Ένα δύσκολο στον εντοπισμό κενό ασφαλείας στις πληρωμές μέσω κινητών, εντοπίστηκε στην εφαρμογή Swish για πληρωμές κατά την ένωση της με το Mobile BankID. Το κενό αυτό επιτρέπει στους χρήστες να δουν το ιστορικό πληρωμών άλλων χρηστών, απλά αλλάζοντας μια επιλογή στο ιστορικού πληρωμών της υπηρεσίας.
Η εφαρμογή Swish έχει σχεδιαστεί ως μια απλή εναλλακτική λύση αντί των μηχανημάτων πιστωτικών καρτών και επιτρέπει τη πληρωμή μέσω κάρτας απλά με το να έρθει σε επαφή το μηχάνημα με το κινητό τηλέφωνο. Σε συνδυασμό με την δωρεάν εφαρμογή από την εκάστοτε τράπεζα μπορεί εύκολα ο χρήστης να πραγματοποιήσει τη πληρωμή που θέλει οπουδήποτε.
Αυτό γίνεται στη Σουηδία μέσω της εφαρμογής Mobile BankID, που επιτρέπει στο χρήστη να κάνει τις συναλλαγές του σε πραγματικό χρόνο μέσω του κινητού του.
Σύμφωνα με τον άνθρωπο που ανέφερε το πρόβλημα, ο οποίος έχει το ψευδώνυμο Nullbyte (@nbyte, στο Twitter, το Mobile BankID για να ανοίξει δεχόταν ένα αίτημα επιβεβαίωσης που έστελνε πίσω στο κινητό ένα μοναδικό αριθμό αναφοράς. Ο Nullbyte, παρατήρησε όμως ότι το ιστορικό πληρωμών της εφαρμογής περιελάμβανε και τον αριθμό αναφοράς MSISDN, που είναι ο αριθμός του κινητού.
Εύκολα λοιπόν οποιοσδήποτε μπορούσε να ζητήσει ιστορικό πληρωμών αλλάζοντας τον αριθμό MSISDN, δηλαδή το νούμερο του κινητού. Αυτό γίνεται διότι η εφαρμογή στέλνει τον αριθμό αυτόν ώστε να επιβεβαιώσει την αυθεντικότητα του ατόμου που χρησιμοποιεί την εφαρμογή και όχι για να του ξεκλειδώσει το δικαίωμα χρήσης αυτής.
Το πρόβλημα αυτό φαίνεται να υπάρχει από την έναρξη της εφαρμογής, το Δεκέμβριο του 2012, με τους χρήστες του Swish να φτάνουν το 1,7 εκατομμύρια σήμερα.
Το πρόβλημα διορθώθηκε σε μια εβδομάδα μετά τον εντοπισμό του από τον Nullbyte, ο οποίος ανέφερε πρώτα το πρόβλημα στην εταιρεία που έκανε την εφαρμογή η οποία τον παρέπεμψε να στείλει ένα προσωπικό μήνυμα στη σελίδα της εταιρείας στο Facebook. Όταν ο Nullbyte είπε ότι δεν έχει λογαριασμό στο Facebook, η εταιρεία τον παρέπεμψε στη τράπεζα που διατηρεί προσωπικό λογαριασμό ο ίδιος, ώστε να λυθεί το πρόβλημα.
