JCBプリペイドカードのマイページで他人のアカウントを乗っ取れる脆弱性
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
情報元へのリンク
とあるTwitterユーザーによると、JCBプリペイドカードのマイページでは、ログインID通知、ログインパスワード再設定の機能を悪用して、簡単に知り合いのアカウントを乗っ取ることができるという(Tweet1, Tweet2, Tweet3)。
これはパスワード再設定の確認メールの送信先を任意に指定できることから、カード種類、名前、生年、性別、登録メールアドレス、秘密の質問とその答えがわかるような親しい知り合いのアカウントであれば、そのログインIDを知得して任意のログインパスワードを上書き設定できてしまうというもの。
JCBプリペイドカードは退会しても15ヶ月間はマイページにログインして利用明細が確認できる仕組みで、アカウント情報を削除することはできないという。その間のメールアドレスやパスワードの変更を可能とするために、確認メールの送信先を任意に指定できるようにしてしまったのではないか、とツイート主は推測している。
陸マイラーの間では「楽天カード」から「ANA JCBプリペイドカード」を経由して「nanacoチャージ」するルートで人気が高い一方、未だに一定期間でログインパスワードを強制変更させるセキュリティ仕様が物議を醸していた。
なお、今月16日にはデザイナー向けソフトウェア販売代理店のA&Aが、ユーザID・パスワードを忘れた場合の通知機能を悪用した不正アクセスを受けたことを発表している。
情報元へのリンク
JCBプリペイドカードのマイページで他人のアカウントを乗っ取れる脆弱性 More ログイン