توضیح شرکت کاسپین درباره مطلب «اینترنت بانک» پارسیان

با توجه به درج مطلب حفره امنیتی در «اینترنت بانک»، بانک پارسیان، روابط عمومی شرکت کاسپین ساعاتی پیش جوابیه‌ای ارسال کرده است.

به گزارش رده، در جوابیه شرکت کاسپین آمده است:
«لطفاً باتوجه به درج مطلبی باعنوان «حفره امنیتی دراینترنت بانک بانک پارسیان» و قانون مطبوعات برای حق پاسخگویی درهمان صفحه، متن پیوست عیناً و بلافاصله درسایت رده قرارگیرد.
با تشکر- مرتضی مهدویان – روابط عمومی کاسپین

به‌نام خدا
در ابتدا لازم است از نکته بینی و حساسیت نویسنده نسبت به بانک پارسیان تشکر کنیم، همان طور که در خبر ذکر شده است برای ورود و استفاده از سرویس اینترنت بانک پارسیان همانند سایر بانک­ها و سرویس­هایی از این دست نیاز است که با نام کاربری و رمز عبور از طریق مرورگر ازسوی سرور مرکزی احراز هویت شویم و برای انجام فعالیت یک Session امن ایجاد شود، قابلیتی در مرورگرهای مدرن وجود دارد به نام چند زبانه­ای (Multitab) و تمام زبانه­های (Tab) بازشده در یک مرورگر از نظر امنیتی برای آن سرویس خاص که یکبار احراز هویت شده است. دارای ارزش امنیتی یکسان می­باشد و شرکت کاسپین با علم به این موضوع و در راستای راحتی کاربر نهایی از این قابلیت استفاده کرده است.
البته لازم به توضیح است به محض بسته شدن کلیه زبانه­‌های مرورگر و یا خود مرورگر Session ایجاد شده از بین خواهد رفت و برای استفاده مجدد حتماً باید عملیات احراز هویت صورت پذیرد.
همچنین با کمی بررسی بیشتر متوجه می­شوید که اینترنت بانک سایر بانک­ها نیز به همین روش عمل می­‌کنند. به عنوان مثال اینترنت بانک بانک آینده که در آن مدت در نظر گرفته شده برای معتبر بودن Session بدون خروج (log out) 6 دقیقه و اینترنت بانک، بانک کشاورزی که در آن این زمان 10دقیقه در نظر گرفته شده است. همچنین اینترنت بانک بانک اقتصاد نوین نیز رفتاری این چنین دارد و در سایر بانک­ها به همین صورت است.
لذا این موضوع ابداً یک باگ امنیتی نیست و اینترنت بانک پارسیان پس از انجام آزمون نفوذهای سخت گیرانه داخلی و انجام این آزمون ازسوی چند مجموعه امنیتی معتبر با بالاترین حد امنیت، عملیاتی و در خدمت کاربران گرامی بانک پارسیان قراردارد.»

توضیح مرجع بررسی خدمات بانکی رده:

آنچه در جوابیه شرکت کاسپین آمده به آن بخش مورد ایراد مطلب پاسخی داده نشده است. ایراد به فعال ماندن Session پس از بستن Tab بود.
در مطلب رده آمده بود: «اما «اینترنت بانک» بانک پارسیان نسخه 1.2.3.0 دقیقاً از همین جا دچار مشکل یا باگ امنیتی است. هنگام وارد شدن به اینترنت بانک، بانک پارسیان آدرس https://pib724.com/webbank در address bar مرورگر مشخص است. چنانچه این آدرس را کپی کنید و بعد از بستن (Tab)* مرورگر دوباره از طریق آن وارد شوید، بازهم مستقیم به اینترنت بانک واردشده‌اید و نیازی به نام کاربری و کلمه عبور نیست.»
و مثال‌هایی که از بانک‌های دیگر در جوابیه آورده شده مربوط به باقی ماندن Session پس از مدت زمانی مشخص است که امری طبیعی و معمول است.

*منظور همان Tab بوده که هنگام نگارش جا افتاده است.