Buggen ska ha upptäckts tidigare i år, men den blev allmänt känd först för ett par dagar sedan då den beskrevs i en bloggpost av personen som upptäckte den.

Swish används för att skicka pengar mellan privatpersoner och använder telefonnumret för att identifiera avsändare och mottagare. Buggen innebar att det gick att byta ut telefonnumret i ett anrop från Swish-appen, vilket gjorde att man kunde få ut betalhistoriken från vem som helst – med andra ord se hur en främmande person har skickat och tagit emot pengar.

Det ska inte ha varit möjligt att utnyttja säkerhetshålet för att ta pengar från andras konton.

– För att kunna se dessa transaktioner krävdes höga it-kunskaper och felet rättades till så fort vi blev medvetna om det, säger Per Ekwall, vd på byrån The World Loves som ansvarar för Swishs presskontakter.

Enligt Per Ekwall ska en intern granskning ha visat att säkerhetshålet inte hann utnyttjas av angripare innan det åtgärdades, vilket ska ha skett i juli i år.

Swish har på kort tid blivit en mycket välanvänd tjänst. 1,7 miljoner användare har anslutit sig och bara under september skickades 1,1 miljarder kronor genom systemet. Tjänsten backas upp de fyra svenska storbankerna Nordea, Swedbank, SEB och Handelsbanken samt Skandiabanken, Länsförsäkringar, Danske Bank och ett antal sparbanker.