För ett drygt år sedan uppmärksammade jag att det allt mer populära Swish kan användas för att få fram vem som har ett telefonnummer, även om detta är hemligt rent av skyddat. Nu har polisen och media vaknat.
Foto: Swish |
Om man vill veta vem som har ett mobiltelefonnummer kan man enkelt och utan risk för upptäckt använda Swish. Om det finns ett Swishkonto kopplat till numret får man reda på innehavarens namn när överföringen ska bekräftas.
Man skriver bara in en överföring till telefonnumret, t ex på 1:- SEK och klickar på betala.
Därefter öppnas Mobilt BankID och där står det att man avser att godkänna en överföring till en viss mottagares namn. Det står inte mobilnumret, utan innehavarens namn. Här väljer man istället att avbryta överföringen genom att inte bekräfta den med Mobilt BankID.
Svårare än så är det. Man behöver alltså inte ens hålla på att genomföra en legitim affärstransaktion med motparten. Det räcker att man har ett telefonnummer man vill veta vem som innehar.
Extra allvarligt är det förstås för de som på förekommen anledning har hemliga telefonnummer eller rent av skyddad identitet. Om stalkers eller andra illvilliga har lyckats få fram uppgifter om ett telefonnummer kan Swish användas för att bekräfta att numret är korrekt.
Det är ju positivt att säkerhetsläckan nu uppmärksammas i lite bredare media, men det är synd att detta inte skedde redan för ett år sedan.
17 kommentarer
NU är inte jag en ihärdig swish-användare men är det inte så enkelt att man inte bör skaffa swish om man har skyddad identitet? Visst måste mottagaren ha swish för att tricket ska fungera?
Jag blir alltid lika förvånad när personer som har skyddad identitet röjer sin egen identitet i alla möjliga och omöjliga sammanhang.
Kan inte annat än hålla med. Har man skyddad identitet så ska man såklart inte använda Swish. Har man hemligt telefonnummer så skaffar ett annat nummer/telefon som man kopplar Swish till i så fall. Behöver inte tvunget vara senaste IP-håne…
Jag tycker själv att det är bra att man ser personens namn, så man lätt kan verifiera att det är till rätt person.
Nu krävs det ju visserligen att personen med hemligt nummer registrerar det i swish för att detta ska gå. För det andra verkar ju problemet ligga hos Nordea, och inte hos Swish.
Så med andra ord: Har du ett hemligt nummer och Nordea som bank, registrera inte ditt nummer i swish. Alternativt byt bank. Problem solved.
Nej, samma i alla banker. Nordea de enda som intervjuas. Jag har hemligt nr och annan bank och samma där.
Ja men det är väl klart att det dyker upp vid hemligt nummer. Banken har väl ingen koll på om ditt nummer är hemligt avseende din telefonoperatör. Du kan ju inte mena att de borde ha koll på det heller eftersom du själv angett ditt telefonnummer och bekräftat din identitet.
Faktisk skyddad identitet är något annat än hemligt telefonnummer.
Den här kommentaren har tagits bort av skribenten.
Tillägg, det är bara Nordea som visar namnet vid skyddat identitet och det är det Stoffe syftar på antar jag.
Det står också i de allmänna villkoren för Nordea att man utbyter den typen av information. Du läser väl de avtal du "skriver under" innan?
Se punkt 15 https://www.nordea.se/Images/39-14437/swish-villkor.pdf
Det här är verkligen en höna av en fjäder.
Lita bakvänt det där. Man har ett nummer men man vet inte vart det går ?
Då är det ju enklare att bara ringa numret och se vem som svarar.
Hemliga telefonnummer fungerar ju tvärtom; man vet vad personen heter men inte vilket nummer den har.
Eller fattar jag ingenting ? (som vanligt höll jag på att skriva)
Tycker ofta att man blir uppringd av folk som inte har sitt nummer presenterat på eniro eller hitta och då är swish bra. Hoppas de inte ändrar det. Hade varit bättre om folk kunde hålla tyst om "hålet"
En av de sakerna jag omedelbart reagerade på när jag skaffade tjänsten. Min tanke var då: ett försök till skickning borde iaf registreras som en transaktion på noll kronor så man ser vem som snokat.
Det kallas ju gammelmedia av en anledning…
De som har hemlig id kan väl fortsätta vara hemliga och använda annat betalningssätt ? Swish känns mycket tryggare än betalning till vanligt anonymt konto , man ser att man sätter in pengarna till rätt person och nr.
Ehh,hur kan detta ens bli en nyhet.
Ehh,hur kan detta ens bli en nyhet.
Den här kommentaren har tagits bort av skribenten.
Saken är den att personer med skyddad identitet inte kan ha mobilt BankID då deras personnummer "inte finns".
Inget mobilt BankID = Inget Swish.
Har egen erfarenhet då partner förut hade skyddade identitet.
Är ju iofs jävligt smidigt att man ser vem man skickar till, lätt att slinta på siffrorna kanske… Vid blocket-transaktioener mm brukar man inte har mottagren registrerad i telefonboken.