Volgens bunq zijn de recente ongeautoriseerde afschrijvingen bij klanten veroorzaakt door een kwetsbaarheid in het tokenisatiesysteem van Mastercard. Dat systeem vervangt creditcardnummers met een unieke code (token) die wordt gebruikt voor een specifieke transactie..
Tweakers meldt dat hackers dit systeem met brute-force methoden hebben aangevallen door grote hoeveelheden willekeurige creditcardnummers en vervaldatums in te voeren. Hierdoor wisten ze bestaande en geldige creditcardcombinaties te vinden. Vervolgens probeerden de aanvallers kleine aankopen te doen via zakelijke PayPal-accounts om zo de creditcardverificatie te omzeilen. Veel van de aanvallen zouden afkomstig zijn uit regio’s waar het 3DS-protocol niet verplicht is, wat leidt tot lagere beveiligings- en fraudepreventienormen.
Volgens bunq werkt de bank nauw samen met de betaalverwerker om het probleem op te lossen en verdere verspreiding van deze cyberaanval te voorkomen. Mastercard zelf gaf echter geen aanvullende informatie en deed ook geen aanbevelingen over de kwetsbaarheid.
