مصاحبه پخش شده در سایتهای خبری در مورد مشکلات امنیتی بانکها

http://khabarfarsi.com/ext/2974796

http://newzzz.com/all/5100318/%DB%B1%DB%B5%DB%B0%D9%85%D9%8A%D9%84%D9%8A%D9%88%D9%86-%D9%83%D8%A7%D8%B1%D8%AA-%D8%A8%D8%A7%D9%86%D9%83%D9%8A-%D9%81%D8%A7%D9%82%D8%AF-%D8%A7%D9%85%D9%86%D9%8A%D8%AA

http://184.173.115.20:81/fa/news/11083/150-%D9%85%DB%8C%D9%84%DB%8C%D9%88%D9%86-%DA%A9%D8%A7%D8%B1%D8%AA-%D8%A8%D8%A7%D9%86%DA%A9%DB%8C-%D9%81%D8%A7%D9%82%D8%AF-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D9%87%D8%B3%D8%AA%D9%86%D8%AF

یکصد و پنجاه میلیون کارت بانکی فاقد امنیت هستند

یکی از توجیهاتی که می‌آورند و به بهانه آن مساله را لوث می‌کنند؛ موضوع تحریم ایران است. با توجه به اینکه این دستگاه‌ها کاربرد نظامی نیز برای رمز کردن اطلاعات دارد، خرید آن کمی مشکل است. اما غیر ممکن نیست و انواع ساخت کره و کشورهای دیگر را دارد. به عنوان مثال بانک آرین که هنوز راه اندازی نشده، سال گذشته دو دستگاه ساخت آمریکا که خیلی خیلی سخت می‌شود خرید و وارد ایران کرد. ولی به علت عدم وجود دانش فنی در بانک مرکزی با مشکل عدم تائید برای شروع کار بانکی شده است.

 دنیای تجارت: تغییر اجباری رمزکارت‌های بانکی و شنیده شدن خبرهای از لو رفتن اطلاعات میلیون‌ها کارت، توجه همگان را به موضوع امنیت شبکه بانکی کشور جلب کرده است» و «هر چند مقام‌های بانک مرکزی تاکنون ادعاهایی مبنی بر لو رفتن اطلاعات را تایید نکرده‌اند، اما در عین حال واکنش‌های عملی شبکه بانکی از تغییر اجباری رمز تا قطع موقت پرداخت از طریق خودپرداز‌ها، به مشتریان این پیام را می‌دهد که موضوعی وجود داشته است.» در این میان فردی که مدعی ناامن بودن سیستم بانکی کشور می‌کند بار‌ها اعلام کرده که با مسئولان بانک‌های تماس برقرار و درخواست رسیدگی به این مشکل را کرده اما تنها پاسخ مسئولان حکم پیگیرد بوده است. این مدیر نرم‌افزار اسبق یکی از شرکت‌های همکار بانک مرکزی که به عنوان شرکت PSP، خدمات پرداخت را ارایه می‌کند نیز پس از بروز اختلافاتی با مدیران شرکت، با همراه داشتن اطلاعات بانکی محرمانه به خارج از کشور رفته و سپس با ایجاد یک وبلاگ به انتشار اطلاعات سه میلیون کارت بانکی اقدام کرد. شرکت «فن آوران انیاک» شرکتی است که این مدیر از آن به عنوان عامل اصلی چالش امنیتی در سیستم بانکی یاد می‌کند. او مدعی است تمامی اسناد و مدارک خود را در وبلاگش قرار داده است. با این حال مسئولان بانک مرکزی این تهدیدات را غیرجدی دانسته و معتقند که سیستم بانکی کشور از امنیت خوبی برخوردار بوده و با اطلاع رسانی به مردم هر چند وقت یک بار تغییر رمز را خواستار است. این موارد بهانه‌ای شد تا با خسرو زارع فرید کسی که اطلاعات سه میلیون کارت بانکی را منتشر کرد گفت‌و‌گویی داشته و چرایی ماجرا را از زبان او جویا شویم. 

 

س: سوال اول را با مساله کارت‌های بانکی شروع می‌کنیم ‫اینکه سیتم‌های امنیتی کارت‌های بانکی در کل بانکداری الکترونیکی در چه وضعیتی است؟ 

ج: در ایران یا در دنیا کدام یک؟ 

‫س: در ایران. ما فعلا در مورد ایران صحبت می‌کنیم

ج: در ایران از کارت‌های مغناطیسی در بانکداری الکترونیکی برای پرداخت‌های الکترونیکی استفاده می‌شود. این کارت‌ها به خاطر اینکه به راحتی قابل کپی کردن هستند در خیلی از کشورهای دنیا با کارت‌های هوشمند جایگزین شده‌اند. 

س: یعنی هنوز هم کارت‌ها ایران مغناطیسی است؟ 

ج: تمامی کارت‌هائی که به حساب‌های بانکی افراد در ایران متصل هستند و برداشت پول و پرداخت خرید‌ها توسط این کارت‌ها انجام می‌شود، مغناطیسی هستند. یعنی بیش از ۱۵۰ میلیون کارت. 

س: ایراد این کارت‌ها در چیه؟ 

ج: زمانی‌که موارد امنیتی درست رعایت نشود، اطلاعات کارت می‌تواند برای کپی کردن کارت مشابه استفاده شود و با در اختیار داشتن رمز کارت، حساب متعلق به دارنده کارت در خطر سرقت قرار می‌گیرد این مورد خطری بود که من برای سه میلیون کارت گزارش دادم. به همین علت بود که بانک مرکزی درخواست تعویض رمز کارت‌ها را در اولین مرحله از مردم کرد

س: کپی کردن چطور صورت می‌گیرد یعنی در بیرون از یک سیستم و در بازار یا درون یک سیستم؟ 

ج: در هر جائی امکان کپی کردن وجود دارد به عنوان مثال یک چاپگر کارت دارای کپی کننده نوار مغناطیسی که در ایران قیمتی حدود ۲ میلیون تومان دارد، می‌تواند به راحتی اینکار را انجام دهد. 

س: اما نکته اینکه اکثر مردم تصور کپی کردن کارت‌های بانکی را ندارند و بیشتر فکر می‌کنند این کار توسط هک شدن سیستم اطلاعات صورت می‌گیرد. 

ج: الان از کارت‌های مغناطیسی برای سیستم‌های حضور و غیاب نیز استفاده می‌شود کسانی که این سیستم‌ها ارائه می‌کنند می‌توانند به راحتی کارت‌های مغناطیسی را کپی کنند این کار هیچ ارتباطی به هک ندارد. 

س: اما آن چیزی که در جامعه در مورد انتشار سه میلیون داده کارت بانکی وجود دارد، این است که باگی در سیستم به وجود آمده که یک نقر توانسته از آن باگ برای نفوذ استفاده و داده‌ها را برداشت کند. 

ج: مشکلی که من به آن اشاره کردم این بود که رمز دارنده کارت بانکی حساسترین اطلاعات یک سیستم پرداخت الکترونیکی است و رعایت استانداردهای لازم تامین کننده عدم لو رفتن این رمز است. با توجه به اینکه موارد امنیتی در بیشتر نقاط شبکه بانکی کشور رعایت نشده این رمز به همراه اطلاعات بخش مغناطیسی کارت در اختیار افراد متعددی قرار دارد و شناسائی افرادی که احتمالا از این اطلاعات سوء استفاده کنند به هیچ عنوان ممکن نیست. 

س: منظور شما از اینکه این اطلاعات می‌تواند در اخیتار افراد متعدد قرار داشته باشد، چیه؟ 

ج: من تمامی موارد فنی را در وبلاگ قبلی و وبلاگ جدید خودم گذاشتم ولی بانک مرکزی با وجود قبول کردن تمامی این نکات فنی سعی می‌کند با مخفی کردن واقعیت‌ها تنها از ایجاد بی‌اعتمادی در بین مردم جلوگیری کند و این نهایتا به ضرر مردم است. 

س: یعنی شما می‌گید به غیر از این مواردی که شما اشاره کردید موارد دیگری هم وجود داره؟ 

ج: الان به عنوان مثال در مقاله مربوط به امینت در سویچ خدمات انفورماتیک مواردی که من به آن‌ها اشاره کردم نشان می‌دهد که حتی یک صاحب مغازه نیز می‌تواند به راحتی اطلاعات دارنده کارت‌های بانکی را سرقت کرده از روی کارت‌های آن‌ها کپی برداری کند. 

س: ولی یک نفر می‌تواند تنها به اطلاعات یک کارت دسترسی داشته باشد اما چطور می‌شود اطلاعات سه میلیون کارت لو برود؟ 

ج: متاسفانه وجود دارد. چون افرادی که مسئول نظارت بر سیستم‌های بانکی هستند دانش لازم را ندارند یا اهمیت لازم را نمی‌دهند. در ضمن اصلاح کردن تمامی موارد در یک زمان کوتاه ممکن نیست شاید یکسال طول بکشد؛ آنهم اگر برنامه‌ریزی درست و مدیریت صحیح وجود داشته باشد. ببینید شبکه‌های بانکی در کشور ما از سیستم‌هایی استفاده می‌کند که به راحتی قابل دسترسی است و حتی خارج از شبکه بانکی. بنابراین امکان لو رفتن آن‌ها وجود دارد. 

س: چطور این امکان وجود دارد؟ 

ج: خب یک موضوع خیلی مهم را فراموش نکنید. امکان دسترسی به رمز افراد حتی برای مدیران بانک‌ها نیز نباید وجود داشته باشد این موضوع با رعایت استاندارد‌ها امکان پذیر است. 

س: یعنی می‌خواهید بگوید این استاندارد‌ها اینجا رعایت نمی‌شود؟ 

ج: بانک‌ها برای سیستم‌های شبکه خود از شرکت‌های فنی استفاده می‌کنند که این شرکت‌ها و خود بانک‌ها هیچ‌گونه رعایت موارد امنیتی را لحاظ نکرده‌اند. بنابر این اگر کسی بخواهد سوء استفاده کند، ممکن خواهد بود. 

س: حتی همین شرکتی که شما در آن شاغل بودید؟ 

ج: دقیقا. مثلا تمامی پوزهای شرکت خدمات انفورماتیک تنها از یک رمز برای محرمانه کردن رمز دارندگان کارت استفاده می‌کند. این یعنی بیش از ۵۰۰ هزار پوز بانکی. اگر این پوز‌ها در هر روز ۲ تراکنش داشته باشند، یعنی روزانه یک میلیون کارت بانکی تنها با یک رمز از حساب بانکی خود استفاده می‌کند. اینکه از این یک میلیون عملیات بانکی در هر نقطه‌ای از شبکه مورد استفاده، کمی اطلاعات درز کند یعنی یک فاجعه بزرگ. شرکتی که من در آنجا شاغل بودم با وجود اصرارهای من، به موارد امنیتی اهمیتی نشان ندادند چون هم هزینه سخت افزار برایشان داشت و هم باید نیروهای نرم افزاری خود را درگیر افزایش امنیت می‌کردند. من اسناد مربوط به این بی‌توجهی را در وبلاگ خودم قرار دادم. این اقدام را بعد از اتهامات بی‌اساس خانم اسمعیلی از شرکت خدمات انفورماتیک انجام دادم. 

س: اما شایعه‌ای که وجود دارد این است که چون شما از شرکت بیرون رفتید و مشکلاتی که با مدیران داشتید باعث شد که دست به این کار بزنید. 

ج: ببینید این اطلاعاتی که من در اختیار داشتم و می‌خواستم اطلاع رسانی کنم، باعث ایجاد مشکل شده بود. چون من انتظار داشتم شرکت خودش اقدام کند و از بانک‌ها بخواهد این کارت‌ها باطل و کارت‌های جدید صادر شود. در گفت‌و‌گوی صوتی من با آقای حجازیان که در وبلاگ قرار داده‌ام این موارد کاملا آشکار بیان شده است. 

 س: می‌خوام از اینجا شروع کنم که شما چطور به این مساله امنیت پی بردید؟ 

ج: من از دوسال پیش از خروج از شرکت تمامی موارد را گفته بودم حتی در صورت جلسات سعی می‌کردم درج شوند تا همه به اهمیت آن پی ببرند واقدام کنند. از طرفی این مورد را همه اطلاع داشتند و تنها من متوجه آن نشده بودم. فقط من نسبت به امانتداری اطلاعات کارت‌ها حساس بودم و سعی می‌کردم شرکتی که وظیفه خدمات رسانی به شبکه بانکی را دارد، کارش بدون ایراد باشد. 

س: یعنی همه افراد شرکت در جریان این مساله بودن که این مشکل امنیتی در سیستم کارت‌های بانکی وجود داره به غیر از شما؟ 

ج: مدیران شرکت و همچنین شرکتی که از آن نرم افزار سویچ بانکی خریداری شده بود و بخش فنی شرکت، اطلاع داشتند. 

س: سمت شما در آن زمان چی بود؟ 

ج: ابتدا مدیر فنی بخش نرم افزار بودم و در آن زمان خیلی روی این موضوع اصرار کردم. 

س: چطور کسی که مدیر فنی نرم افزاری است در جریان این مساله نبوده؟ 

ج: در جریان بودم که در صورتجلسات برای رفع آن تلاش می‌کردم. رفع موارد مربوط به مدیریت شرکت بود که سخت افزارهای لازم را خریداری نمی‌کرد تا ما توسط آن‌ها مشکل را رفع کنیم. سخت افزار لازم برای رمزگذاری اطلاعات حساس استفاده می‌شود. با آن رمز‌ها نیازی نیست در بانک اطلاعاتی ذخیره شود. بنابراین جلوی لو رفتن رمز دارندگان کارت‌های بانکی گرفته می‌شود. 

س: آیا فقط مساله مالی بود که سخت افزار‌ها خریداری نمی‌شد یا مساله دیگری هم بود؟ 

ج: مشکل مالی نداشتند ولی در اولویت خرید قرار نمی‌گرفت. چند بار به ظاهر استعلام کردند و قیمت گرفتند ولی خرید انجام نشد این در حالی بود که چهار بانک مختلف به سویچ شرکت متصل شده بود و بانک‌های دیگر نیز در حال متصل شدن بودند. 

س: علت اصلی امتناع از خرید چی بود؟ 

ج: من بیش از دو سال منتظر ماندم تا این خرید انجام شود ولی انجام نشد. بدون اهمیت بودن موضوع برای مدیران شرکت. ببینید مدیران انیاک از یک شغل تجاری به شغل خدماتی برای بانک‌ها وارد شده بودند در نتیجه هر نوع هزینه برای آن‌ها باید معنای لازم را می‌داشت. به عنوان مثال آن‌ها بیش از ۱۰ میلیون دلار تجهیزات اسرائیلی وارد ایران کردند و کسی خم به ابرو نیاورد. 

س: تجهیزات در چه زمینه‌ای؟ 

ج: پوزهای وریفون که از ترکیه خریداری شده حدودا ۵۰ هزار دستگاه که همه ساخت اسرائیل هستند ولی بنا به درخواست شرکت، تولید چین روی آن زده شده است. من این مورد را از روی سایت‌های اسرائیلی می‌توانم اثبات کنم. 

س: و آیا مساله امنیتی این دستگاه‌ها چک شده بود؟ 

ج: چه کسی در ایران توان یا آزمایشگاه‌های لازم را داراست که بتواند این موارد را کنترل کند؟ 

س: خوب در این زمینه این‌ها مدعی آزمایشگاه‌های بررسی سخت افزاری دستگاه‌های فناوری اطلاعات هستند. پرسش اینکه مگر از بانک بازرسی برای بررسی و رسیدگی به سیستم‌های بانکداری الکترونیکی که برون سپاری کردن وجود نداشت که به شرکت‌ها رفته و سیستم‌های امنیتی را چک کنند؟ 

ج: وارد کردن تجهیزات اسرائیلی به ایران جرم است؛ شما انتظار دارید این تجهیزات برای کنترل به این آزمایشگاه‌های دولتی ارسال می‌شد؟ به فرض اینکه وجود داشت. مواردی که بانک‌ها اهمیت می‌دادند فقط در سطح قرارداد بود. هیچ‌گونه بازرسی و نظارتی از سوی بانک‌ها و بانک مرکزی در طی سه سال و نیم همکاری من با انیاک مشاهده نشد. 

س: و هیچ گزارش سالیانه‌ای هم در مورد سیستم‌های فنی به بانک‌ها داده نمی‌شد؟ 

ج: یک بار از سوی بانک نامه‌ای ارسال شده بود که آیا شما از سخت افزار مورد بحث من استفاده می‌کنید؟ شرکت هم در جواب نوشته بود تمامی موارد امنیتی و تجهیزات لازم استفاده می‌شود. 

 س: سخت افزار مورد نظر بانک چی بود؟ 

ج: گزارش سالیانه وجود نداشت تنها گزارشاتی که ارسال می‌شد، مربوط به تعداد تراکنش‌ها و مبالغی بود که به شرکت باید پرداخت می‌شد. اسم دستگاه هم HSM است. 

س: این دستگاه را شرکت شما تامین کرده بود؟ 

ج: اصلا در شرکت وجود نداشت متن صورت‌جلسه‌های لازم را در وبلاگ جدیدم گذاشته‌ام، می‌توانید خودتان ببینید. برایتا اثبات می‌شود که خریدی انجام نشده بود. 

س: کار این دستگاه چیه؟ 

ج: ببینید برای اینکه رمز کارت‌ها قابل استخراج برای افراد نباشد از سخت افزاری استفاده می‌کنند تا کلیدهای رمز کننده توسط این دستگاه تولید شود. این کلید‌ها توسط موارد امنیتی به روی پوز‌ها بدون دخالت نیروهای انسانی منتقل می‌شود. زمانی که دارنده کارت از پوز استفاده می‌کند، رمز کارت با این کلید‌ها محرمانه شده به سویچ ارسال می‌شود؛ سویچ نیز با استفاده از این سخت افزار کلید پوز را با کلید بانک تعویض کرده، اطلاعات را برای ارسال به بانک آماده می‌کند. یعنی هیچ نیروی انسانی نمی‌تواند با وجود این سخت افزار به رمز دارنده کارت دسترسی پیدا کند. مثلا کلید بانک برای ورود به این دستگاه از دو قسمت تشکلی می‌شود و هر قسمتی توسط یک نفر وارد می‌شود. این افراد می‌توانند یکی از بانک و یکی از شرکت باشد تا کلید اصلی برای هیچ طرفی قابل استفاده نباشد. 

س: چه دلیل دارد که شرکت در پاسخ به مسولان بانک در حالی که این دستگاه را ندارد، اعلام کند که این دستگاه خریداری شده؟ 

ج: در مقررات بانک مرکزی شرط الزامی برای سویچ پذیرندگان داشتن این دستگاه است یعنی عدم خرید این دستگاه به معنی عدم رعایت حداقل‌های اعلامی خود بانک مرکزی است. شما می‌توانید به مرجع بانک مرکزی در نقد اظهارات من برای آقای حکیمی مراجعه کنید. 

س: بله اما مساله اینکه چه توجیهی باید برای جواب شرکت ایناک وجود داشته باشد که جواب بانک را اینگونه بدهد؟ 

ج: یکی از توجیهاتی که می‌آورند و به بهانه آن مساله را لوث می‌کنند؛ موضوع تحریم ایران است. با توجه به اینکه این دستگاه‌ها کاربرد نظامی نیز برای رمز کردن اطلاعات دارد، خرید آن کمی مشکل است. اما غیر ممکن نیست و انواع ساخت کره و کشورهای دیگر را دارد. به عنوان مثال بانک آرین که هنوز راه اندازی نشده، سال گذشته دو دستگاه ساخت آمریکا که خیلی خیلی سخت می‌شود خرید و وارد ایران کرد. ولی به علت عدم وجود دانش فنی در بانک مرکزی با مشکل عدم تائید برای شروع کار بانکی شده است. 

س: اما جواب سوال که چرا مسئولان شرکت درحالی که دستگاه را خریداری نکردن، گفتند که این دستگاه را خریداری کردند؟ 

ج: نمی‌خواستند دچار مشکل شوند یا مجوز آن‌ها از سوی بانک مرکزی لغو شود. چون آن موقع تعداد پوز‌هایشان کم بود و اصولا شرکت فوق به دروغ گوئی و تقلب عادت کرده بود به همین خاطر بود که به راحتی هر کاری می‌کردند و اهمیت نمی‌دادند که کارهای انجام شده از راه‌های منطقی و درست باشد. 

س: اما شما به عنوان مسئول فنی می‌توانستید با مسئول فنی بانک به صورت مستقیم مکاتبه کنید که این دستگاه خریداری نشده است. یعنی مساله امنیتی را با نهاد مربوطه در میان می‌گذاشتید؟ 

ج: این نامه‌ها جنبه تشریفاتی داشتند من مواردی را به صورت غیر مستقیم به مسئولان بانک‌ها اعلام کردم ولی هیچ نتیجه‌ای نداشت. آن‌ها می‌گفتند ما در قرارداهای خودمان مسئولیت رعایت موارد امنیتی را بر اساس رعایت استانداردهای اعلامی بانک مرکزی آورده‌ایم و این کافی است. 

س: ولی شما می‌توانستید به صورت مستقیم با مسئول فنی بانک ارتباط داشته باشید. ‫فکر نمی‌کنید از این طریق بهتر نتیجه می‌داد؟ 

ج: ببینید من تمامی راه‌های ممکن را آزمایش کردم. در کشوری که مدیران فنی بانک‌ها تنها می‌توانند از این شرکت‌های همکار بانک جیره خود را بگیرند، عملا امکان هیچ‌گونه اقدامی وجود ندارد؛ بلکه باعث می‌شد که این افشاگری در نطفه خفه شود. الان نگاه کنید پس از این افشاگری‌ها باز هم آش‌‌ همان آش است و کاسه‌‌ همان کاسه. 

س: پرسش دیگری که مطرح می‌شود این است که چرا اطلاعات کارت‌های این دو سال منتشر شد؟ آیا قبل و بعد از آن هم چنین ایرادی وجود داشت؟ 

ج: اطلاعات مربوط به ابتدای شروع کار سویچ‌های انیاک تا زمان حضور من در شرکت بود بعد از آن نیز اطلاعاتی وجود دارد که من دسترسی به آن‌ها را نداشتم. در ضمن علت پخش این اطلاعات تنها برای علنی کردن این خیانت‌ها بود که در حق امانت‌های مردم و اطلاعاتشان وجود دارد. 

س: یعنی از چه سالی؟ 

ج: از سال ۸۶

 س: چرا اطلاعات ۳ میلیون کارت؟ 

ج: این اطلاعات از بین ۶۰ میلیون تراکنش بانکی استخراج شده بود و من تنها کارت‌هایی که رمزهای صحیح و تراکنش بانکی صحیح داشتند را پخش کردم تا جای هیچ‌گونه شک و تردید وجود نداشته باشد. حرکتی که انجام دادم باید پوشش بزرگی می‌داشت تا قابل انکار نباشد. 

س: می‌توانید توضیح بدهید که مگر می‌شود رمز صحیح یا تراکنش صحیح هم وجود نداشته باشد؟ 

ج: بله شاید کسی رمزش را اشتباه زده و تراکنش ناموفق باشد یا خرید درست انجام نشده باشد. یعنی می‌خواستم هر رمزی که به صورت مخفی به دارنده کارت اعلام می‌شود، دقیقا‌‌ همان رمزی باشد که برای آن کارت استفاده شده است. 

س: یعنی این‌ها شماره کارت‌ها و رمز خود کارت‌ها نبودند؟ 

ج: چرا خود شماره کارت‌ها و رمزهای استفاده شده کارت‌ها بودند ولی برای رعایت محرمانگی رمز آن را درون یک عدد ۱۴ رقمی مخفی کرده بودم تا تنها دارنده کارت و رمز بتواند آن را تشخیص دهد و خطری برای دارنده کارت ایجاد نکند. البته در صورت اعلام خود رمز نیز خطر زمانی به وجود می‌آمد که خود کارت هم در اختیار دیگران قرار می‌گرفت یا اطلاعات بخش مغناطیسی کارت را نیز من پخش می‌کردم که بنده از این کار بیزار بودم هدف من اصلاح مشکل بود ایجاد مشکل نبود. 

س: زمانی که شما این اطلاعات را منتشر کردید، بانک‌ها به مشترکان اعلام کردند که باید رمز کارت‌های خود را عوض کنند و در توجیه کارشان گفتند که دارندگان کارت‌ها باید هر سه ماه یک بار اقدام به تغییر رمز کارت کنند. آیا تغیر رمز کارت هر سه ماه یک بار یا حتی یک ماه یکبار با توجه به شرایط فعلی سیستم امنیتی بانکی ما اثرگذار در حفظ امنیت کارت‌ها هست؟ 

ج: نه اثر گذار نیست بگذارید توضیح بدهم. در وبلاگ جدیدم علت ترس بانک‌ها را نوشته‌ام آن‌را اگر مطالعه کنید متوجه می‌شوید که به جز اطلاعات بخش مغناطیسی کارت اطلاعات مالی کارت‌ها نیز در دسترس افراد است، بنابراین افراد فرصت طلب می‌توانند کارت‌های پر پول را شناسائی کنند و به محض دیدن تراکنش‌های آن اقدام کنند و در طی چند روز کلی خسارت به دارنده کارت وارد کنند، بدون اینکه کسی بفهمد این اقدام از کجا انجام گرفته است. در ضمن شما نباید فراموش کنید که خود عمل تغییر رمز کارت‌های بانکی در چنین شبکه بانکی نا‌امنی انجام می‌گیرد. 

س: پس با این اوصاف تا زمانی که سیستم کارت‌ها مغناطیسی است. تغییر ماهانه یا سه ماه یک بار نمی‌تونه امنیت کارت‌ها را تضمین کند

ج: تضمین نمی‌کند ولی به نوعی مشکل را کمتر می‌کند. البته اینکار مشکل دیگری برای مردم ایجاد می‌کند و آن فراموش کردن رمزهای جدید است و اینکه هیچ‌گاه نباید از رمزهای استفاده شده قبلی خود استفاده کنند.