De betaalapp Tikkie van ABN AMRO maakte het mogelijk om de bankrekeningnummers van miljoenen gebruikers in te zien, meldt RTL Nieuws woensdag.

De kwetsbaarheid werd door RTL Nieuws gevonden in de nieuwe functie Tikkie Pay. ABN AMRO heeft het bestaan van de kwetsbaarheid bevestigd en de functie offline gehaald.

Met Tikkie Pay konden gebruikers geld overmaken naar mensen uit hun contactenlijst die hun 06-nummer aan Tikkie hadden gekoppeld.

RTL Nieuws meldt dat gebruikers een naam konden selecteren en de overboeking op het laatste moment konden annuleren. In de omschrijving was in dat geval het IBAN van de ontvanger zichtbaar.

Een IBAN kan door kwaadwillenden gebruikt worden voor onder meer identiteitsfraude. Ook kunnen criminelen het nummer gebruiken voor phishing, om geld van de Tikkie-gebruiker te stelen via malafide links.

ABN wil Tikkie Pay in andere vorm terugbrengen

ABN AMRO is van plan om Tikkie Pay in een aangepaste en veiligere vorm terug te brengen. Wanneer dat precies gebeurt, is onduidelijk. De normale versie van Tikkie blijft bestaan.

Het datalek is door ABN AMRO gemeld bij de Autoriteit Persoonsgegevens, de Nederlandse privacywaakhond. Dat is wettelijk verplicht.