Privacylek bij Tikkie maakte IBAN-nummers zichtbaar

Ook opvragen IBAN via bunq mogelijk
Betaalapp Tikkie had tot vanmorgen last van een privacylek. Met de nieuwe functie werd het mogelijk om geld over te maken naar 06-nummers, maar daardoor was het IBAN-nummer van al je contacten te zien. Bij bunq blijkt het opvragen van IBAN-nummers echter ook mogelijk, ontdekte iCulture.

Tikkie gebruik je voornamelijk voor het maken van betaalverzoeken als je geld aan iemand voorgeschoten hebt. Sinds kort laat Tikkie je ook geld overmaken via 06-nummers. In deze functie bleek een privacylek te zitten, met als gevolg mogelijke identiteitsfraude. Het privacylek werd ontdekt door het RTL Nieuws.

Privacylek bij Tikkie Pay: IBAN-nummers zichtbaar

Met de recent uitgerolde functie van Tikkie was het mogelijk om geld over te maken naar 06-nummers. Dat had als indirect ongewenst effect dat je daardoor ook het IBAN-nummer kon achterhalen. Het IBAN-nummer was hierdoor eenvoudig te achterhalen, zelfs zonder een bedrag daadwerkelijk over te maken. Je moest hiervoor de betaling annuleren voordat deze verzonden werd. In de omschrijving van de overboeking was vervolgens het daadwerkelijke IBAN-nummer van de ontvanger zichtbaar. ABN AMRO heeft de kwetsbaarheid bevestigd en heeft de functie inmiddels offline gehaald.

Het IBAN-nummer kan, zeker in combinatie met een e-mailadres of 06-nummer, gebruikt worden voor identiteitsfraude. Dit bevestigt ook Dave Maasland van ESET Nederland tegenover het RTL Nieuws.

“Ik snap de gebruiksvriendelijkheid van deze functie, maar het is een risico om het IBAN-nummer op deze manier op grote schaal vrij te geven.”

Behalve voor identiteitsfraude kan een crimineel ook gerichte phishingaanvallen sturen. Doordat in dergelijke phishingberichten jouw eigen IBAN-nummer vermeld staat, ziet zo’n bericht ter geloofwaardiger uit. ABN AMRO geeft aan dat ze de functie wel weer beschikbaar willen stellen, maar gaat daarbij wel beter letten op de privacy van gebruikers.

https://twitter.com/danielverlaan/status/1087819433278611457

Ook achterhalen IBAN via bunq mogelijk

Overigens heeft bunq een soortgelijke functie. Sinds juli 2018 kan iedereen een eigen bunq.me-link aanmaken. Via deze link maak je geld over naar de eigenaar van de link. Je kan echter nog voordat je een betaling doet al zien naar welk IBAN-nummer het geld overgemaakt wordt door op de knop Betaal veilig met iDEAL te klikken, zo ontdekte iCulture. Betaallinks van bunq.me bestaan uit een door de eigenaar zelf gekozen gebruikersnaam. Door willekeurige voor- of achternamen of een combinatie daarvan achter een bunq.me-linkje te plakken, kun je checken of er rekening voor die persoon bestaat. Je ziet dan het gekoppelde rekeningnummer van de desbetreffende persoon.

bunq biedt daarnaast bij het aanmaken van een persoonlijke pagina de optie om je voor- én achternaam zichtbaar te maken en een foto te tonen indien de gebruiker een bunq-rekening heeft. Deze foto zou je bijvoorbeeld door een tool als reverse.photos kunnen halen om meer over de identiteit van de rekeninghouder te weten te komen. Als criminelen op deze manier het e-mailadres, geboortedatum en 06-nummer van de betreffende persoon weten te achterhalen, kan dit dus gekoppeld worden aan de bij bunq.me opgegeven bankrekening. bunq bevestigde eerder tegenover iCulture dat het rekeningnummer inderdaad openbaar is als deze gebruikt wordt voor bunq.me.

De impact speelt minder dan bij Tikkie het geval is, omdat je zelf een gebruikersnaam kiest en de rekeningnummers niet meteen gekoppeld worden aan een 06-nummer. Desalniettemin is het beter om een lastiger te raden gebruikersnaam voor bunq.me te kiezen dan je eigen voor- of achternaam.

Bekijk ook
bunq maakt geld terugvragen voor iedereen eenvoudiger met persoonlijke betaallink

bunq maakt geld terugvragen voor iedereen eenvoudiger met persoonlijke betaallink

bunq heeft vanavond weer een update aangekondigd. Daarbij heeft de bunq.me-dienst een nieuwe functie gekregen, zodat iedereen een persoonlijke betaallink kan maken zonder dat je daarvoor een app nodig hebt.

Reacties: 2 reacties

Reacties zijn gesloten voor dit artikel.