image

Zweedse betaal-app Swish lekte transacties gebruikers

maandag 27 oktober 2014, 15:00 door Redactie, 0 reacties

Een in Zweden populaire betaal-app bevatte een lek waardoor de transactiegeschiedenis van alle 1,4 miljoen gebruikers kon worden bekeken. Swish is voor zes Zweedse banken ontwikkeld. Via de app kunnen gebruikers direct betalingen doen en ontvangen, zonder tussenkomst van bankoverschrijvingen.

Een beveiligingsonderzoeker analyseerde de app en ontdekte dat die een request verstuurde met een gebruikers-ID voor de transactiegeschiedenis. Een al ingelogde gebruiker kon dit ID in het ID van een andere gebruiker veranderen. De app controleerde niet of deze gebruiker wel toestemming had om de transactiegeschiedenis van die gebruiker op te vragen en gaf het overzicht gewoon weer. Na te zijn ingelicht werd het probleem binnen een week opgelost. Volgens de onderzoeker was het lek waarschijnlijk al sinds de lancering twee jaar geleden aanwezig.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.