گفته میشود که دیتابیسی حاوی 75 میلیون خط از اطلاعات فردی مشتری های بانک ملی به تازگی به بیرون درز کرده است. با جزئیات بیشتر این خبر همراه ما باشید.
روز گذشته یعنی سه شنبه، پنجم بهمن ماه خبر نشت اطلاعات مشتریان بانک ملی در شبکههای اجتماعی دست به دست شد. با وجود آنکه بانک ملی تا این لحظه این خبر را تأیید یا تکذیب نکرده، روابط عمومی این بانک اعلام کرده است که به زودی یک بیانیه رسمی در این رابطه منتشر خواهد کرد.
چه اطلاعاتی از مشتریان بانک ملی نشت کرده است؟
اکانتی در شبکه اجتماعی توئیتر ادعا کرده است که این اطلاعات شامل بیش از 75 میلیون رکورد از مشتریان حقیقی و حقوقی بانک ملی بوده و شامل موارد از جمله نام، نام خانوادگی، نام پدر، تاریخ تولد، کد ملی، شماره کارت، شماره تلفن همراه، شهر، استان و آدرس محل سکونت مشتری میشود.
براساس اطلاعاتی که تا این لحظه پیرامون این موضوع منتشر شده به نظر میرسد که اطلاعات حساب افراد در میان موارد نشت شده نیست و از همین جهت میتوان امیدوار بود که حداقل تا این لحظه خطری حساب مشتریان بانک ملی را تهدید نمیکند. با این وجود اگر از مشتریان این بانک هستید برای اطمینان خاطر اقدام به تغییر رمز اینترنتی حساب خود کنید.
این اولین باری نیست که خبر درز اطلاعات مشتریان بانکهای ایرانی در رسانهها بازتاب داده میشود. پیش از این نیز در خبرها از نشت اطلاعات 63 میلیون کاربر بانک صادرات و لو رفتن اطلاعات 30 میلیون مشتری بانک ملت گفته بودیم. هر چند که برخی از این موارد توسط توسط مراجع مذکور تکذیب شد، اما حتی صحت آنها در یک مورد هم میتواند اتفاق ناگواری باشد و هم برای خود بانکها و هم مشتریان آنها گران تمام شود.
توسط 
توسط 
۴ تا پرانتز تو کامنت میذاری ارور ۴۰۳ ممنوع میده! فکر کنم از ترس SQL Injection باشه 😅
میبینم که شبکه یک تلویزیون مزخرفشون هم چند ثانیه رفت پیش بانک ملی 🤣
به احتمال 99.99999 درصد کلمات عبور به صورت انکریپت شده توی دیتابیس ذخیره شدن. کسایی که کلمات عبور طولانی ( حداقل 16 کاراکتر-عدد ) داشتن نباید نگران باشن. ولی اون دسته از کاربرایی که کلمات عبور ضعیف انتخاب کرده بودن باید سریعتر به فکر تعویض پسوردشون با یه پسورد قوی و حداقل 16 کاراکتری-عددی باشه.
بهتره پسورد ها هم جوری باشه که حروف تکراری پشت سر هم نباشه که دیکریپت کردنش راحتتر میشه برای هکرها
بدون گوگل کردن اسم ۳ تا روش رمزنگاری رو بگو ببینم اصلا میدونی راجع به چی صحبت میکنی؟ قاعدتا اگه برنامه نویسه یه حداقل سواد و هوشی داشته انکریپت کرده ولو روش ضعیف نا امن، متد هست قابل رمزگشایی، متد هم هست فعلا راهی برای مثلا بروت فورس کردنش نیست، وقتی پسورد با کلید ۲۵۶ بیتی انکریپت بشه فقط میتونی با انکریپت کردن ورودی کاربر و مقایسه نتیجه آتورایز کنی، اون متدی که شما میگی هکر میشینه یجور بروت فورس میکنه مثلا با پسوردهای رایج یا حدس در مورد کاراکتر و مشخصات قربانی، اسمش دیکریپت نیست…
کلا اکثرا فکر می کنن منظور از امنیت برنامه پنهان کردن درست نام کاربری و پسور هست درحالی که اصلا این امنیت نیست
امنیت یک برنامه یعنی پیچُ تاب دادن روند اجرای برنامه و نحوه ی دسترسیش به پایگاه داده هست که اصطلاحا بهش میگن رمزنگاری
خلاصه یعنی اینکه برنامه نویس می تونه اطلاعاتُ از کاربر بگیره و با یه متد ساده پسوردُ هش کنه و توی دیتابیس ذخیره کنه یا براساس اطلاعاتی از دیتابیس برگردونه و نمایش بده یا اینکه کلی کار روی اطلاعات دریافتی انجام بده بطور خلاصه برای هر بخش فرمت خاصی از اعتبار سنجی و همینطور سینتکسی قرار بده که خارج از این فرمت سیستم خطا بده که این کار باعث میشه برنامه پیچیده بشه
بنظر خودم بجای این همه پیچدگی بهتره تمام اطلاعات هش شده شخصی سازی در دیتابیس ذخیره بشن و روی امنیت کلیدها کار بشه اینجوری اطلاعاتی که هکر بدست میاره بدردش نمی خوره اما فایل کلید بازگشایی اطلاعات بدست هکر بیوفته یا هرکسی که خصومتی داره و به سرور هم دسترسی داره همه چی به فنا میره
یا براساس اطلاعاتی از دیتابیس = و براساس اطلاعاتی از دیتابیس
متوجه نشدم این همه نفرت توی پست شما دلیلش چیه! دو تا کاربریم که همدیگه رو هم نمیشناسیم! نفهمیدمت.
من بعید میدونم بانک ملی از هشینگ واسه کلمات عبور استفاده کنه. پسوردی هم که انکریپت شده باشه رو دیکریپت میکنن. شما خودت توی صحبت هات هم گفتی دیکریپت. شما اگه راه دیگه ای به ذهنت میرسه که یه پسورد رو رمزگشایی کنن بدون بروت فورس بگو ما هم استفاده کنیم. وقتی با بروت فورس یه پسورد انکریپت شده باز میشه شما اسمشو چی میزاری ؟ “پسورد باز شده؟” اسمش میشه دیکریپت. سفسطه نکن برادر. بله من هم 15 ساله کارم همینه. قرار نیست بشینیم واسه کاربر معمولی الگوریتم ها رو تشریح کنیم. قراره کاربر معمولی متوجه بشه که پسورد قویتر بزاره روی اکانتش. حداقل کاری که میتونه انجام بده. بعید میدونم شما مخالف این قضیه باشی.
نفرت رو از کجا یافتی؟ کلمه سنگینیه! بهرحال اگه منظورت از سفسطه، مغلطه هست خیر پسر خوب بروت فورس مثل فیشینگ دکریپت نمیشه اسمش! اسمش همونیه که هست! وقتی شما با کلید رمز، عکس همون الگوریتم انکریپت رو بری میشه دکریپت، حداقل در معنی محض که من میفهمم…
عزیز، بانکهای اطلاعاتی مثل SQL Server و Oracle واسه فیلدهایی که خودت بخوای مثل پسورد فقط از Hashing استفاده میکنه و خبری از Encryption توش نیست، واسه بالا بردن ضریب امنیتی باید عقل برنامهنویس برسه که محتوا رو به جای هش، رمزنگاری کنه
پسورد هک بشو نیست و فقط با یه سری پسوردهای آماده پسوردُ بدست میارن
استفاده از دابل هش برای امنیت پسورد کافی هستیعنی پسور هش میشه و هش پسورد دوباره هش میشه با متد پسورد هش که هش متغیر ایجاد می کنه و توی دیتابیس ذخیره میشه و برنامه نویس هایی که این کارو انجام نمیدن این کارشون از روی عمد هست نه اینطور که عقل نداشته باشن یا تازه کار باشن
و مورد بعدی که خیلی مهم هست محدود کردن اشتباه وارد کردن تعداد دفعات پسورد هست چون اگر نباشه بقول بعضی ها دیکریپت پسوردُ هکر می تونه با خوده سایت انجام بده و اون دابل هش بی فایده میشه
بقیه ی موارد امنیتی میشه اعتبار سنجی و چک کردن داده از لحاظ سینتکسی که در اجرای کوئری مشکلی پیش نیاد هم در خطا و هم دریافت اطلاعات که هر بخش از برنامه می تونه فرمت مخصوص خودشو داشته باشه و موارد دیگه و اصلا چیزی به نام رمزنگاری توی برنامه نویسی نداریم و کاری که متدهای هش کننده انجام میدن گیبریش کردن متن هست مثلا بجای حرف آ حرف ب یا هرچی مثله فایل یا عدد باینری یا حروف سیمبولی و غیره توی دیتابیس ذخیره میشه که هرکسی به سادگی می تونه ماله خودشو بسازه
کلمات قلمبه سلمبه ای مثله رمزنگاری یا انکریپتُ بیشتر واسه پز دادن هست مثلا طرف می خواد بگه خیلی حالیشه که از طرز صحبت کردنش هم معلومه
برنامه نویس ها از عمد حفره ی امنیتی یا همون باگ می ذارن شاید به دلیل حقوق و ناراضی بودن یا برای روز مبادا مثلا برنامه نویس یک حفره ی امنیتی مخصوص خودش می ذاره
اینجور برنامه ها مثله برنامه های بانکی توسط یک یا دونفر ساخته نشدن یا نظارت نمیشن بلکه دها یا شایدم بالای صد بلکه هیجایی برای خطا نیست
از سر کم عقلی برنامه نویسایی که این کاراروو می کنن نیست بلکه زرنگ بودنشونُ بودنشونُ نشون میده
ادعای امنیت داشتن پس چطور هر روز یک جا هک و نابود میشه ؟؟؟!!!
الان مسئولان و طلاب نخبه ایران !!!!!!!! میآن میگن دیگه وقت اینترنت ملیه !!!!!!!!!
البته ما نمیدونیم اینا کار خودشونه !!!!!
برای اینترنت واقعی چه گلی به سر ملت نادان زدن که با این اینترنت میلی ببخشید اینترنت ملی بخوان بزنن .
وقتی سهمیه داران استخدام میشن و باسوادان اینطوری بهشون ….. نشون میدن!
عوض استخدام و گزینش افراد بیسواد و تنبل سهمیه ای افراد باسواد استخدام کنید عین اپارات که یکی از هکرا معروف به اسم میلاد مسول امنیتشونه یا دیجی کالا که تیمه امپراطور مسوله امنیتشونه یا …. فقط نکته به روز دیجی اینه هرکی باگ گزارش بده کادو داره و پول بهش میدن برای رفعش ولی ادارات و ارگانا و برخی شرکتا شما هک کن یا بی توجهی و تکذیب یا میکننت زندان فکر کنم بزرگان یادشون باشه سورنا چه گردوخاکی کرد یه دوره اینجور اشخاص ستودنین باید عضوی از تیم سایبری شن تو دولت نه بیکار ول بگردن یا کشورا خارجی بدزدنشون تا برای اونا کار کنن….
باور بفرمایید همه اینها زیر سر شبکه منحوس اینستاگرام است. من چندین بار با بچه های برنامه نویس و طراح این شبکه های بانکی و شبکه امنیتی دیدار کردم و هر بار دیدم که اینها تقی به توقی می خورد اینستاگرام را باز میکنند و محو و غرق محتواهای مسخره و مریض گونه آن می شوند. یا همه اش به دنبال ژست گرفتن و عکس و کپشن زدن هستند تا شوآف کنند و اصلا دست و دلشان به کار نمی رود. به حراست گفتم اگر از همان جلوی در گوشی اینها را بگیرید یا اصلا مثل کارکنان مراکز نظامی مجبور کنید از یک گوشی ساده دکمه ای بدون دوربین تولید داخل استفاده کنند، بعدش ستاره ثریا در 2 سال در مشت ما خواهد بود. حتی گفتم در دانشگاه ها باید گوشی را قدغن کنند و فقط اجازه جزوه و کتاب و لپ تاپ با محتوای تحصیلی را بدهند و لاغیر در غیراینصورت هیچ پیشرفتی را منتظر ننشینید. آنهایی هم که ظاهری با حرف من مخالفت بروز می دهند اما اتفاقا خودشان از من بهتر این مسائل را می دانند اما چون حس می کنند اینگونه تعداد زیادی از جوانان (که همانا رقیبان خودشان می پندارند) به در خواهند شد و در نتیجه رقابت برای ایشان آسان خواهد شد، برای همین از این مفسده حمایت می کنند؛ اما آنها هم آخرش در دام همینها گرفتار خواهد شد. بنگرید در دانشگاه ها و کلاس ها که از 30 نفر، 25 نفر سرشان در گوشی و فقط 5 نفر حواسشان به درس و بحث و اتفاقا خوشحال که 25 نفر علی الحساب از همین الان خط خورده اند. یا همه اش حواسشان به تیپ و کیف و کفش و ازدواج. بارها نامه اعتراض زدم که دانشگاه محضر و عقدخانه نیست و بگذارید دانشگاه برای کار علمی بماند اما حتی متدین ترین دانشجوهای من به محض اینکه ازدواج می کردند می رفتند پی کارشان یعنی دو صندلی را الکی اشغال کرده بودند تا فقط نیمه گمشده خودشان را پیدا کنند! دانشجو اگر دانشجو باشد با گونی و دمپایی پاره به دانشگاه می آید و روی جعبه تاید جزوه می نویسد و درس را 20 می گیرد. شماها دانشجو نیستید که فقط می آیید 2 تا آدم درستی هم که این وسط هست از راه به در می کنید و به گوشی و گوشی بازی و اینستاگرام سوق می دهید و بعدش هم قلیان می کشید و دود و سیاه بازی و میزنید به چاک.عملا که دانشگاه عشرت کده است، بعدش ناراحتیم که سیستم های ما هک شده یا فلان وزیر در بودجه اشتباه کرده و الی آخر.
عجب پروپکانی صمیمی ای بود ای شاگرد استاد رایفی پور! خودت یبار بخون چی نوشتی اگه نیاز به اندانسترون پیدا نکردی 🤣
سلام من به تو یار صمیمی
با بعضی از حرفاتون در مورد دانشگاه موافقم ولی باور بفرمائید حوزه برنامهنویسی و اونم امنیت اطلاعات با درس دانشگاه به جاهای خوبی نمیرسه، اولا نیاز به آدم ذاتا دقیق و تا حدودی وسواسی داره و البته باید واسه همچین آدمی پول خرج کرد تا آموزشهای سطح بالا تو موسسات معتبر داخلی و خارجی ببینه تا به سطحی از مهارت برسه تا بتونه در برابر تهدیدات سایبری مقابله و پاسخ بده، اینکه با حقوق کارمندی بخوای یه کارمند برنامهنویس(در ابتدای کار نخبه) رو بالا بیاری شدنی نیست نیاز به حمایت و کار تیمی هست.
کار از نشت گذشته ، سر تیتر رو تغییر بدید !
در جملهی زیر به جای «پس از این» بهتره بنویسین پیش از این؛
«پس از این نیز در خبرها از نشت اطلاعات 63 میلیون کاربر بانک صادرات»
جدی نیست.
سخت نگیرید.
تبریز باغمیشه ک حساب منه:؟؟؟؟
متاسفم از گفتنش ولی هر برنامه نویسی که از نزدیک تو پروژه های دولتی بوده باشه یا سایت ها و اپ هاشونو در حدی چک کنه متوجه میشه که امنیت سایبری کل دولت الکترونیک ایران بد فرم رو هواست، اینا از سیستم های بانکی یا مدیریت شهری بروز دنیا استفاده نمیکنن بلکه خودشون یه تیم جمع میکنن از پایه شروع میکنن به نوشتن! و تا ثریا میرود دیوار کج…
توی این مملکت همه چی پارتی بازیِ. توانایی و مهارت جایی نداره.
مثلا رئیس بانک مرکزی لیسانس معارف داره!
که صد البته لیسانسشم… 😉
🫤🫤
بهم میگه دیدگاهت تکراری هست