Resumen
bunq detectó intentos maliciosos de obtener datos de tarjetas bancarias en un comercio a través de los servicios de tokenización de Mastercard y lo notificó a Mastercard. Los atacantes usaron tácticas de fuerza bruta para identificar datos de tarjeta válidos durante los intentos de tokenización en comercios que no tenían ciertos controles. Cuando tenían éxito, el número de la tarjeta (“PAN”) y la fecha de caducidad se utilizaban de forma indebida para intentos de pago de bajo valor a través de cuentas de comercios que no solicitan el CVC de la tarjeta ni verificaciones 3DS (autenticación en dos pasos). Mastercard confirmó a bunq que el problema afecta a varios bancos y que está trabajando con el comercio implicado para solucionar la situación para todos los bancos y usuarios afectados.
Detalles del incidente
Los estafadores aprovecharon comercios que no cumplían las normas en el proceso de tokenización de Mastercard, enviando grandes volúmenes de datos de tarjetas (por ejemplo, PAN y fecha de caducidad) en forma masiva para probar las credenciales sin necesidad de CVC ni 3DS.
Los controles contra intentos de fuerza bruta eran insuficientes en el comercio implicado, lo que permitió a los atacantes confirmar combinaciones válidas de PAN y fecha de caducidad. Mastercard también ha confirmado que está trabajando estrechamente con los adquirentes (bancos de los comercios) para mejorar los controles y reducir ataques similares.
Después, se intentó usar estas credenciales para hacer intentos de pago de bajo valor a través de comercios que no requieren CVC, en regiones donde 3DS no es obligatorio.
Los sistemas de bunq no se han visto afectados y siguen siendo totalmente seguros. Un número limitado de usuarios fue objeto de intentos de pago fraudulentos, que fueron detectados por los sistemas de monitorización de bunq.
Medidas adoptadas
bunq informó de este problema a Mastercard a través de su proceso de divulgación responsable. Mastercard indicó a bunq que tiene tolerancia cero con el fraude, ha notificado a los comercios el uso indebido en nombre de sus bancos socios y está trabajando con los adquirentes de esos comercios para garantizar el cumplimiento de las normas de la red.
Todos los usuarios afectados han sido reembolsados y, para protegerlos de futuros abusos, se han emitido nuevas tarjetas. bunq ha implementado una monitorización adicional para detectar anomalías en las solicitudes de tokenización de los comercios.
Mastercard ha informado a bunq de que, cuando se producen incidentes de prueba de tarjetas, colabora con todas las partes implicadas del ecosistema para ayudar a mitigar el problema. Sin embargo, debido a que los patrones de tokenización son impredecibles, no siempre se pueden aplicar bloqueos y límites de forma rutinaria. bunq cuenta con sistemas de monitorización y alertas para proteger a los titulares de tarjetas, pero no puede introducir sus propios límites de frecuencia sin bloquear a comercios legítimos y afectar potencialmente a la experiencia de los usuarios. Como medida a corto plazo, el paso más efectivo es desactivar la tokenización en ciertos comercios, lo que puede significar que algunos usuarios no puedan configurar pagos recurrentes con tarjeta temporalmente.