Bunq heeft maatregelen getroffen tegen pogingen tot ongeautoriseerde toegang tot rekeningen via een systeem van PayPal. Meerdere tweakers meldden dat er een poging tot afschrijving van geld van hun bunq-rekening werd gedaan vanaf een onbekend PayPal-adres.
In een statement aan Tweakers laat de online bank weten dat de ongeautoriseerde afschrijvingen via PayPal worden veroorzaakt door een kwetsbaarheid bij een niet nader beschreven betalingsverwerker. Vanwege het responsible disclosure-principe zegt de bank hier nog geen verdere details over te kunnen geven. Op een supportpagina legt bunq uit welke maatregelen er zijn getroffen om verder misbruik van de kwetsbaarheid te voorkomen.
Api niet gerelateerd aan betalingen PayPal
Meerdere tweakers meldden de afgelopen dagen op het forum dat zij een poging tot een ongeautoriseerde afschrijving opmerkten. In de app zagen meerdere getroffenen daarnaast een ongeautoriseerde api-verbinding met 'data-core', wat de suggestie wekte dat er externe toegang tot hun bankaccount mogelijk was.
Een woordvoerder van bunq benadrukt dat dit onterecht is en niets met de problemen met PayPal te maken heeft; het gaat om een verbinding met de bank zelf, dus geen externe verbinding. De betreffende api zou nodig zijn voor microservices voor ondersteuning. Bijvoorbeeld klanten die een supportverzoek of bugmelding deden, hebben volgens bunq de vermelding van de api-verbinding in hun app. De bank erkent dat het tonen van deze api verwarrend kan zijn en gaat dit in de toekomst verbergen.
Update, 13.46: De formulering van de laatste twee alinea's is aangepast om verwarring te voorkomen. Daarnaast stond in het oorspronkelijke bericht dat alleen klanten die een supportverzoek of bugmelding deden de api te zien kregen. Dat is onjuist, het gaat om voorbeelden. Dat is in het bericht aangescherpt.