Resumo

O bunq detetou tentativas maliciosas de obter dados de cartões bancários junto de um comerciante através dos serviços de tokenização da Mastercard e reportou a situação à Mastercard. Os atacantes usaram táticas de força bruta para identificar dados de cartão válidos durante tentativas de tokenização em comerciantes que não tinham certos controlos. Quando tinham sucesso, o número do cartão (“PAN”) e a data de validade eram usados de forma abusiva para tentativas de pagamentos de baixo valor em contas de comerciantes que não exigem o CVC do cartão (código de três dígitos no cartão) nem 3DS (autenticação de dois fatores). A Mastercard confirmou ao bunq que o problema afeta vários bancos e está a trabalhar com o comerciante em causa para resolver a situação para todos os bancos e utilizadores afetados.

Incidente em mais detalhe

• Os fraudadores exploraram comerciantes não conformes no processo de tokenização da Mastercard, disparando grandes volumes de dados de cartões (por exemplo, PAN e data de validade) em rápida sucessão para testar credenciais de cartões sem CVC ou 3DS.

• Os controlos contra tentativas de força bruta eram insuficientes no comerciante afetado, o que levou a que os atacantes conseguissem confirmar combinações válidas de PAN/data de validade. A Mastercard confirmou também que está a trabalhar de perto com os adquirentes (bancos dos comerciantes) para melhorar os controlos dos comerciantes e reduzir ataques semelhantes de teste de cartões.

• Subsequentemente, foram feitas tentativas de usar estas credenciais para efetuar pagamentos de baixo valor através de comerciantes que não exigem CVC, em regiões onde o 3DS não é obrigatório.

• Os sistemas do bunq não foram afetados e continuam totalmente seguros. Um número limitado de utilizadores foi alvo de tentativas de pagamentos fraudulentos, que foram detetadas pelos sistemas de monitorização do bunq.

Mitigação

• O bunq reportou este problema à Mastercard através do seu processo de divulgação responsável. A Mastercard disse ao bunq que tem tolerância zero à fraude, notificou os comerciantes sobre o uso indevido em nome dos seus bancos parceiros e está a trabalhar com os adquirentes dos comerciantes para garantir o cumprimento das regras da rede.

• Todos os utilizadores afetados foram totalmente reembolsados e, para os proteger de abusos futuros, foram emitidos novos cartões. O bunq implementou monitorização adicional para detetar anomalias nos pedidos de tokenização dos comerciantes.

• A Mastercard informou o bunq de que, quando ocorrem incidentes de teste de cartões, trabalha com todas as partes envolvidas no ecossistema para ajudar a mitigar o problema. No entanto, como os padrões de tokenização são imprevisíveis, nem sempre é possível aplicar bloqueios e limites de forma rotineira. O bunq tem sistemas de monitorização e alertas para proteger os titulares de cartões, mas não pode introduzir limites de taxa próprios sem bloquear comerciantes legítimos e potencialmente afetar a experiência do utilizador. Como medida de curto prazo, o passo mais eficaz é desativar a tokenização em determinados comerciantes, o que pode significar que alguns utilizadores não consigam, temporariamente, configurar pagamentos recorrentes com cartão nesses locais.