【脆弱性】7pay、攻撃にメルアドすら必要なし　連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能

862 ：名無しさん＠１周年：2019/07/16(火) 23:44:08.71 ID:Ih+rdrVi0.net

なお、気がかりなのは、鈴木淳也氏の記事で紹介した不正利用被害者のケースだ。
外部IDを使っておらず、｢7iDのみで使用している16桁のパスワード｣と｢7payチャージ用に設定した7iDとは異なるパスワード｣の組み合わせでハッキングが行われている。
少なくとも、今回の外部ID連携の脆弱性では、こちらのケースの不正被害は説明できないことになる。


まだこっちの大問題が残ってるわけで