Utvecklaren av bankapplikationen Bankdroid menar att han i somras upptäckte en säkerhetsbrist i svenska betalningslösningen Swish. Under efterforskningar för egna applikationen märkte Nullbyte att det går att fiska fram andra användares transaktioner utifrån deras telefonnummer.
Informationen inkluderade enligt utsago telefonnummer, fullständiga namn, samt datum, summor och meddelanden för samtliga Swish-transaktioner den personen gjort. Luckan sägs ha med implementeringen av Mobilt BankID att göra.
Användares telefonnummer inkluderades i förfrågan till Swish även efter autentisering skett via Mobilt BankID. Om telefonnumret i förfrågan byttes ut mot en annan användares efter inloggning sägs Swish inte ha satt stopp utan istället helt sonika visat den andra användarens uppgifter.
Utvecklaren menar att han efter initiala svårigheter att nå Swish kontaktade samtliga berörda banker och att luckan därefter täpptes igen inom en vecka.
Senaste artiklarna om SWISH
- Nu går det att be om betalningar i Swish
13 maj 2020 | 31 kommentarer - Swish kommer till Huaweis appbutik AppGallery
27 mar 2020 | 44 kommentarer - Swish får stöd för kontaktlösa betalningar i utvalda butiker
22 nov 2019 | 31 kommentarer - Swish får mörkt tema
4 okt 2019 | 26 kommentarer - Swish expanderar utomlands, möjliggör betalningar i åtta nya länder
3 sep 2019 | 14 kommentarer - Nu kan du göra dina Swish-betalningar mer personliga
11 dec 2017 | 43 kommentarer - Nu går det att köpa Västtrafikbiljetter med Swish
13 nov 2017 | 10 kommentarer