Zusammenfassung

bunq hat über die Tokenisierungsdienste von Mastercard böswillige Versuche entdeckt, bei einem Händler Kartendaten zu erlangen, und dies Mastercard gemeldet. Die Angreifer:innen nutzten Brute-Force-Methoden, um bei Händlern ohne bestimmte Sicherheitskontrollen gültige Kartendaten bei Tokenisierungsversuchen zu identifizieren. Bei Erfolg wurden die Kartennummer („PAN“) und das Ablaufdatum für Zahlungsversuche mit geringem Wert über Händlerkonten missbraucht, die weder die Kartenprüfnummer (CVC, dreistelliger Code auf der Karte) noch die 3D-Secure-Prüfung (Zwei-Faktor-Authentifizierung) erfassen. Mastercard bestätigte bunq, dass das Problem mehrere Banken betrifft und arbeitet mit dem betroffenen Händler zusammen, um die Situation für alle betroffenen Banken und deren Nutzer:innen zu beheben.

Der Vorfall im Detail

• Betrüger:innen nutzten nicht konforme Händler im Tokenisierungsprozess von Mastercard aus, indem sie große Mengen an Kartendaten (z. B. PAN und Ablaufdatum) in schneller Folge abfeuerten, um Karteninformationen ohne CVC oder 3DS zu testen.

• Die Schutzmaßnahmen gegen Brute-Force-Angriffe waren beim betroffenen Händler unzureichend, wodurch Angreifer gültige Kombinationen aus PAN und Ablaufdatum bestätigen konnten. Mastercard hat außerdem bestätigt, dass eng mit Acquirern (Banken der Händler) zusammengearbeitet wird, um die Händlerkontrollen zu verbessern und ähnliche Kartentest-Angriffe zu reduzieren.

• Anschließend wurde versucht, diese Daten für Zahlungsversuche mit geringem Wert bei Händlern zu verwenden, die keinen CVC erfordern, in Regionen, in denen 3DS nicht verpflichtend ist.

• Die Systeme von bunq waren nicht betroffen und bleiben vollständig sicher. Eine begrenzte Anzahl von Nutzer:innen war Ziel von betrügerischen Zahlungsversuchen, die von den Überwachungssystemen von bunq erkannt wurden.

Gegenmaßnahmen

• bunq hat dieses Problem über seinen Responsible-Disclosure-Prozess an Mastercard gemeldet. Mastercard teilte bunq mit, dass es keine Toleranz gegenüber Betrug hat, die Händler im Namen seiner Bankpartner über den Missbrauch informiert hat und mit den Acquirern der Händler zusammenarbeitet, um die Einhaltung der Netzwerkregeln sicherzustellen.

• Alle betroffenen Nutzer:innen wurden vollständig entschädigt, und um sie vor zukünftigem Missbrauch zu schützen, wurden neue Karten ausgestellt. bunq hat zusätzliche Überwachungsmechanismen implementiert, um Unregelmäßigkeiten in Tokenisierungsanfragen von Händlern zu erkennen.

• Mastercard hat bunq mitgeteilt, dass bei Kartentest-Vorfällen mit allen Beteiligten im Ökosystem zusammengearbeitet wird, um das Problem zu mindern. Da Tokenisierungsmuster jedoch unvorhersehbar sind, können routinemäßige Sperren und Limits nicht immer verhängt werden. bunq verfügt über Monitoring und Alarme, um Karteninhaber:innen zu schützen, kann aber keine eigenen Rate-Limits einführen, ohne legitime Händler zu blockieren und möglicherweise das Nutzungserlebnis zu beeinträchtigen. Als kurzfristige Maßnahme ist der effektivste Schritt, die Tokenisierung bei bestimmten Händlern zu deaktivieren. Das kann bedeuten, dass einige Nutzer:innen dort vorübergehend keine wiederkehrenden Kartenzahlungen einrichten können.