إذا كنتَ تعتمد على خدمة Mastercard للسداد عن طريق الإنترنت (MIGS) عليك التأكد مرتين في كل معاملة قبل إرسال البيانات إلى العملاء، إذ يوجد خلل جسيم قد يؤدي إلى إرسال تحويلات مالية إلى حسابات أخرى.
إذ اكتشف الباحث الأمني المستقل يوهانز نوجروهو خللاً واضحاً في نظام خدمة ماستر كارد للسداد عن طريق الإنترنت (MIGS)، يسمح للمخترقين بتضليل نظام الدفع وخداع التُّجار لقبول تعاملات غير صحيحة على أنها ناجحة، دون معرفة ذلك.
ويوضح الباحث لموقع The Next Web، أنه يمكن للمخترقين المحترفين استغلال هذا الخلل في إضافة قيمة غير صحيحة إلى خدمات الدفع المتوسط الخاصة بطرف ثالث، لتجاوز نظام ماستر كارد نهائياً، وإرسال الطلب مباشرة إلى البائعين.
لذا يجب فحص الطلبات من جانب العميل، لأن هذه البيانات لا تصل إلى خوادم ماستر كارد، وبالتالي هي عُرضة للتحايل. وتمكن نوجروهو من إثبات تعرض شركة Fusion Payments للهجوم، وهي شركة تصل قيمتها إلى 20 مليون دولار.
وأكد أن الشركة لم تتمكن حتى من توقيع خدمة ماستر كارد للسداد عن طريق الإنترنت (MIGS)، ما يعني أنه يمكننا تغيير البيانات التي تُعيدها خدمة ماستر كارد للسداد عن طريق الإنترنت (MIGS)، وإظهار المعاملة على أنها ناجحة. وهذا يشير إلى تغيير رمز واحد من F (خطأ) إلى 0 (ناجح).
ولذا في الأساس، يمكننا إدخال أي رقم لبطاقة ائتمان، والحصول على فشل في الاستجابة من خدمة ماستر كارد للسداد عن طريق الإنترنت (MIGS)، وتغييره.
وصرَّح الباحث، الذي حصل على 8,500 دولار كمكافأة لاكتشافه خللاً مماثلاً في النظام الخاص بخدمة ماستر كارد للسداد لموقع TNW، أنه أبلغ ماستر كارد بالخلل، في 17 أغسطس/آب 2017، ولكن لم يعترف ممثلوها بالخلل بعد. ويحدث ذلك على الرغم من أن موظفي الشركة دخلوا إلى المنشور المحمي بكلمة مرور على الأقل ثلاث مرات حتى الآن.
هذا، وصرَّح سيث إيزن، النائب الأول لرئيس ماستر كارد للاتصالات الخارجية: “نعلم جيداً المُطالبات التي قدَّمها هذا الباحث، وقمنا بالنظر فيها. وعندما تأكدنا من عدم وجود هذا الادعاء على نظامنا، حدَّدنا إمكانية لظهور شكل خاطئ على مواقع التُّجار، الذي من الممكن أن يؤثر على كيفية تسليم البيانات”.
