●【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能
https://asahi.5ch.net/test/read.cgi/newsplus/1563273464/


4名無しさん@1周年2019/07/16(火) 19:39:22.83ID:Ts093sXg0
第三者がパスワードリセットできた

第三者がパスワードなしでログインできた

第三者が何も知らなくてもログインできた ←いまここ!


273名無しさん@1周年2019/07/16(火) 20:11:21.66ID:KQAAibPH0
サービス開始と同時に一斉にやられた。
開始前から知っていたにきまっている


32名無しさん@1周年2019/07/16(火) 19:43:03.74ID:10C+2APj0

セブンは過去もやってる
ネット通販で客の情報にパスワードかけずにサーバーに保存

グーグルにすべて拾われる

客から指摘されて「客が操作を間違えたのが悪い!!」と逆切れ
なお顧客情報、買い物履歴、クレカ情報が流出

ネット通販サイトの名称を変えて知らんフリ