پیوست » فناوری » امنیت » رجا سیستم استرداد بلیت را اصلاح کرد؛ استرداد بلیت فقط با تطابق کد ملی خریدار

رجا سیستم استرداد بلیت را اصلاح کرد؛ استرداد بلیت فقط با تطابق کد ملی خریدار

۱۵ اردیبهشت ۱۴۰۴

زمان مطالعه : ۳ دقیقه

ضعف در سیستم استرداد بلیت رجا، فرصتی برای کلاهبرداران ایجاد کرده بود تا با استفاده از اطلاعات هک‌شده، پول را به حساب دیگری منتقل کنند. حالا شرکت رجا با تغییر فرآیند، اعلام کرده است که استرداد تنها به حساب خریدار اصلی و مطابقت با کدملی انجام می‌شود.

به گزارش پیوست، تعدادی از آژانس‌های آنلاین خدمات گردشگری خبر از حفره امنیتی در سامانه استرداد وجه رجا را داده بودند. در واقع سامانه استرداد بلیت شرکت رجا به‌گونه‌ای طراحی شده بود که در زمان کنسلی بلیت، وجه استردادی به شماره حساب یکی از مسافران واریز می‌شد. این موضوع باعث شده بود کلاهبردان بتوانند با داده‌های هک شده مثل کدملی و شماره‌حساب‌هایی که طی مهندسی‌های اجتماعی به دست آورده‌اند، اسم یکی از مسافران ساختگی را به عنوان دریافت کننده وجه وارد کرده و به این شکل رد پول را از بین برده و فعالیت‌های کلاهبرداری خود را انجام دهند.

گرچه احتمالا این فرآیند برای ساده‌سازی و تسهیل استرداد طراحی شده بود اما باعث ایجاد یک حفره‌ی امنیتی شده و افراد سودجو با استفاده از اطلاعات کارت بانکی دیگران اقدام به خرید بلیت می‌کردند و سپس در مرحله‌ خرید شماره ملی صاحب کارت مقصد (مثلاً خودشان یا همدست‌شان) را به‌عنوان یکی از مسافران وارد می‌کردند. در نتیجه، هنگام استرداد، چون کد ملی کارت مقصد با یکی از مسافران مطابقت داشت سامانه بدون توجه به اینکه پرداخت‌کننده اولیه چه کسی بوده، مبلغ را به کارت مقصد واریز می‌کرد.

این حفره امنیتی که از هفته گذشته برای بسیاری از سایت‌های خرید آنلاین بلیت قطار مشکل ایجاد کرده بود، حالا و طبق نامه رجا برطرف شده است و رجا تنها در حالتی مبلغ بلیت را به کاربران باز می‌گرداند که کد ملی خریدار با کد ملی استرداد کننده یکی باشد و مبلغ تنها به حساب خریدار بلیت واریز می‌شود.

مشکل رجا برطرف شد

در نامه‌ای که شرکت رجا برای شرکت‌های فروشنده بلیت قطار زده آمده است: « با توجه به پیگیری‌ها و درخواست های متعدد «فروشندگان وب سرویسی» مبنی بر بهره‌مندی از سامانه استرداد مستقل و بدون نیاز به اتصال به سامانه استرداد جامع که از مزایای آن می‌توان به رضایتمندی بیشتر مشتریان سایت ها و اپلیکیشن های فروش بلیت قطار اشاره کرد، در نظر است سامانه استرداد جامع بلیت‌های اینترنتی از روز شنبه مورخ ۱۴۰۴/۰۲/۲۰ از دسترسی خارج و به جای آن فرایند جدید استرداد بلیت که توسط هر یک از فروشندگان وب سرویسی به‌صورت مستقل انجام می شود پیاده‌سازی شود.
در ادامه این نامه آمده است: لازم است دارندگان حق امضای کلیه «فروشندگان وب سرویسی» جهت بهره‌مندی از این دسترسی ظرف روز جاری و فردا به واحد بازاریابی شرکت رجا مراجعه و پس از امضای تفاهم‌نامه و تعهدنامه‌های مربوطه نسبت به دریافت مستندات فنی پیاده‌سازی وب سرویس استرداد در سایت یا اپلیکیشن خود اقدام کنند. متقاضیان جهت بهره‌مندی از وب‌سرویس استرداد لازم است حداکثر تا روز شنبه مورخ ۱۴۰۴/۰۲/۲۰ نسبت به پیاده سازی موارد فنی در سایت یا اپلیکیشن خود اقدام کنند.»

این مطالب را هم بخوانید:

هکرها چطور با مهندسی اجتماعی به کاربران حمله می‌کنند؟ بازی با اطلاعات لورفته

فیشینگ گردشگری

https://pvst.ir/l22

سمانه سمیعتحریریه

همه‌چیز از یک مطلب به اسم «اسپایدرزن» که در دوره ارشدم نوشته بودم شروع شد. درحالی که ۱۰ سال کارمند آژانس هواپیمایی بودم در همان روزها احساس کردم چقدر نوشتن را دوست دارم. از دی ۹۸ با کار در آژانس روابط عمومی پرسش و تولید محتوا شروع کردم. بعد از مدتی نوشتن بخش شرکت‌گردی پیوست را به عهده گرفتم و حالا خبرنگار ثابت پیوستم و دقیقا اینجا و در همین نقطه احساس می‌کنم از اینکه به پیوست، پیوستم خوشحالم.

تمام مقالات

0 نظر

ارسال دیدگاه لغو پاسخ