Riepilogo

bunq ha scoperto tentativi malevoli di ottenere i dati delle carte di pagamento presso un esercente attraverso i servizi di tokenizzazione di Mastercard e ha segnalato l'accaduto a Mastercard. Gli aggressori hanno utilizzato tattiche di "brute-force" per identificare i dati validi delle carte durante i tentativi di tokenizzazione presso esercenti privi di determinati controlli. Una volta ottenuti, il numero della carta (“PAN”) e la data di scadenza sono stati usati impropriamente per tentativi di pagamento di basso valore tramite conti di esercenti che non richiedono il CVC (codice a tre cifre sulla carta) e i controlli 3DS (autenticazione a due fattori). Mastercard ha confermato a bunq che il problema riguarda diverse banche e sta lavorando con l'esercente interessato per risolvere la situazione per tutte le banche e i loro utenti coinvolti.

L'incidente in dettaglio

• I truffatori hanno sfruttato esercenti non conformi nel processo di tokenizzazione di Mastercard, inviando grandi volumi di dati di carte (es. PAN e data di scadenza) in rapida successione per testare le credenziali delle carte senza CVC o 3DS.

• I controlli contro i tentativi di "brute-force" erano insufficienti presso l'esercente interessato, il che ha permesso agli aggressori di confermare le combinazioni valide di PAN/data di scadenza. Mastercard ha anche confermato che sta lavorando a stretto contatto con gli acquirer (le banche degli esercenti) per migliorare i controlli degli esercenti e ridurre simili attacchi di "card testing".

• Successivamente, sono stati fatti tentativi di utilizzare queste credenziali per effettuare pagamenti di basso valore tramite esercenti che non richiedono il CVC, in regioni dove il 3DS non è obbligatorio.

• I sistemi di bunq non sono stati impattati e rimangono completamente sicuri. Un numero limitato di utenti è stato bersaglio di tentativi di pagamento fraudolenti, che sono stati rilevati dai sistemi di monitoraggio di bunq.

Mitigazione

• bunq ha segnalato questo problema a Mastercard attraverso il suo processo di "responsible disclosure". Mastercard ha comunicato a bunq di avere tolleranza zero per le frodi, di aver notificato agli esercenti l'uso improprio per conto delle sue banche partner e di stare lavorando con gli acquirer degli esercenti per garantire la conformità alle regole del circuito.

• Tutti gli utenti interessati sono stati completamente rimborsati e, per proteggerli da futuri abusi, sono state emesse nuove carte. bunq ha implementato un monitoraggio aggiuntivo per rilevare anomalie nelle richieste di tokenizzazione degli esercenti.

• Mastercard ha informato bunq che, quando si verificano incidenti di "card testing", lavora con tutti gli stakeholder dell'ecosistema per aiutare a mitigare il problema. Tuttavia, poiché i pattern di tokenizzazione sono imprevedibili, non è sempre possibile imporre blocchi e limiti di routine. bunq dispone di sistemi di monitoraggio e allerta per proteggere i titolari delle carte, ma non può introdurre i propri limiti di frequenza senza bloccare esercenti legittimi e potenzialmente impattare l'esperienza utente. Come misura a breve termine, il passo più efficace è disabilitare la tokenizzazione presso determinati esercenti, il che potrebbe significare che alcuni utenti non saranno temporaneamente in grado di impostare pagamenti ricorrenti con carta presso di essi.