Bunq-app sloeg identiteitsgegevens onbeveiligd op

In de app van Nederlands nieuwste bank, Bunq, is een lek ontdekt. De foto's van identiteitsdocumenten die gebruikers moeten aanleveren waren niet beveiligd in de Android-app.

Andere apps op de telefoon konden de foto's van de documenten, waar BSN-nummers opstaan, makkelijk doorsluizen via het internet.

Het aanmaken van een bankrekening gebeurt bij Bunq vanuit de app. Gebruikers moeten zich identificeren met een foto van hun identiteitsbewijs. De foto's gaan naar de server van Bunq, maar bleven ook onversleuteld opgeslagen op het apparaat. Volgens ontdekker Geert de Graaf gebeurde dit in een onbeveiligde omgeving waar ook andere apps toegang toe hebben. Ook waren ze eenvoudig uit te lezen omdat de gegevens niet versleuteld waren.

Voor zover bekend speelde dit alleen op de Android app en niet op iOS. Het bedrijf ontdekte vandaag de fout en zegt het probleem inmiddels te hebben opgelost.

Bunq is een nieuwe app waarbij het gemakkelijk is om rekeningen te splitten met contacten uit je mobiele telefoon.

NOS