رجا سیستم استرداد بلیت را اصلاح کرد؛ استرداد بلیت فقط با تطابق کد ملی خریدار

1404/02/15

به گزارش تکفا، تعدادی از آژانس‌های آنلاین خدمات گردشگری خبر از حفره امنیتی در سامانه استرداد وجه رجا را داده بودند. در واقع  سامانه استرداد بلیت شرکت رجا به‌گونه‌ای طراحی شده بود که در زمان کنسلی بلیت، وجه استردادی به شماره حساب یکی از مسافران واریز می‌شد. این موضوع باعث شده بود کلاهبردان بتوانند با داده‌های هک شده مثل کدملی و شماره‌حساب‌هایی که طی مهندسی‌های اجتماعی به دست آورده‌اند، اسم یکی از مسافران ساختگی را به عنوان دریافت کننده وجه وارد کرده و به این شکل رد پول را از بین برده و فعالیت‌های کلاهبرداری خود را انجام دهند.

گرچه احتمالا این فرآیند برای ساده‌سازی و تسهیل استرداد طراحی شده بود اما باعث ایجاد یک حفره‌ی امنیتی شده و افراد سودجو با استفاده از اطلاعات کارت بانکی دیگران اقدام به خرید بلیت می‌کردند و سپس در مرحله‌ خرید شماره ملی صاحب کارت مقصد (مثلاً خودشان یا همدست‌شان) را به‌عنوان یکی از مسافران وارد می‌کردند. در نتیجه، هنگام استرداد، چون کد ملی کارت مقصد با یکی از مسافران مطابقت داشت سامانه بدون توجه به اینکه پرداخت‌کننده اولیه چه کسی بوده، مبلغ را به کارت مقصد واریز می‌کرد.

این حفره امنیتی که از هفته گذشته برای بسیاری از سایت‌های خرید آنلاین بلیت قطار مشکل ایجاد کرده بود، حالا و طبق نامه رجا برطرف شده است و رجا تنها در حالتی مبلغ بلیت را به کاربران باز می‌گرداند که کد ملی خریدار با کد ملی استرداد کننده یکی باشد و مبلغ تنها به حساب خریدار بلیت واریز می‌شود.

در نامه‌ای که شرکت رجا برای شرکت‌های فروشنده بلیت قطار زده آمده است: « با توجه به پیگیری‌ها و درخواست های متعدد «فروشندگان وب سرویسی» مبنی بر بهره‌مندی از سامانه استرداد مستقل و بدون نیاز به اتصال به سامانه استرداد جامع که از مزایای آن می‌توان به رضایتمندی بیشتر مشتریان سایت ها و اپلیکیشن های فروش بلیت قطار اشاره کرد، در نظر است سامانه استرداد جامع بلیت‌های اینترنتی از روز شنبه مورخ ۱۴۰۴/۰۲/۲۰ از دسترسی خارج و به جای آن فرایند جدید استرداد بلیت که توسط هر یک از فروشندگان وب سرویسی به‌صورت مستقل انجام می شود پیاده‌سازی شود.
در ادامه این نامه آمده است: لازم است دارندگان حق امضای کلیه «فروشندگان وب سرویسی» جهت بهره‌مندی از این دسترسی ظرف روز جاری و فردا به واحد بازاریابی شرکت رجا مراجعه و پس از امضای تفاهم‌نامه و تعهدنامه‌های مربوطه نسبت به دریافت مستندات فنی پیاده‌سازی وب سرویس استرداد در سایت یا اپلیکیشن خود اقدام کنند. متقاضیان جهت بهره‌مندی از وب‌سرویس استرداد لازم است حداکثر تا روز شنبه مورخ ۱۴۰۴/۰۲/۲۰ نسبت به پیاده سازی موارد فنی در سایت یا اپلیکیشن خود اقدام کنند.»


لینک کوتاه :

ارسال دیدگاه