ohanes Nugroho, um pesquisador de segurança independente, encontrou uma falha no Internet Gateway Service da Mastercard (MIGS) que permite a realização de compras falsas.
De acordo com o Yohanes, a falha crítica ocorre no protocolo de validação do sistema, permitindo que hackers passem o cartão ao realizar compras e o valor não ser debitado da conta.
O relato indica que os comerciantes não percebem o golpe, porque a máquina de transação acusa o sucesso da transferência. “Pode ser dito que isso é um bug do cliente MIGS, mas o método de hashing escolhido pela Mastercard permite que isso aconteça. Se os valores [da transação] fossem codificados, esse bug não aconteceria”, disse o pesquisador.
Caso você não saiba, o MIGS funciona da seguinte maneira: quando você realiza um pagamento em um ecommerce, por exemplo, o dono do site apenas conecta o próprio sistema em uma porta de pagamento intermediário (digamos, PagSeguro ou BoaCompra). Então, essa porta se conecta em outros sistemas de pagamentos, como o da Mastercard.
Yohanes ainda comenta que hackers podem explorar a falha injetando valores inválidos em serviços de pagamento intermediários feitos por terceiros. Dessa maneira, os atacantes passam o MIGS da Mastercard para validar compras falsas.
Notícias Relacionadas
Posicionamento Mastercard enviado ao TecMundo: “Estamos cientes e analisamos as alegações feitas por este pesquisador. Embora essa reivindicação específica não exista em nosso sistema, identificamos o potencial de uma má configuração nos sites dos comerciantes que, potencialmente, podem afetar a forma como os dados são entregues. Estamos fornecendo treinamento e recursos específicos para o pequeno número de comerciantes que possam ser afetados para minimizar qualquer exploração de tal ação”.
Envolvidos e criptografia
A questão preocupante disso, além do próprio crime em si, é que os comerciantes não costumam checar se o dinheiro já caiu na conta após a transferência. Então, esse dinheiro perdido por pequenos comerciantes pode virar uma grande dor de cabeça.O método de hashing escolhido pela Mastercard até 2016 era o MD5. Yohanes já havia encontrado uma falha nessa encriptação e alertou a companhia. Neste ano, a Mastercard utiliza o hashing HMAC-SHA256 — e parece que terá que mudar após essa descoberta.
Além dos Estados Unidos, a Índia também já sofre com isso
Até o momento e pesquisando por conta própria, Yohanes descobriu apenas uma fraude desse método, feita na empresa Fusion Payments. A Fusion, como recompensa, pagou US$ 500 ao pesquisador. Além disso, a companhia intermediária implementou um filtro que previne novas ações criminosas do tipo.