرفته و به بهانه برنده شدن در قرعه کشی فلان ازش اطلاعات گرفته. شماره دو کارت که خوشبختانه موجودی نداشته و چند تا اس ام اس احراز هویت که متاسفانه برای شخص کلاهبردار خونده شده.

اسکرین شات اس ام اس هارو ازشون گرفتم، چندتا از اسکرین شات‌ها مربوط به کارت به کارت بود و دو اس ام اس برای فعال سازی برنامه های انجام عملیات بانکی.
هر دو برنامه رو روی گوشی خودم نصب کردم و با شماره موبایل ایشون فعال کردم. برنامه اول توی تنظیمات، نشست هارو زده بود، یه اسکرین شات از مشخصات شخصی که قبلا وارد حساب ایشون شده بود گرفتم که شاید بعدا تاریخ ورود یا مشخصات گوشیش به درد بخوره و بعد هم اون نشست رو بستم.

توی برنامه دوم هرچه قدر گشتم چنین چیزی رو پیدا نکردم. با پشتیبانی تماس گرفتم و گفتن چنین امکانی ندارن و باید به پلیس فتا درخواست داده بشه تا اونا بهشون نامه بزنن و حساب رو ببندن. بهشون گفتم که صاحب یه حساب باید حق داشته باشه به هر دلیلی حساب خودش رو ببنده و شما با این کار عملا دارین کارشکنی می‌کنین و بیشتر برنامه ها مخصوصا برنامه های مالی قابلیت کنترل نشست (Session) رو دارن. حرف های من فایده نداشت و گفتن همینه که هست. حالا مشکل اینجاست که این برنامه فقط مخصوص کارهای بانکی نیست و کلی امکانات دیگه مربوط به خدمات پلیس الکترونیک و … هم داره که طبیعتا درست نیست یه نفر بهشون دسترسی داشته باشه.

جای تاسف داره که یه برنامه نویس نمی‌فهمه برای یه برنامه حساس باید چه امکانات امنیتی‌ای رو پیاده سازی کنه و در بیسیک ترین حالت حداقل امکان حذف حساب کاربری رو فراهم کنه که اگر کسی قبلا بدون اجازه وارد شده و امکان مدیریت Session ها نیست، بشه با حذف حساب شخص رو از سیستم خارج کرد.

1 پسندیده

امیدوارم مشکل خاصی پیش نیاد و هرچی که هست، برطرف بشه.

احتمال اینکه برنامه‌نویس این چیزا رو فهمیده باشه ولی مدیرها به خاطر یه سری چیزهای دیگه جلوشو گرفته باشن خیلی بیشتره!
مثلا اینکه یه مدیری بگه «من نمیخوام کسی که اکانت میسازه، بتونه اکانتشو ببنده. همینه که هست. حرف حرف منه. برو به کارت برس»
یا «من نمیخوام یه نفر اکانت بسازه یه کاری بکنه بعد اکانتشو ببنده و نتونیم پیگیری کنیم و پیداش کنیم و بدیمش دست مراجع قضایی»

1 پسندیده

چیزی که میگی برای حذف اکانت به ذهنم رسیده بود و منطقیه. ولی چرا اون مدیر نباید بخواد Session ها مدیریت بشه؟