Det är utvecklaren Nullbyte, som ligger bakom Bankdroid, en populär tredjepartsapp för banksaldon till Android, som rapporterar om säkerhetsluckan. I somras, när han studerade upplägget för appen Swish, lade han märke till att inloggningsrutinerna visserligen höll hög säkerhetsstandard och utnyttjade BankID på ett bra sätt, men när man väl var inloggad hade man tillgång till samtliga användares transaktionshistorik.

I den förfrågan som appen använde för att begära transaktionshistorien skickades användarens mobilnummer i klartext, och bytte man ut numret mot någon annan användare fick man denne användares transaktioner utan att behöva logga in som den användaren. Transaktionshistoriken innehåller alla skickanden och mottaganden av pengar som skett med Swish sedan man aktiverat tjänsten. Eftersom integritetsluckan var okänd för utvecklarna utgår Nullbyte från att den funnits där sedan tjänsten introducerades i december 2012. Swish har i dag 1,4 miljoner användare.

Nullbyte uppger att han först försökte kontakta utvecklarna bakon Swish angående integritetstsluckan, men fick dålig respons. Då vände han sig i stället direkt till bankerna, som tog uppgiften på allvar, och inom en vecka var problemet åtgärdat.

Källa