De recente ongeautoriseerde afschrijvingen van rekeningen van bunq-klanten waren volgens de bank mogelijk door een kwetsbaarheid bij Mastercard. De betalingsverwerker geeft zelf geen details over de cyberaanval, maar erkent dat dit een 'bekende tactiek' van fraudeurs is.
Het probleem van ongeautoriseerde afschrijvingen werd volgens bunq veroorzaakt door een kwetsbaarheid in het tokenizationsysteem van Mastercard. Dit systeem moet ervoor zorgen dat creditkaartnummers bij onlinetransacties worden vervangen door een code als 'token' voor de specifieke transactie.
Door middel van een bruteforceaanval op dit systeem voerden criminelen grote hoeveelheden willekeurige creditkaartgegevens in, ofwel combinaties van creditkaartnummers en verloopdata. De kwetsbaarheid maakte het volgens bunq voor de criminelen mogelijk om de juiste combinaties van creditkaartnummers en verloopdata te verifiëren. Dat gebeurde via een 'wereldwijd actief online retailplatform'.
De criminelen zouden vervolgens geprobeerd hebben om via een zakelijk account voor PayPal aankopen met een 'lage waarde' te doen, zodat er geen kaartverificatiecode nodig was. De bank meldt dat dit gebeurde vanuit regio's waar het 3DS-protocol niet verplicht is. Dit is een extra beveiligingsprotocol voor creditcards waarmee bijvoorbeeld de eigenaar van een creditkaart nogmaals geverifieerd kan worden door middel van een eenmalige verificatiecode.
Reactie Mastercard
Volgens een woordvoerder van bunq is de technische informatie over de cyberaanval in samenspraak met Mastercard geformuleerd. Tweakers heeft het statement ook aan Mastercard voorgelegd en heeft daar geen inhoudelijke reactie op gekregen. Het bedrijf heeft ook geen verbeteringen gesuggereerd. Wel heeft de betalingsverwerker een eigen statement gestuurd. In een reactie schrijft het bedrijf dat 'cardtestingaanvallen of BIN-aanvallen bekende tactieken van fraudeurs zijn'.
Mastercard claimt dat er meerdere beveiligingslagen zijn om ongebruikelijke activiteit op te merken. "Fraudeurs passen de methoden echter constant aan", aldus het bedrijf. Gedupeerden zijn verzekerd tegen financiële schade, maar Mastercard laat in het midden of er daadwerkelijk fraude heeft plaatsgevonden.
Zorgen van tweakers
Tweakers schreef gisteren over de meldingen van verschillende tweakers, die op het forum zeiden slachtoffer te zijn van financiële fraude. Een bunq-woordvoerder liet toen al doorschemeren dat het niet om een datalek bij de Nederlandse bank ging, maar om een probleem bij een externe betalingsverwerker. Vanwege het responsible disclosure-principe konden er toen nog geen aanvullende details gedeeld worden. Intussen is Mastercard volgens bunq op de hoogte van de kwetsbaarheid en wordt er aan een oplossing gewerkt.
Het is echter nog steeds niet duidelijk waarom er alleen ongeautoriseerde afschrijvingen bij bunq-klanten lijken te hebben plaatsgevonden. Volgens een woordvoerder gebeurde het ook bij andere banken, wat op basis van een kwetsbaarheid bij Mastercard logisch zou zijn. Tot dusver heeft Tweakers echter geen indicatie dat dit ook daadwerkelijk bij andere banken heeft plaatsgevonden. Mastercard reageerde niet op vragen over de mogelijke wereldwijde aard van het probleem en of ook klanten van andere banken getroffen waren.