Nederlands
English
Français
Deutsch
Español
Português
Groot Beveiligingslek in Mastercard's Tokenisatie Systeem
De Nederlandse digitale bank bunq heeft een kritieke kwetsbaarheid ontdekt in Mastercard's Digital Enablement Service (MDES) tokenisatieproces die aanvallers in staat stelde om creditcardgegevens te brute-forcen via een groot wereldwijd retailplatform. Het beveiligingslek, ontdekt op 19 augustus 2025, vertegenwoordigt een van de meest geavanceerde betalingssysteemkwetsbaarheden van de afgelopen jaren.
Hoe de Aanval Werkte
Cybercriminelen misbruikten zwakke plekken in Mastercard's kaarttokenisatie-infrastructuur door het systeem te overspoelen met enorme hoeveelheden kaartgegevenscombinaties. De aanvallers testten systematisch Primary Account Numbers (PAN's) en vervaldatums in snelle opeenvolging, waarbij ze profiteerden van onvoldoende brute-force beveiligingsmechanismen op zowel merchant- als Mastercard-niveau.
Zodra geldige PAN/vervaldatumcombinaties waren bevestigd via het tokenisatieproces, gebruikten fraudeurs deze gecompromitteerde gegevens onmiddellijk voor laagwaardige betalingspogingen via PayPal merchant accounts. Deze strategische aanpak stelde hen in staat standaard beveiligingsmaatregelen te omzeilen, inclusief Card Verification Code (CVC) checks en 3D Secure (3DS) authenticatieprotocollen in regio's waar deze beschermingen niet verplicht zijn.
Directe Reactie en Mitigatie
bunq's geavanceerde monitoringsystemen detecteerden de kwaadaardige activiteit vroegtijdig en meldden de kwetsbaarheid onmiddellijk aan Mastercard via verantwoorde disclosurekanalen. Mastercard bevestigde het beveiligingslek en heeft uitgebreide maatregelen ingezet om de tokenisatie-infrastructuur te beveiligen.
Het getroffen wereldwijde retailplatform is op de hoogte gesteld van het misbruik van hun systemen, en alle getroffen bunq-gebruikers zijn volledig vergoed. Als voorzorgsmaatregel heeft bunq nieuwe kaarten uitgegeven aan betrokken klanten om mogelijk toekomstig misbruik te voorkomen.
Breed Industrieel Effect
Dit incident benadrukt de evoluerende verfijning van betalingssysteemaanvallen en het cruciale belang van robuuste beveiligingsprotocollen in digitale betalingsinfrastructuur. Tokenisatie, hoewel over het algemeen als veilig beschouwd, vereist continu toezicht en adaptieve beveiligingsmaatregelen om misbruik te voorkomen.
Financiële instellingen en betalingsverwerkers wereldwijd evalueren hun tokenisatiebeveiligingsprotocollen naar aanleiding van deze ontdekking. Het incident dient als een duidelijke herinnering dat zelfs gevestigde beveiligingskaders constante waakzaamheid en verbetering vereisen.
