Podsumowanie

bunq wykrył złośliwe próby pozyskania danych kart płatniczych u jednego ze sprzedawców za pośrednictwem usług tokenizacji Mastercard i zgłosił to Mastercard. Atakujący używali metody brute force, żeby podczas prób tokenizacji u sprzedawców bez odpowiednich zabezpieczeń zidentyfikować prawidłowe dane kart. Gdy im się to udawało, numer karty („PAN”) i data ważności były wykorzystywane do prób niskokwotowych płatności u sprzedawców, którzy nie wymagają podania CVC karty (trzycyfrowy kod na karcie) ani weryfikacji 3DS (uwierzytelnianie dwuskładnikowe). Mastercard potwierdził bunq, że problem dotyczy kilku banków i współpracuje z zaatakowanym sprzedawcą, aby rozwiązać sytuację dla wszystkich dotkniętych banków i ich użytkowników.

Szczegóły incydentu

• Oszuści wykorzystali niezgodnych z zasadami sprzedawców w procesie tokenizacji Mastercard, wysyłając w krótkim czasie duże ilości danych kart (np. PAN i datę ważności), aby testować dane kart bez użycia CVC i 3DS.

• Zabezpieczenia przed próbami brute force u zaatakowanego sprzedawcy były niewystarczające, co pozwoliło atakującym potwierdzić prawidłowe kombinacje PAN/data ważności. Mastercard potwierdził również, że ściśle współpracuje z acquirerami (bankami obsługującymi sprzedawców), aby poprawić zabezpieczenia po stronie sprzedawców i ograniczyć podobne ataki testujące karty.

• Następnie podjęto próby wykorzystania tych danych do niskokwotowych płatności u sprzedawców, którzy nie wymagają CVC, w regionach, w których 3DS nie jest obowiązkowe.

• Systemy bunq nie zostały naruszone i pozostają w pełni bezpieczne. Ograniczona liczba użytkowników stała się celem nieautoryzowanych prób płatności, które zostały wykryte przez systemy monitoringu bunq.

Środki zaradcze

• bunq zgłosił ten problem do Mastercard w ramach procesu odpowiedzialnego ujawniania. Mastercard poinformował bunq, że ma zerową tolerancję dla oszustw, powiadomił sprzedawców o nadużyciach w imieniu swoich partnerów bankowych i współpracuje z acquirerami tych sprzedawców, aby zapewnić zgodność z zasadami sieci.

• Wszyscy dotknięci użytkownicy otrzymali pełny zwrot środków, a żeby chronić ich przed kolejnymi nadużyciami, wydano im nowe karty. bunq wdrożył dodatkowy monitoring, aby wykrywać nieprawidłowości w żądaniach tokenizacji pochodzących od sprzedawców.

• Mastercard poinformował bunq, że w przypadku incydentów związanych z testowaniem kart współpracuje ze wszystkimi uczestnikami ekosystemu, aby pomóc ograniczyć problem. Jednak ze względu na nieprzewidywalny charakter wzorców tokenizacji, rutynowe blokady i limity nie zawsze mogą zostać zastosowane. bunq ma wdrożone systemy monitorowania i alertów, które chronią posiadaczy kart, ale nie może samodzielnie wprowadzić limitów częstotliwości bez blokowania legalnych sprzedawców i potencjalnego pogorszenia doświadczenia użytkowników. Jako krótkoterminowe rozwiązanie najskuteczniejszym krokiem jest wyłączenie tokenizacji u niektórych sprzedawców, co może oznaczać, że część użytkowników tymczasowo nie będzie mogła skonfigurować tam cyklicznych płatności kartą.