Nederlands
English
Français
Deutsch
Español
Português
Grande Vulnerabilidade de Segurança no Sistema de Tokenização da Mastercard
O banco digital holandês bunq descobriu uma vulnerabilidade crítica no processo de tokenização do Mastercard Digital Enablement Service (MDES) que permitiu a atacantes realizar ataques de força bruta em dados de cartão de crédito através de uma grande plataforma global de varejo. A falha de segurança, descoberta em 19 de agosto de 2025, representa uma das vulnerabilidades mais sofisticadas em sistemas de pagamento dos últimos anos.
Como o Ataque Funcionou
Cibercriminosos exploraram fraquezas na infraestrutura de tokenização de cartões da Mastercard inundando o sistema com enormes quantidades de combinações de dados de cartão. Os atacantes testaram sistematicamente números de conta primária (PANs) e datas de validade em rápida sucessão, aproveitando mecanismos insuficientes de proteção contra força bruta tanto no nível do comerciante quanto da Mastercard.
Uma vez que combinações válidas de PAN/data de validade eram confirmadas através do processo de tokenização, fraudadores usavam imediatamente esses dados comprometidos para tentativas de pagamento de baixo valor através de contas de comerciantes PayPal. Esta abordagem estratégica permitiu que contornassem medidas padrão de segurança, incluindo verificações de Código de Verificação do Cartão (CVC) e protocolos de autenticação 3D Secure (3DS) em regiões onde essas proteções não são obrigatórias.
Resposta Imediata e Mitigação
Os sistemas avançados de monitoramento do bunq detectaram a atividade maliciosa precocemente e reportaram a vulnerabilidade à Mastercard através de canais de divulgação responsável. A Mastercard confirmou a falha de segurança e implementou medidas abrangentes para proteger a infraestrutura de tokenização.
A plataforma global de varejo afetada foi notificada sobre o abuso de seus sistemas, e todos os usuários do bunq impactados foram totalmente reembolsados. Como medida preventiva, o bunq emitiu novos cartões para clientes envolvidos para prevenir possíveis abusos futuros.
Impacto Amplo na Indústria
Este incidente destaca a sofisticação evolutiva dos ataques a sistemas de pagamento e a importância crucial de protocolos de segurança robustos na infraestrutura de pagamentos digitais. A tokenização, embora geralmente considerada segura, requer monitoramento contínuo e medidas de segurança adaptativas para prevenir abusos.
Instituições financeiras e processadores de pagamento em todo o mundo estão reavaliando seus protocolos de segurança de tokenização seguindo esta descoberta. O incidente serve como um lembrete claro de que mesmo estruturas de segurança estabelecidas requerem vigilância constante e melhoria contínua.
