安全人员发现万事达卡系统存在严重bug 允许黑客进行付款欺诈

2017年09月06日 23:37 次阅读 稿源:cnBeta.COM 条评论

依靠Mastercard的互联网网关服务(MIGS)处理在线支付的供应商,应在每次交易发货之前对每个交易进行双重检查,因为独立安全研究员Yohanes NugrohoMIGS协议中发现了一个明显的缺陷,允许黑客欺骗支付系统,并且欺骗商家认为交易成功Yohanes Nugroho认为安全系统的验证协议存在严重的缺陷,而且Mastercard似乎完全忽视了这一问题。

访问:

阿里云新用户福利专场 云服务器ECS低至102元/年

天翼云年中上云节 云主机1C2G 92元/年 实名注册送8888元大礼包

Website-MasterCard-MiGS-Payment-Acquirer.png

Yohanes Nugroho解释说:“这可以说是一个MIGS客户端错误,但是Mastercard选择的哈希方法允许这样做。” “如果Mastercard选择加密相关数据,这个问题是不可能发生的。”根据Nugroho的调查结果,狡猾的攻击者可以利用这个缺点,在第三方中间支付服务中注入无效值,以便绕过Mastercard的系统,直接将请求转交给供应商。

正如Yohanes Nugroho观察到的那样,交易是否成功的数据不仅没有被MIGS服务器进行验证,而且甚至没有到达商家服务器端,这些请求仅在客户端进行检查。由于这些数据永远不会到达Mastercard的服务器,所以仍然容易受到欺骗。

WX20170907-132416@2x.png

这意味着,如果成功,黑客将能够通过无效付款交易作为绝对合法的付款证明。虽然商家仍然需要确认交易,但大多数商家在批准请求之前很少检查其银行帐户,这正是为什么这个漏洞是如此令人担忧的原因。


更新:万事达卡对外通讯部门高级副总裁Seth Eisen对此事件发表声明(via TNW):

我们注意到,并且已经调查过这位研究者所描述的情况。现在在我们自己的系统当中并不存在如他所述的问题,但我们确实检查到了,一部分商户有可能因为配置错误,在一种潜在的可能性下令数据的传输受影响。我们正针对这一小部分可能受影响的商户,进行专门的培训和提供资源,以将可能的损失降低到最小程度。

对文章打分

安全人员发现万事达卡系统存在严重bug 允许黑客进行付款欺诈

2 (50%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    热门评论

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan