Er zat een privacymankement in de zogeheten Pay-functie van de mobiele betaalapplicatie Tikkie van ABN Amro. Met deze nieuwe functie konden gebruikers geld overboeken op basis van een 06-nummer – onbedoeld werd hierdoor ook het IBAN-nummer van de ontvanger onthuld. Dat bevestigt een woordvoerder van de ABN Amro woensdag na de berichtgeving van RTL Nieuws, die het lek ontdekte.
Pay is gelanceerd op 22 november. ABN heeft de functie kort na de melding van RTL offline gehaald. In een reactie aan NRC zegt de woordvoerder dat de functie door minder dan duizend mensen is gebruikt. Tikkie heeft in totaal 4 miljoen gebruikers.
Gevoelig persoonsgegeven
In de Pay-functie was in Tikkie te zien welke van de mensen in je contactenlijst ook de app gebruiken. Op basis van hun mobiele nummer kon je vervolgens geld naar ze overmaken, waarna je hun IBAN te zien kreeg in de omschrijving van de betaling. Volgens RTL zat hier de fout: ook wanneer de transactie op het laatste moment werd geannuleerd, kreeg je de IBAN te zien.
Rekeningnummers zijn gevoelige persoonsgegevens. Ze kunnen worden gebruikt voor identiteitsfraude, omdat bedrijven het nummer vaak gebruiken om iemands identiteit te controleren bij telefonisch contact. Ook hebben fraudeurs met een IBAN een middel in handen om geloofwaardige phishing-mails mee te versturen. Bij phishing worden iemand naar een valse website gelokt om daar een betaling uit te voeren en zo bestolen.
‘Geen datalek’
“We hebben daar onze legal-mensen naar laten kijken en die hebben geconcludeerd dat er geen datalek was”, zegt een woordvoerder van ABN. “Maar voor de zekerheid hebben we het wel gemeld bij de Autoriteit Persoonsgegevens.”
ABN stelt Tikkie Pay te hebben ontwikkeld op verzoek van gebruikers, die geld wilden kunnen overmaken zonder de IBAN. “Er is een grondig proces aan voorafgegaan en er werd onder de testgebruikers enthousiast op gereageerd”, zegt de woordvoerder. Maar omdat een aantal gebruikers nu bezorgdheid heeft getoond, is de functie toch offline gehaald. De bank zegt op zoek te gaan naar “eventuele oplossingen” om de bezwaren weg te nemen.
/s3/static.nrc.nl/images/gn4/stripped/data37302665-91479e.jpg)