Privacylek bij Tikkie: IBAN-nummers gebruikers in te zien
De populaire betaal-app Tikkie biedt de mogelijkheid om geld over te boeken naar andere Tikkie-gebruikers op basis van hun 06-nummer. Daardoor was het mogelijk om de IBAN-nummers van vele nietsvermoedende Tikkie-gebruikers te achterhalen, met het gevaar voor identiteitsfraude en phishing.
Dat blijkt uit onderzoek van RTL Nieuws. ABN Amro bevestigt de kwetsbaarheid en heeft de nieuwe functie, Tikkie Pay, tijdelijk offline gehaald. "Bedankt voor de oplettendheid", aldus de woordvoerder.
IBAN-nummers
Tikkie, dat 4 miljoen gebruikers heeft, toonde met zijn nieuwe functie alle gebruikers uit jouw contactenlijst die hun 06-nummer aan Tikkie hebben gekoppeld. Je kon op een naam drukken, vervolgens een bedrag overmaken en net voor de overboeking de Tikkie annuleren. In de omschrijving van de overboeking zag je dan het IBAN-nummer van de ontvanger, zonder dat diegene daar weet van heeft.
Je rekeningnummer is een uniek nummer dat alleen aan jou gekoppeld is, en het wordt vaak door bedrijven gebruikt om telefonisch je identiteit te controleren. Het is daarom belangrijk om je IBAN-nummer goed te beschermen, stelt Dave Maasland van cybersecuritybedrijf ESET Nederland: "Ik snap de gebruiksvriendelijkheid van deze functie, maar het is een risico om het IBAN-nummer op deze manier op grote schaal vrij te geven."
Naast het gevaar van identiteitsfraude waarschuwt Maasland ook voor phishing. Doordat een cybercrimineel jouw IBAN-nummer weet, kan diegene jou gerichte en 'zeer geloofwaardige' phishingaanvallen sturen. De criminelen sturen dan bijvoorbeeld een e-mail of sms met daarin jouw rekeningnummer en de vraag of je een betaling wilt goedkeuren. De link leidt vervolgens naar een phishingwebsite waarmee criminelen grote geldbedragen van je rekening halen.
ABN Amro
ABN Amro heeft de functie na melding van RTL Nieuws direct offline gehaald en bespreekt momenteel de situatie. Het doel is om Tikkie Pay nog wel te lanceren, maar op een manier dat het niet de privacy van gebruikers in het geding brengt. Het is nog niet bekend wanneer en op welke manier Tikkie Pay terugkomt.
Het lek wordt uit voorzorg gemeld bij de Autoriteit Persoonsgegevens, bevestigt ABN Amro. De situatie is voor hen een 'serieuze bezorgdheid'. 100.000 mensen hadden volgens de bank toegang tot de functie, en er zou minder dan 1000 keer gebruik van zijn gemaakt.