Тези търговци, които разчитат на услугата на MasteCard Gateway Service (MIGS) за обработка на онлайн плащания, трябва да проверяват повторно всяка трансакция, преди да изпратят пратката на клиентите си. Причината за това е Ккритична уязвимост в протокола за валидиране на системата, която до момента като че ли е пренебрегвана от компанията и позволява на хакерите да подмамят платежната система и търговците с невалидни сделки.
Независимият експерт по сигурността Йоханес Нугуро e открил уязвимостта в протокола на MIGS и твърди, че това е бъг, но методът на хеширане на MasterCard позволява той да се случва, тъй като стойността не е кодирана.
Според констатациите на Нугуро, хакери могат да използват този недостатък, за да внесат невалидни стойности в междинните платежни услуги на трети страни, заобикаляйки напълно системата на MasterCard и да подадат заявките директно на продавачите. Експертът отбелязва, че вместо да се потвърждават на входа на сървърите на търговеца, преди да го изпратят на MIGS, заявките се проверяват само от страна на клиента и тези данни никога не достигат до сървърите на MasterCard, оставайки податливи на подправяне.
Това означава, че ако успеят, хакерите ще могат да предадат невалидни платежни трансакции като напълно законно доказателство за плащане, а докато търговците все още трябва да потвърдят трансакцията, повечето потребители рядко проверяват банковите си сметки, преди да одобрят заявките и именно заради това тази вратичка е толкова опасна.
Нугуро е успял да потвърди, че най-малко един платежен шлюз – Fusion Payments, който е на стойност 20 милиона долара, е податлив на този тип атаки.
Fusion Payments от своя страна възнагради експерта с награда от 500 долара за откриване на бъга и вече е въвела филтрираща мярка, която предотвратява използването на експлойта.
Според потребители на Reddit, хакерите използват тази вратичка предимно в Индия, където MIGS е сравнително широко използвана, но всъщност това няма как да се потвърди официално.Особено тревожно е, че уязвимостта може да бъде използвана на практика от всяка разчитаща на MIGS система, а не само от Fusion Payments, а MasterCard продължава да пренебрегва предупрежденията на Нугуро. Той е сигнализирал за опасността на 17 август, но нейните представители все още не са признали уязвимостта официално, въперки, че са имали достъп до неговите публикации поне три пъти до момента. В допълнение към доклада си, Нугуро е изпращал неколкократно имейли на служителите по сигурността на MasterCard, но все още няма отговор.