Résumé
bunq a découvert des tentatives malveillantes pour obtenir des détails de cartes bancaires auprès d’un commerçant via les services de tokenisation de Mastercard et l’a signalé à Mastercard. Les attaquants ont utilisé des techniques de force brute pour identifier des détails de cartes valides lors de tentatives de tokenisation chez des commerçants dépourvus de certains contrôles. En cas de succès, le numéro de carte (« PAN ») et la date d’expiration ont été détournés pour des tentatives de paiements de faible montant via des comptes commerçants qui ne vérifient pas le CVC de la carte (code à trois chiffres au dos de la carte) ni 3DS (authentification à deux facteurs). Mastercard a confirmé à bunq que le problème touche plusieurs banques et travaille avec le commerçant concerné pour résoudre la situation pour toutes les banques et tous leurs utilisateurs affectés.
Détails de l’incident
Les fraudeurs ont exploité des commerçants non conformes dans le processus de tokenisation de Mastercard en envoyant de gros volumes de données de cartes (par exemple PAN et date d’expiration) en succession rapide pour tester les identifiants de carte sans CVC ni 3DS.
Les contrôles contre les tentatives de force brute étaient insuffisants chez le commerçant concerné, ce qui a permis aux attaquants de confirmer des combinaisons PAN/date d’expiration valides. Mastercard a également confirmé qu’elle travaille en étroite collaboration avec les acquéreurs (les banques des commerçants) pour améliorer les contrôles des commerçants et réduire ce type d’attaques de tests de cartes.
Par la suite, des tentatives ont été faites pour utiliser ces identifiants afin d’effectuer des paiements de faible montant via des commerçants qui ne demandent pas de CVC, dans des régions où 3DS n’est pas obligatoire.
Les systèmes de bunq n’ont pas été impactés et restent totalement sécurisés. Un nombre limité d’utilisateurs a été ciblé par des tentatives de paiement frauduleuses, qui ont été détectées par les systèmes de surveillance de bunq.
Mesures d’atténuation
bunq a signalé ce problème à Mastercard via son processus de divulgation responsable. Mastercard a indiqué à bunq qu’elle applique une tolérance zéro face à la fraude, qu’elle a informé les commerçants de ces abus au nom de ses banques partenaires et qu’elle travaille avec les acquéreurs de ces commerçants pour garantir le respect des règles du réseau.
Tous les utilisateurs concernés ont été entièrement remboursés et, pour les protéger de futurs abus, de nouvelles cartes ont été émises. bunq a mis en place une surveillance supplémentaire pour détecter les anomalies dans les demandes de tokenisation des commerçants.
Mastercard a informé bunq qu’en cas d’incidents de tests de cartes, elle collabore avec toutes les parties prenantes de l’écosystème pour aider à atténuer le problème. Cependant, comme les schémas de tokenisation sont imprévisibles, des blocages et des limites systématiques ne peuvent pas toujours être appliqués. bunq dispose de systèmes de surveillance et d’alerte pour protéger les titulaires de cartes, mais ne peut pas instaurer ses propres limites de fréquence sans bloquer des commerçants légitimes et potentiellement impacter l’expérience utilisateur. À court terme, la mesure la plus efficace consiste à désactiver la tokenisation chez certains commerçants, ce qui peut empêcher temporairement certains utilisateurs de configurer des paiements récurrents par carte auprès de ces commerçants.