Yohanes Nugroho, um pesquisador de segurança independente, encontrou uma falha no Internet Gateway Service da Mastercard (MIGS) que permite a realização de compras falsas. De acordo com o Yohanes, a falha crítica ocorre no protocolo de validação do sistema, permitindo que hackers passem o cartão ao realizar compras e o valor não ser debitado da conta.
O relato indica que os comerciantes não percebem o golpe, porque a máquina de transação acusa o sucesso da transferência. “Pode ser dito que isso é um bug do cliente MIGS, mas o método de hashing escolhido pela Mastercard permite que isso aconteça. Se os valores [da transação] fossem codificados, esse bug não aconteceria”, disse o pesquisador.
Caso você não saiba, o MIGS funciona da seguinte maneira: quando você realiza um pagamento em um ecommerce, por exemplo, o dono do site apenas conecta o próprio sistema em uma porta de pagamento intermediário (digamos, PagSeguro ou BoaCompra). Então, essa porta se conecta em outros sistemas de pagamentos, como o da Mastercard.
Yohanes ainda comenta que hackers podem explorar a falha injetando valores inválidos em serviços de pagamento intermediários feitos por terceiros. Dessa maneira, os atacantes passam o MIGS da Mastercard para validar compras falsas.
Posicionamento Mastercard enviado ao TecMundo: “Estamos cientes e analisamos as alegações feitas por este pesquisador. Embora essa reivindicação específica não exista em nosso sistema, identificamos o potencial de uma má configuração nos sites dos comerciantes que, potencialmente, podem afetar a forma como os dados são entregues. Estamos fornecendo treinamento e recursos específicos para o pequeno número de comerciantes que possam ser afetados para minimizar qualquer exploração de tal ação”.
Envolvidos e criptografia
A questão preocupante disso, além do próprio crime em si, é que os comerciantes não costumam checar se o dinheiro já caiu na conta após a transferência. Então, esse dinheiro perdido por pequenos comerciantes pode virar uma grande dor de cabeça.
O método de hashing escolhido pela Mastercard até 2016 era o MD5. Yohanes já havia encontrado uma falha nessa encriptação e alertou a companhia. Neste ano, a Mastercard utiliza o hashing HMAC-SHA256 — e parece que terá que mudar após essa descoberta.
Até o momento e pesquisando por conta própria, Yohanes descobriu apenas uma fraude desse método, feita na empresa Fusion Payments. A Fusion, como recompensa, pagou US$ 500 ao pesquisador. Além disso, a companhia intermediária implementou um filtro que previne novas ações criminosas do tipo.
Sobre os países que já registraram esse tipo de atividade criminosa além dos Estados Unidos, usuários do Reddit estão indicando que a Índia também já sofre com isso, como apontou o The Next Web.