Große Sicherheitslücke im Mastercard Tokenisierungssystem
Die niederländische Digitalbank bunq hat eine kritische Schwachstelle im Tokenisierungsprozess von Mastercards Digital Enablement Service (MDES) entdeckt, die Angreifern ermöglichte, Kreditkartendetails durch eine große globale Handelsplattform per Brute-Force zu ermitteln. Die am 19. August 2025 entdeckte Sicherheitslücke stellt eine der ausgeklügelsten Zahlungssystem-Schwachstellen der letzten Jahre dar.
Wie der Angriff Funktioniert
Cyberkriminelle nutzten Schwachstellen in Mastercards Karten-Tokenisierungsinfrastruktur aus, indem sie das System mit massiven Mengen an Kartendatenkombinationen überschwemmten. Die Angreifer testeten systematisch Primary Account Numbers (PANs) und Ablaufdaten in schneller Folge und nutzten unzureichende Brute-Force-Schutzmechanismen auf Händler- und Mastercard-Ebene aus.
Sobald gültige PAN/Ablaufdatum-Kombinationen durch den Tokenisierungsprozess bestätigt wurden, nutzten Betrüger diese kompromittierten Zugangsdaten sofort für niedrigwertige Zahlungsversuche über PayPal-Händlerkonten. Dieser strategische Ansatz ermöglichte es ihnen, Standard-Sicherheitsmaßnahmen zu umgehen, einschließlich Card Verification Code (CVC)-Prüfungen und 3D Secure (3DS)-Authentifizierungsprotokolle in Regionen, in denen diese Schutzmaßnahmen nicht obligatorisch sind.
Sofortige Reaktion und Eindämmung
bunqs fortschrittliche Überwachungssysteme erkannten die bösartige Aktivität frühzeitig und meldeten die Schwachstelle sofort an Mastercard über verantwortungsvolle Offenlegungskanäle. Mastercard bestätigte die Sicherheitslücke und hat umfassende Maßnahmen eingeleitet, um die Tokenisierungsinfrastruktur zu sichern.
Die betroffene globale Handelsplattform wurde über den Missbrauch ihrer Systeme informiert, und alle betroffenen bunq-Benutzer wurden vollständig entschädigt. Als Vorsichtsmaßnahme hat bunq neue Karten an betroffene Kunden ausgegeben, um möglichen zukünftigen Missbrauch zu verhindern.
Branchenweite Auswirkungen
Dieser Vorfall unterstreicht die zunehmende Raffinesse von Angriffen auf Zahlungssysteme und die entscheidende Bedeutung robuster Sicherheitsprotokolle in der digitalen Zahlungsinfrastruktur. Tokenisierung, obwohl allgemein als sicher angesehen, erfordert kontinuierliche Überwachung und adaptive Sicherheitsmaßnahmen, um Ausbeutung zu verhindern.
Finanzinstitute und Zahlungsabwickler weltweit überprüfen ihre Tokenisierungssicherheitsprotokolle im Licht dieser Entdeckung. Der Vorfall dient als deutliche Erinnerung daran, dass selbst etablierte Sicherheitsrahmen ständige Wachsamkeit und Verbesserung erfordern.