Os fornecedores que dependem do serviço de gateway de internet da Mastercard, também conhecido como MIGS, devem verificar as transações online antes de enviar para os clientes, pois foi encontrada uma falha crítica no protocolo de validação do sistema e parece que a empresa está ignorando completamente isso.
Conforme relata o The Next Web, o pesquisador independente de segurança Yohanes Nugroho encontrou uma falha no protocolo MIGS que permite que hackers escondam o sistema de pagamento e consigam aprovar transações inválidas com sucesso.
Os cibercriminosos aproveitam a brecha para injetar valores inválidos em serviços de pagamento de terceiros para solicitar o valor diretamente aos fornecedores. Como o pesquisador observou, em vez de validar entradas no lado do servidor antes de enviá-las para o MIGS, os pedidos só são verificados no lado do cliente. Esses dados nunca chegam aos servidores da Mastercard.
Nugroho conseguiu confirmar que pelo menos um gateway de pagamento, a Fusion Payments, uma empresa avaliada em US$ 20 milhões, era suscetível a este ataque.
A MasterCard afirma que já está ciente sobre as alegações feitas pelo pesquisador. “Embora esta alegação em particular não exista em nosso sistema, identificamos a possibilidade de ocorrer um problema de configuração nos estabelecimentos comerciais que poderia vir a afetar a forma como os dados são transmitidos. Estamos providenciando treinamento e recursos específicos para o pequeno número de estabelecimentos que podem ter sido afetados, de forma a mitigar qualquer tipo de uso indevido desse problema”.