Pesquisadores da Escola de Ciência da Computação da Universidade de Newcastle, no Reino Unido, descobriram uma brecha de segurança nos sistemas de pagamento da Visa que torna possível decifrar informações de cartões de crédito da marca em apenas seis segundos.
O problema consiste na junção de duas fraquezas. Em primeiro lugar, os sistemas de pagamento não detectam múltiplos requerimentos inválidos que venham de sites diferentes, o que significa que o hacker pode criar um programa que faça com que o sistema receba requisições de vários sites e ele jamais seria descoberto. Cada site pode fazer entre dez e vinte tentativas antes de ser bloqueado pelo sistema.
Em segundo lugar, cada vez que o sistema de pagamento é acionado, ele pede uma peça diferente de informação do comprador: às vezes é o número do cartão com data de validade, às vezes esses dois mais o CVV (número de segurança). Como a cada compra é requisitado um dado diferente, dá para adivinhar todas as informações pouco a pouco ao juntar as peças, como se tudo não passasse de um quebra-cabeça.
Mohammed Ali, estudante PhD que liderou o experimento, informou em uma nota à imprensa que esse processo de adivinhação é muito fácil porque os cartões de crédito usam sistemas numéricos simples. Como o CVV é composto de apenas três números, com mil tentativas é possível obter a combinação correta, e como a maioria dos cartões vem com validade de 60 meses, são necessárias 60 tentativas para conseguir os números.
Com as duas falhas combinadas, leva algo em torno de seis segundos para descobrir as informações necessárias para gastar o dinheiro alheio pela internet. A MasterCard não oferece esse risco porque possui uma rede centralizada, o que fez com que a bandeira detectasse o ataque em menos de dez tentativas.
O doutor Martin Emms, coautor do estudo, declarou que não há algo que os consumidores possam fazer para evitar cair num golpe do gênero, cabe à Visa trabalhar para resolver a questão. “A única forma certa de não ser hackeado é manter seu dinheiro no colchão e isso não é algo que eu recomendaria”, escreveu.