Bank-app sloeg foto's identiteitsbewijzen onbeveiligd op
De app van Nederlands nieuwste bank, Bunq, beveiligde de foto's van identiteitsdocumenten in zijn Android-app niet. Andere apps op een toestel konden daarmee redelijk eenvoudig de foto's van die documenten, inclusief BSN-nummers, kopiëren en doorsluizen via het internet.
Het aanmaken van een bankrekening gebeurt bij Bunq geheel vanuit de app: gebruikers moeten zichzelf identificeren met een foto van hun identiteitsbewijs. Die foto's worden verstuurd naar de server van Bunq, maar blijven per abuis onversleuteld opgeslagen op het toestel van de gebruiker. Andere gegevens werden wel versleuteld.
Onbeveiligde omgeving
Dat gebeurde in een onbeveiligde omgeving, meldt ontdekker Geert de Graaf aan de NOS, waar ook andere applicaties toegang toe hebben. De gegevens waren bovendien niet versleuteld, waardoor ze eenvoudig zijn uit te lezen. Voor zover bekend speelde dat alleen op Android, en niet op iOS.
Ali Niknam, de directeur van Bunq, bevestigt dat. "De foto's zouden eigenlijk alleen tijdelijk onversleuteld opgeslagen moeten worden, maar door een fout worden ze niet verwijderd", aldus Niknam. Het bedrijf kwam vandaag achter het probleem, en zegt het probleem inmiddels te hebben opgelost. De NOS heeft dat kunnen verifiëren.
Versleuteling
Beveiligingsonderzoeker Rik van Duijn van Dearbytes noemt de fout van Bunq 'slordig'. "Ze hadden de gegevens kunnen versleutelen", zegt hij. Daarbij worden gegevens ontoegankelijk gemaakt voor onbevoegden.
Bunq ging vorige week officieel van start, en is sinds de DSB Bank de eerste bank met een officiële banklicentie. Alle bankzaken gebeuren vanuit de app.
Update, 22:37: De kop van dit stuk is aangepast, om te verduidelijken dat het gaat om de foto's van de identiteitsgegevens die onversleuteld werden opgeslagen.