Samenvatting

bunq heeft kwaadwillige pogingen ontdekt om betaalkaartgegevens van klanten bij een winkelier te bemachtigen via de tokenization-diensten van Mastercard en heeft dit gemeld aan Mastercard. De aanvallers gebruikten brute-force-tactieken om geldige kaartgegevens te achterhalen tijdens tokenization-pogingen bij winkeliers die bepaalde controles misten. Als dit lukte, werden het kaartnummer (“PAN”) en de vervaldatum misbruikt voor laagwaardige betalingspogingen via winkelier-accounts die geen CVC van de pas (de driecijferige code op de pas) en 3DS (tweefactorauthenticatie) controleren. Mastercard heeft aan bunq bevestigd dat het probleem meerdere banken betreft en werkt samen met de getroffen winkelier om de situatie voor alle betrokken banken en hun gebruikers op te lossen.

Incident in meer detail

• Fraudeurs maakten misbruik van niet-conforme winkeliers in het tokenization-proces van Mastercard door in hoog tempo grote hoeveelheden kaartgegevens (bijv. PAN en vervaldatum) achter elkaar te versturen om kaartgegevens te testen zonder CVC of 3DS.

• De controles tegen brute-force-pogingen waren onvoldoende bij de getroffen merchant, waardoor aanvallers geldige combinaties van PAN en vervaldatum konden bevestigen. Mastercard heeft ook bevestigd dat ze nauw samenwerkt met acquirers (banken van winkeliers) om winkeliers-controles te verbeteren en vergelijkbare kaart-testaanvallen te verminderen.

• Vervolgens zijn er pogingen gedaan om deze gegevens te gebruiken voor laagwaardige betalingspogingen via winkeliers die geen CVC vereisen, in regio’s waar 3DS niet verplicht is.

• De systemen van bunq zijn niet getroffen en blijven volledig veilig. Een beperkt aantal gebruikers werd het doelwit van frauduleuze betalingspogingen, die werden gedetecteerd door de monitoringsystemen van bunq.

Beperking van de impact

• bunq heeft dit probleem via het verantwoorde meldingsproces gemeld aan Mastercard. Mastercard heeft bunq laten weten dat het nul tolerantie heeft voor fraude, de winkeliers namens zijn bankpartners heeft geïnformeerd over het misbruik en samenwerkt met de acquirers van de winkeliers om naleving van de netwerkregels te waarborgen.

• Alle getroffen gebruikers zijn volledig terugbetaald en om hen tegen toekomstig misbruik te beschermen, zijn er nieuwe passen uitgegeven. bunq heeft extra monitoring ingesteld om afwijkingen in tokenization-verzoeken van winkeliers op te sporen.

• Mastercard heeft bunq laten weten dat het bij kaarttest-incidenten met alle partijen in het systeem samenwerkt om het probleem te helpen beperken. Omdat tokenization-patronen echter onvoorspelbaar zijn, kunnen niet altijd standaardblokkades en limieten worden opgelegd. bunq heeft monitoring en meldingen opgesteld om kaarthouders te beschermen, maar kan geen eigen prijslimieten instellen zonder legitieme winkeliers te blokkeren en mogelijk de gebruikservaring te beïnvloeden. Als kortetermijnmaatregel is de meest effectieve stap om tokenization bij bepaalde winkeliers uit te schakelen, wat kan betekenen dat sommige gebruikers daar tijdelijk geen terugkerende kaartbetalingen kunnen instellen.