Bank-app Bunq bewaart identiteitsgegevens onbeveiligd

Bunq

De nieuwe, digitale bank Bunq is nog maar een week oud, maar er zijn nu al beveiligingsproblemen ontdekt. Uit onderzoek van de NOS blijkt namelijk dat identiteitsgegevens onbeveiligd worden bewaard binnen de Android-versie van de app. Dat maakt het voor andere apps vrij makkelijk om deze gegevens te kopiëren en naar iemand door te sturen.

Bij het aanmaken van een account in Bunq is een identiteitskaart vereist, die met de smartphone-camera wordt gescand. De foto’s van deze identiteitskaarten zijn echter onbeveiligd, waardoor iedere andere app ze vrij makkelijk kan inzien. Een fout, vertelt Bunq-directeur Ali Niknam:

De foto’s zouden eigenlijk alleen tijdelijk onversleuteld opgeslagen moeten worden, maar door een fout worden ze niet verwijderd.

Bunq belooft later vandaag een update uit te brengen die het probleem zal oplossen. Daarbij worden meteen ook de eerdere foto’s verwijderd uit de app. Het moet het probleem oplossen, maar daarmee is het kwaad al geschied: hoewel er waarschijnlijk weinig gegevens door het lek zijn gestolen, zal Bunq wel het vertrouwen van gebruikers hebben geschaad. De app moet immers een veilige plek voor betalingen zijn, maar blijkt na een week al de privacy en gegevens van gebruikers in gevaar te brengen.