پایگاه خبری اقتصادی و تحلیلی نیوزبانک

جستجو

توضیح شرکت کاسپین درباره مطلب «اینترنت بانک» پارسیان

خبرهای بانکی- با توجه به درج مطلب حفره امنیتی در «اینترنت بانک»، بانک پارسیان، روابط عمومی شرکت کاسپین ساعاتی پیش جوابیه‌ای ارسال کرده است.

یک حفره امنیتی در «اینترنت بانک» این بانک وجود دارد که ممکن است برای کاربران آن مشکل امنیتی ایجاد کند.

به گزارش خبرهای بانکی به نقل از رده، معمولاً کاربران با ارسال نام کاربری (Username) و کلمه عبور (Password) وارد «اینترنت بانک» می‌شوند تا این مشخصات از ورود کاربرهای غیر مرتبط به صفحه بانکی جلوگیری ‌کند، برای امنیت اطلاعات کاربران لازم است بعد از هر بار ورود، هنگام خروج (Log Out) یا بستن مرورگر یا زبانه مرورگر (Tab) اطلاعات ذخیره‌شده در کوکی و سمت سرور Session  کاربر پاک‌شده و تا دیگر با واردکردن همان آدرس (URL) امکان دسترسی به صفحه‌ای که پیش‌ازاین به آن ورود شده، وجود نداشته باشد. به این عمل اصطلاحاً خروج از سیستم (Logout) گفته می‌شود.

مشکل «اینترنت بانک» بانک پارسیان چیست؟

اما «اینترنت بانک» بانک پارسیان نسخه 1.2.3.0 دقیقاً از همین جا دچار مشکل یا باگ امنیتی است. هنگام وارد شدن به اینترنت بانک، بانک پارسیان آدرس https://pib724.com/webbank در address bar مرورگر مشخص است. چنانچه این آدرس را کپی کنید و بعد از بستن (Tab)* مرورگر دوباره از طریق آن وارد شوید، بازهم مستقیم به اینترنت بانک واردشده‌اید و نیازی به نام کاربری و کلمه عبور نیست.

البته به‌طورمعمول بعد از مدت 5 دقیقه Session پاک می‌شود ولی در این 5 دقیقه همچنان راه برای سودجویان و کلاه‌برداران به‌ویژه در اماکن عمومی مانند کافی‌نت‌ها و کامپیوترهای مشترک وجود دارد.
اگر کاربر «اینترنت بانک» بانک پارسیان هستید حتما پیش از بستن مرورگر خود در سمت چپ-بالا «اینترنت بانک» بانک پارسیان گزینه خروج را بزنید و از خارج شدن از سامانه اطمینان پیدا کنید.

با توجه به این خبر جوابیه شرکت کاسپین در زیر می خوانیم

در ابتدا لازم است از نکته بینی و حساسیت نویسنده نسبت به بانک پارسیان تشکر کنیم، همان طور که در خبر ذکر شده است برای ورود و استفاده از سرویس اینترنت بانک پارسیان همانند سایر بانک­ها و سرویس­هایی از این دست نیاز است که با نام کاربری و رمز عبور از طریق مرورگر ازسوی سرور مرکزی احراز هویت شویم و برای انجام فعالیت یک Session امن ایجاد شود، قابلیتی در مرورگرهای مدرن وجود دارد به نام چند زبانه­ای (Multitab) و تمام زبانه­های (Tab) بازشده در یک مرورگر از نظر امنیتی برای آن سرویس خاص که یکبار احراز هویت شده است. دارای ارزش امنیتی یکسان می­باشد و شرکت کاسپین با علم به این موضوع و در راستای راحتی کاربر نهایی از این قابلیت استفاده کرده است.
البته لازم به توضیح است به محض بسته شدن کلیه زبانه­‌های مرورگر و یا خود مرورگر Session ایجاد شده از بین خواهد رفت و برای استفاده مجدد حتماً باید عملیات احراز هویت صورت پذیرد.
همچنین با کمی بررسی بیشتر متوجه می­شوید که اینترنت بانک سایر بانک­ها نیز به همین روش عمل می­‌کنند. به عنوان مثال اینترنت بانک بانک آینده که در آن مدت در نظر گرفته شده برای معتبر بودن Session بدون خروج (log out) 6 دقیقه و اینترنت بانک، بانک کشاورزی که در آن این زمان 10دقیقه در نظر گرفته شده است. همچنین اینترنت بانک بانک اقتصاد نوین نیز رفتاری این چنین دارد و در سایر بانک­ها به همین صورت است.
لذا این موضوع ابداً یک باگ امنیتی نیست و اینترنت بانک پارسیان پس از انجام آزمون نفوذهای سخت گیرانه داخلی و انجام این آزمون ازسوی چند مجموعه امنیتی معتبر با بالاترین حد امنیت، عملیاتی و در خدمت کاربران گرامی بانک پارسیان قراردارد.»

توضیح مرجع بررسی خدمات بانکی رده:

آنچه در جوابیه شرکت کاسپین آمده به آن بخش مورد ایراد مطلب پاسخی داده نشده است. ایراد به فعال ماندن Session پس از بستن Tab بود.
در مطلب رده آمده بود: «اما «اینترنت بانک» بانک پارسیان نسخه 1.2.3.0 دقیقاً از همین جا دچار مشکل یا باگ امنیتی است. هنگام وارد شدن به اینترنت بانک، بانک پارسیان آدرس https://pib724.com/webbank در address bar مرورگر مشخص است. چنانچه این آدرس را کپی کنید و بعد از بستن (Tab)* مرورگر دوباره از طریق آن وارد شوید، بازهم مستقیم به اینترنت بانک واردشده‌اید و نیازی به نام کاربری و کلمه عبور نیست.»
و مثال‌هایی که از بانک‌های دیگر در جوابیه آورده شده مربوط به باقی ماندن Session پس از مدت زمانی مشخص است که امری طبیعی و معمول است.

 

تاریخ خبر: ۱٣۹۵/٠٣/۲٧
کلمات کلیدی :

اخبار مرتبط

نظرات

٠ نظر

در صورتی که می خواهید پاسخ خود را دریافت کنید، ایمیل خود را وارد نمایید
ارسال نظر ...
نظری برای نمایش موجود نیست ، شما اولین نفری باشید که نظر می دهید!