Ошибка в сервисе MIGS позволяет хакерам обманывать платежную систему.
Продавцы, использующие платежные шлюзы Mastercard (Mastercard Internet Gateway Service, MIGS), для обработки online-платежей, должны дважды проверять каждую транзакцию, прежде чем отправлять товары клиентам: существует серьезная уязвимость в протоколе проверки системы, и, судя по всему, Mastercard игнорирует ее.
Независимый исследователь по безопасности Йоханес Нугрохо (Yohanes Nugroho) обнаружил
серьезную уязвимость в протоколе MIGS, которая позволяет хакерам обманывать платежную систему и продавцов, принимая недействительные транзакции. Это возможно главным образом из-за метода хэширования, используемого Mastercard. «Если бы значение было закодировано, уязвимости бы не существовало», — объяснил исследователь.
Злоумышленники могут эксплуатировать данную ошибку для введения недопустимых значений в промежуточных сторонних платежных сервисах, чтобы полностью обойти систему Mastercard и передать запрос напрямую продавцам.
Перед отправкой в MIGS запросы проверяются только на стороне клиента. Так как эти данные не доходят до серверов Mastercard, они по-прежнему могут быть подменены. Хакеры могут выдавать недействительные транзакции как абсолютно законные доказательства платежа. Хотя торговцам по-прежнему приходится подтверждать транзакцию, большинство пользователей редко проверяют свои банковские счета, прежде чем одобрять запросы.
Несмотря на несколько попыток исследователя предупредить Mastercard, последняя никак не отреагировала на его сообщения. Позже вице-президент Mastercard по связям с общественностью Сет Эйзен (Seth Eisen) сообщил, что компании известно о наличии уязвимости на сайтах продавцов и в скором времени будут приняты меры по минимизации ущерба.
