6.8средняя
BDU:2021-05932
Уязвимость токенизационных сервисов MasterCard, Visa, American Express, связанная с недостаточной авторизацией криптограмм ARQC генерируемых мобильными кошельками Apple Pay, Samsung Pay, GPay, позволяющая нарушителю использовать на токенизационных сервисах криптограммы AAC, которые мобильные кошельки генирируют в случае принятия решения о неодобрении транзакции кошельком или платежным терминалом
Опубликовано: 2021-12-08
Описание
Уязвимость токенизационных сервисов MasterCard, Visa, American Express связана с недостаточной авторизацией криптограмм ARQC генерируемых мобильными кошельками Apple Pay, Samsung Pay, GPay. Эксплуатация уязвимости может позволить нарушителю использовать на токенизационных сервисах криптограммы AAC, которые мобильные кошельки генирируют в случае принятия решения о неодобрении транзакции кошельком или платежным терминалом
Затрагиваемое ПО и версии
Visa Tokenisation Service (VTS)MasterCard Tokenisation Service (MDES)
Способ устранения
Не одобрять транзакции, у которых в поле CVR/IAD указан тип криптограммы AAC
Оценка CVSS
| Балл | 6.8 — средняя опасность |