De Android-app van de nieuwe bank Bunq, die wordt gezien als de 'WhatsApp onder de banken', sloeg identiteitsgegevens van klanten onbeveiligd op.
Dat blijkt uit onderzoek van Geert de Graaf waar de NOS over bericht. Tijdens het aanmeldproces voor Bunq vraagt de bank om een foto van een identiteitsbewijs, die de gebruiker vanuit de app direct kan maken en versturen.
De foto wordt verstuurd naar de servers van Bunq, maar blijft ook onversleuteld op het Android-toestel staan. Niet in de fotogalerij, maar in de map van de app. Hierdoor hebben andere apps ook toegang tot de kopie. Het is gebruikelijk dat de kopie direct na het versturen wordt verwijderd van de smartphone.
Ali Niknam, de directeur van Bunq, bevestigt de fout. "De foto's zouden eigenlijk tijdelijk opgeslagen moeten worden, maar door een fout worden ze niet verwijderd", aldus Niknam. Het bedrijf rolt vandaag nog een update uit voor de Android-app die dit probleem verhelpt.
