Mastercard está haciendo caso omiso de un defecto crítico de seguridad

Los vendedores que confían en el servicio de puerta de enlace de Internet de Mastercard (MIGS) para procesar pagos en línea deberían verificar cada transacción antes de enviar artículos a los clientes: Hay una falla crítica en el protocolo de validación del sistema y parece que la empresa está ignorándolo completamente.

Yohanes Nugroho, investigador independiente de seguridad, se topó con un defecto evidente en el protocolo MIGS que permite a los piratas informáticos burlar el sistema de pago y engañar a los comerciantes a aceptar transacciones inválidas como exitosas, sin siquiera saberlo.

“Se puede decir que se trata de un error de cliente MIGS, pero el método de hash elegido por Mastercard permite que esto suceda”, explica el investigador. “Si se hubiera codificado el valor, este error no será posible”.

De acuerdo con los hallazgos de Nugroho, los astuciosos atacantes pueden explotar esta deficiencia para inyectar valores no válidos en servicios de pago intermedios de terceros para evitar el sistema de Mastercard y enviar la solicitud directamente a los proveedores.

Como observó el investigador, “en lugar de validar las entradas en el lado del servidor de los comerciantes antes de enviarlo a MIGS,” las solicitudes sólo se verifican en el lado del cliente. Dado que estos datos nunca llegan a los servidores de Mastercard, siguen siendo susceptibles a la suplantación de identidad.

Esto significa que, si tiene éxito, los piratas informáticos podrían pasar las transacciones de pago no válidas como prueba absolutamente legítima de pago. Mientras que los comerciantes todavía tendrán que confirmar la transacción, la mayoría de los usuarios rara vez comprobar sus cuentas bancarias antes de aprobar las solicitudes – que es exactamente por qué esta laguna es tan preocupante.

Nugroho ha podido confirmar que al menos una pasarela de pago – Fusion Payments, una compañía valuada en $ 20 millones – fue susceptible a este ataque.

Fusion Payments ha premiado al investigador con una recompensa de 500 dólares. También han implementado una medida de filtración para evitar que los atacantes exploten este agujero.

Esto es lo que Nugroho dijo sobre la implementación de MIGS por parte de Fusion:

Inicialmente, ellos (Fusion) ni siquiera revisaron la firma de MIGS. Eso significa que sólo podemos alterar los datos devueltos por MIGS y marcar la transacción como exitosa. Esto sólo significa cambiar un solo carácter de F (falso) a 0 (éxito [ful]).

Así que básicamente podemos ingresar cualquier número de tarjeta de crédito, recibir una respuesta fallida de MIGS, cambiarla y de repente el pago es exitoso. Después de arreglar el error, descubrí que son vulnerables al error de hash Mastercard.

Redditors afirman que los hackers ya están explotando la vulnerabilidad en la India, donde MIGS es relativamente amplio utilizado, pero no hemos podido confirmar esto es realmente el caso.

Lo que es particularmente preocupante es que la vulnerabilidad puede ser explotada en prácticamente cualquier sistema dependiente de MIGS, no solo Fusion Payments. Sin embargo, Mastercard sigue ignorando las advertencias de Nugroho.

El investigador, que ya había informado y recibido una recompensa de $8,500 por encontrar un error similar en el sistema MIGS, le dijo a TNW que reportó el error a Mastercard el 17 de agosto, pero sus representantes aún deben reconocer el defecto. Eso es a pesar de que su puesto de divulgación protegido por contraseña ha sido alcanzado por los empleados de la compañía por lo menos tres veces hasta ahora.

Además de su reporte de fallos, también envió algunos de los oficiales de seguridad de Mastercard que procesaron su divulgación anterior. Nunca volvió a oírlos tampoco.

Nos hemos puesto en contacto con Mastercard para obtener más detalles y actualizaremos este post en consecuencia, si recibimos respuesta.

Mientras tanto, los proveedores, mejor permanecer en los dedos de los pies – algunas solicitudes de pago aparentemente válido podría no ser todo lo que legítimo después de todo.

Actualización: Seth Eisen, Vicepresidente Senior de Comunicaciones Externas de Mastercard, dijo lo siguiente:

Somos conscientes y hemos examinado las afirmaciones hechas por este investigador. Aunque esta afirmación específica no existe dentro de nuestro sistema, hemos identificado un potencial para una configuración errónea en los sitios de los comerciantes que podría afectar la forma en que se entregan los datos. Proporcionamos capacitación y recursos específicos al pequeño número de comerciantes que podrían verse afectados para minimizar la explotación de tal acción.

Fuente: thenextweb.com

0 comments on “Mastercard está haciendo caso omiso de un defecto crítico de seguridadAdd yours →

Deja un comentario