Datalek Tikkie: IBAN was te zien met mobiel nummer

De dienst werd door nog geen duizend mensen gebruikt. ABN Amro heeft de functie van de mobiele betaaldienst nu offline gehaald.

De betaalapp Tikkie op een mobiele telefoon. Met de app kunnen gebruikers transacties naar elkaar versturen.
De betaalapp Tikkie op een mobiele telefoon. Met de app kunnen gebruikers transacties naar elkaar versturen. Foto Lex van Lieshout/ANP

Er zat een privacymankement in de zogeheten Pay-functie van de mobiele betaalapplicatie Tikkie van ABN Amro. Met deze nieuwe functie konden gebruikers geld overboeken op basis van een 06-nummer – onbedoeld werd hierdoor ook het IBAN-nummer van de ontvanger onthuld. Dat bevestigt een woordvoerder van de ABN Amro woensdag na de berichtgeving van RTL Nieuws, die het lek ontdekte.

Pay is gelanceerd op 22 november. ABN heeft de functie kort na de melding van RTL offline gehaald. In een reactie aan NRC zegt de woordvoerder dat de functie door minder dan duizend mensen is gebruikt. Tikkie heeft in totaal 4 miljoen gebruikers.

Gevoelig persoonsgegeven

In de Pay-functie was in Tikkie te zien welke van de mensen in je contactenlijst ook de app gebruiken. Op basis van hun mobiele nummer kon je vervolgens geld naar ze overmaken, waarna je hun IBAN te zien kreeg in de omschrijving van de betaling. Volgens RTL zat hier de fout: ook wanneer de transactie op het laatste moment werd geannuleerd, kreeg je de IBAN te zien.

Rekeningnummers zijn gevoelige persoonsgegevens. Ze kunnen worden gebruikt voor identiteitsfraude, omdat bedrijven het nummer vaak gebruiken om iemands identiteit te controleren bij telefonisch contact. Ook hebben fraudeurs met een IBAN een middel in handen om geloofwaardige phishing-mails mee te versturen. Bij phishing worden iemand naar een valse website gelokt om daar een betaling uit te voeren en zo bestolen.

‘Geen datalek’

“We hebben daar onze legal-mensen naar laten kijken en die hebben geconcludeerd dat er geen datalek was”, zegt een woordvoerder van ABN. “Maar voor de zekerheid hebben we het wel gemeld bij de Autoriteit Persoonsgegevens.”

ABN stelt Tikkie Pay te hebben ontwikkeld op verzoek van gebruikers, die geld wilden kunnen overmaken zonder de IBAN. “Er is een grondig proces aan voorafgegaan en er werd onder de testgebruikers enthousiast op gereageerd”, zegt de woordvoerder. Maar omdat een aantal gebruikers nu bezorgdheid heeft getoond, is de functie toch offline gehaald. De bank zegt op zoek te gaan naar “eventuele oplossingen” om de bezwaren weg te nemen.

Lees ook dit interview met de bedenker van Tikkie, Freek de Steenwinkel ‘Een tikkie is een duwtje, zo van: Hé, ik krijg nog geld van je!’