Privacylek bij Tikkie maakte IBAN-nummers zichtbaar
Ook opvragen IBAN via bunq mogelijkTikkie gebruik je voornamelijk voor het maken van betaalverzoeken als je geld aan iemand voorgeschoten hebt. Sinds kort laat Tikkie je ook geld overmaken via 06-nummers. In deze functie bleek een privacylek te zitten, met als gevolg mogelijke identiteitsfraude. Het privacylek werd ontdekt door het RTL Nieuws.
Privacylek bij Tikkie Pay: IBAN-nummers zichtbaar
Met de recent uitgerolde functie van Tikkie was het mogelijk om geld over te maken naar 06-nummers. Dat had als indirect ongewenst effect dat je daardoor ook het IBAN-nummer kon achterhalen. Het IBAN-nummer was hierdoor eenvoudig te achterhalen, zelfs zonder een bedrag daadwerkelijk over te maken. Je moest hiervoor de betaling annuleren voordat deze verzonden werd. In de omschrijving van de overboeking was vervolgens het daadwerkelijke IBAN-nummer van de ontvanger zichtbaar. ABN AMRO heeft de kwetsbaarheid bevestigd en heeft de functie inmiddels offline gehaald.
Het IBAN-nummer kan, zeker in combinatie met een e-mailadres of 06-nummer, gebruikt worden voor identiteitsfraude. Dit bevestigt ook Dave Maasland van ESET Nederland tegenover het RTL Nieuws.
“Ik snap de gebruiksvriendelijkheid van deze functie, maar het is een risico om het IBAN-nummer op deze manier op grote schaal vrij te geven.”
Behalve voor identiteitsfraude kan een crimineel ook gerichte phishingaanvallen sturen. Doordat in dergelijke phishingberichten jouw eigen IBAN-nummer vermeld staat, ziet zo’n bericht ter geloofwaardiger uit. ABN AMRO geeft aan dat ze de functie wel weer beschikbaar willen stellen, maar gaat daarbij wel beter letten op de privacy van gebruikers.
https://twitter.com/danielverlaan/status/1087819433278611457
Ook achterhalen IBAN via bunq mogelijk
Overigens heeft bunq een soortgelijke functie. Sinds juli 2018 kan iedereen een eigen bunq.me-link aanmaken. Via deze link maak je geld over naar de eigenaar van de link. Je kan echter nog voordat je een betaling doet al zien naar welk IBAN-nummer het geld overgemaakt wordt door op de knop Betaal veilig met iDEAL te klikken, zo ontdekte iCulture. Betaallinks van bunq.me bestaan uit een door de eigenaar zelf gekozen gebruikersnaam. Door willekeurige voor- of achternamen of een combinatie daarvan achter een bunq.me-linkje te plakken, kun je checken of er rekening voor die persoon bestaat. Je ziet dan het gekoppelde rekeningnummer van de desbetreffende persoon.
bunq biedt daarnaast bij het aanmaken van een persoonlijke pagina de optie om je voor- én achternaam zichtbaar te maken en een foto te tonen indien de gebruiker een bunq-rekening heeft. Deze foto zou je bijvoorbeeld door een tool als reverse.photos kunnen halen om meer over de identiteit van de rekeninghouder te weten te komen. Als criminelen op deze manier het e-mailadres, geboortedatum en 06-nummer van de betreffende persoon weten te achterhalen, kan dit dus gekoppeld worden aan de bij bunq.me opgegeven bankrekening. bunq bevestigde eerder tegenover iCulture dat het rekeningnummer inderdaad openbaar is als deze gebruikt wordt voor bunq.me.
De impact speelt minder dan bij Tikkie het geval is, omdat je zelf een gebruikersnaam kiest en de rekeningnummers niet meteen gekoppeld worden aan een 06-nummer. Desalniettemin is het beter om een lastiger te raden gebruikersnaam voor bunq.me te kiezen dan je eigen voor- of achternaam.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Met de Nintendo Music-app luister je naar je favoriete gamemuziek (31-10)
- Met de nieuwe Pokémon Trading CG Pocket-app verzamel je Pokémon-kaarten digitaal (maar niet in Nederland) (30-10)
- Apple gaat App Store-reviews van gebruikers samenvatten (30-10)
- Betaalde offline versie Animal Crossing: Pocket Camp nu te pre-orderen, online versie stopt binnenkort (28-10)
- Amsterdam viert 750 jaar met speciale monster-app (24-10)
Reacties: 2 reacties