Falha no popular provedor de gateway de pagamento: transações com o mesmo OTP

Gateways de pagamento, como o CCAvenue e o PayUbiz, facilitam os pagamentos em milhares de portais on-line. E os clientes confiam implicitamente neles para proteger suas transações. Mas, como relatado por um pesquisador de segurança, uma falha no design lógico de uma versão anterior do popular gateway de pagamento colocou seus clientes em risco. Isso ocorreu porque o gateway de pagamento não fazia distinção entre transações iniciadas no mesmo período de tempo.

Os gateways de pagamento servem como um canal de comunicação, entre comerciantes e bancos, para realizar transações seguras. O gateway criptografa as informações da transação, que incluem o número do cartão de crédito/débito, CVV, data de validade etc. E passa as informações para o processador de pagamento, que atua como o link entre o banco do usuário e o banco comercial. O gateway confirma o pagamento, a menos que as informações estejam incorretas. Em seguida, o processador liquida o pagamento com o banco do comerciante.

Senhas de uso único para gateways

Para proteger as transações, os gateways de pagamento tridimensionais adicionam senhas de uso único (OTPs) baseadas em tempo como uma camada adicional de autenticação. O gateway de pagamento só aceita OTPs com base no tempo, enviados dentro do prazo permitido. Depois disso, o OTP não é válido. Embora essa camada adicional de autenticação deva proteger as transações, um gateway vulnerável pode reduzir sua eficácia. Um gateway de pagamento que não é capaz de distinguir entre transações pode permitir transações não autorizadas.

Falha no design do popular gateway de pagamento

• O popular Payment Gateway não consegue distinguir as transações processadas durante um único período de 180 segundos.
• Portanto, a OTP gerada para uma transação é válida para outras transações, no mesmo período. Independentemente da quantidade ou localização geográfica.
• Essa vulnerabilidade aumenta as possibilidades de um ataque man-in-the-middle (MITM) pelo qual o atacante falsifica a solicitação. 
• E se a OTP permanecer sem uso nos primeiros segundos ou minutos, ela permitirá que os invasores realizem transações fraudulentas dentro do período de validade da OTP.

Explicando a falha por meio de um cenário

• Um usuário inicia uma transação legítima para o Re.1.
• Eles recebem uma OTP, em seu número de celular registrado, que é válido por 180 segundos.
• Antes de o usuário aplicar a OTP para essa transação, um invasor intercepta a OTP e a usa para processar uma transação por Rs.1000. Independentemente da localização do atacante e do valor da transação, a transação fraudulenta é considerada legítima. E o atacante recebe o valor com sucesso.

  

Verificação da falha do Popular Payment Gateway

A equipe de pesquisa da CloudSEK testou o Popular com vários sistemas bancários para confirmar a falha. Descobrimos que a mesma OTP é válida por 180 segundos ou mais, para qualquer transação, desde que a OTP ainda não tenha sido usada. As capturas de tela abaixo provam o mesmo:

Conclusão

Com o aumento do número de transações on-line, falhas como as do Popular Payment Gateway tornam os usuários vulneráveis a agentes de ameaças. Além das perdas financeiras, isso pode afetar a reputação do gateway de pagamento e dos portais on-line que o utilizam.

Nota: O Popular Payment Gateway tomou conhecimento dessa falha em 3 de agosto de 2019. A equipe de segurança do Popular Payment Gateway encerrou o problema e o marcou como uma funcionalidade conhecida em 12 de agosto de 2019. E divulgou publicamente a falha em 25 de agosto de 2019. O Popular Payment Gateway recomenda que os portais que usam seu gateway de pagamento corrijam a vulnerabilidade, para evitar incidentes de segurança.