原标题：安全人员发现万事达卡系统存在严重bug 允许黑客欺诈

依靠 Mastercard 的互联网网关服务（ MIGS ）处理在线支付的供应商，应在每次交易发货之前对每个交易进行双重检查， 因为独立安全研究员 Yohanes Nugroho 在 MIGS 协议中发现了一个明显的缺陷，允许黑客欺骗支付系统，并且欺骗商家认为交易成功 。 Yohanes Nugroho 认为安全系统的验证协议存在严重的缺陷，而且 Mastercard 似乎完全忽视了这一问题。

Yohanes Nugroho解释说：“这可以说是一个MIGS客户端错误，但是Mastercard选择的哈希方法允许这样做。” “如果Mastercard选择加密相关数据，这个问题是不可能发生的。”根据Nugroho的调查结果，狡猾的攻击者可以利用这个缺点，在第三方中间支付服务中注入无效值，以便绕过Mastercard的系统，直接将请求转交给供应商。

正如Yohanes Nugroho观察到的那样，交易是否成功的数据不仅没有被MIGS服务器进行验证，而且甚至没有到达商家服务器端，这些请求仅在客户端进行检查。由于这些数据永远不会到达Mastercard的服务器，所以仍然容易受到欺骗。

这意味着，如果成功，黑客将能够通过无效付款交易作为绝对合法的付款证明。虽然商家仍然需要确认交易，但大多数商家在批准请求之前很少检查其银行帐户，这正是为什么这个 洞是如此令人担忧的原因。