Privacylek bij Tikkie: rekeningnummers van gebruikers in te zien

woensdag, 23 januari 2019 om 12:41

Tikkie-gebruikers kunnen met enkel hun telefoonnummer geld overmaken naar andere gebruikers. Daardoor was het enige tijd mogelijk om zonder een transactie te doen het IBAN-nummer van mensen te achterhalen. Dat vergroot het risico op identiteitsfraude en phishing. ABN Amro bevestigt het privacylek aan RTL Nieuws, dat de ontdekking deed. De bank heeft de nieuwe functie Tikkie Pay tijdelijk uitgeschakeld. Daarmee konden gebruikers van iedereen die een 06-nummer aan zijn account had gekoppeld, het rekeningnummer achterhalen door op de naam te klikken, een bedrag in te voeren en vlak voor de overboeking de transactie te annuleren. In de omschrijving was dan het IBAN-nummer te zien, zonder dat de zogenaamde ontvanger daar erg in heeft. Het is raadzaam om de functie niet te gebruiken, omdat je gevoeliger wordt voor phishing en identiteitsfraude. Dave Maasland van cybersecuritybedrijf ESET Nederland: "Ik snap de gebruiksvriendelijkheid van deze functie, maar het is een risico om het IBAN-nummer op deze manier op grote schaal vrij te geven." Voorlopig is Tikkie Pay offline. In welke vorm het terugkomt is nog onduidelijk.

Wow: je kunt zelfs IBAN-nummers opvragen zonder een Tikkie over te boeken - dus zonder dat de ontvanger het weet.
Zelf testen? Maak naar een 06-nummer geld over, maar net voordat je overboekt annuleer je de betaling. In de omschrijving zie je de IBAN (hier ING) van de ontvanger. pic.twitter.com/R6KyN1iJbd
— Daniël Verlaan (@danielverlaan) 22 januari 2019