Mastercard-kwetsbaarheid leidde tot ongewenste afschrijvingen bij bunq

Recente pogingen tot ongeautoriseerde afschrijvingen bij bunq-klanten zijn volgens bunq te wijten aan een kwetsbaarheid in het tokenisatiesysteem van Mastercard. Dit systeem vervangt creditcardgegevens bij online aankopen door een uniek ‘token’.

Met behulp van een bruteforce-aanval konden criminelen grootschalig willekeurige creditcardnummers en vervaldata invoeren. Zo lukte het hen om via een wereldwijde online winkel te achterhalen welke combinaties geldig waren.

Vervolgens probeerden ze met een zakelijk PayPal-account kleine aankopen te doen — vaak zonder de noodzaak van een verificatiecode — vooral in regio’s waar het 3DS-protocol niet verplicht is.

Mastercard gaf geen inhoudelijke details over de aanval, maar erkent dat ‘card testing’ of BIN-aanvallen gangbare fraudepraktijken zijn. 

Het betalingsbedrijf benadrukt dat het meerdere beveiligingslagen hanteert om afwijkende activiteiten te herkennen. Toch zijn fraudeurs voortdurend bezig hun tactieken aan te passen.