【大炎上】USJユニバ 年パス発行のセキュリティガバガバだった 連番の年パス番号と有効期限で認証でき他人の番号で予約取り放題&転売し放題 運営は被害者に罪を着せ出禁処分に
USJユニバ 年パス発行のセキュリティガバガバだった 連番の年パス番号と有効期限で他人の番号で予約取り放題転売仕放題 運営は被害者に罪を着せ出禁処分に
更新日:
ringoさん
VIEW
【大炎上】USJユニバ 年パス発行のセキュリティガバガバだった 連番の年パス番号と有効期限で他人の番号で予約取り放題転売仕放題 運営は被害者に罪を着せ出禁処分に
USJユニバ 年パス発行のセキュリティガバガバ。年パスと予約番号に紐付けなし。個人情報の入力も紐付けなし。他人の番号で取り放題。
答え合わせ
USJは年パスでは入れない日がある
年パス保有者が発行できる予約券がある
この予約券発行サイトにパスワードはなく、年パス番号と有効期限でログインする
年パス番号はおそらく連番であり
有効期限は買った日の人が多い
つまり超ガバガバセキュリティ https://t.co/4oFe3B08Vp
本来はこの予約券と年パスのセットで入場するべきだが、USJのシステム上、入場ゲートは予約券のQRコードを当てれば開く。
結果、他人の年パスにログインして予約券発行して売ってる組織が存在する。 https://t.co/XHYWDHfZhj
年間パス番号の確認
このページ、パスワード認証もなにもなく番号と有効期限開始日のみでログインできる模様。両方とも公開情報によるログインなので、不正アクセスどころか、認証機能自体がないのでは?(パスワードは隠されているもので、変更できるものである必要がありますが、どちらも変更できない要素です。)
USJチケットの検索、購入ができます。eチケットのQRコードがあれば入場当日はパークへ直接入場できて便利!チケットによって、宅配やパーク受取りの選択、ローソンでの購入も可能。年間パスの購入や更新もでき、過去の購入履歴の確認もできます。
不正アクセス「された」被害者を出禁にするユニバ運営
単刀直入に言うと
出禁 になりました。
これからの被害が出ないために一度読んでいただけると嬉しいです。
これが最後のできることかなと思います。
買う人も売る人もみんな減りますように。
@USJ_Official
#usj #USJファン #USJ好きな人と繋がりたい #usj年パス https://t.co/bidfKCdVSh
実際の仕組みの証言 10月1日に指摘されていたにも関わらずUSJは対応せず
USJの年パス入園予約サイト、年パス番号の末尾2桁くらいが間違っていたんですがログインできてしまいました。発券済みのはずの日が再度発券できるようになっていたので間違いに気づきました。
ログインにはパスワード等は不要で、必要なのは年パス番号と 年パス有効開始日だけです(続く)
末尾2桁くらいが間違っていたんですが、まさかこれは他の誰かの年パス番号…?
もし年パス番号が番号順に発行されているのだとしたら、近い番号なら有効開始日も簡単に推測できるので、他人の年パス情報から入場予約券を発行できてしまうのでは?(続く)
現在は年パス自体がなくても予約券のQRコードだけで入園できる上、顔認証もないので他人でも入園できてしまいます。
もし他人に取得されたら自分ではQRの表示もできないし、転売でもされたら紐付けられている番号は自分のものだし、これはちょっと危険だなぁと思いました。
@dvideoz 確かに実際日付選択画面までは行けてしまいますが、そこから先、実際に取得するとなるとクラブユニバーサルへのログイン、更に氏名、住所、電話番号等の個人情報の入力が必要なので、そこが分からない限りは他人の年パスでの確約券の発行は難しいんじゃ無いでしょうか?、
@toraotorako810 それがなんと、そのあと入力するクラブユニバーサルのアカウントはその年パスとは紐づいていないので、年パスの持ち主のアカウントへログインする必要はないんですよ…
つまり他人のアカウントで取得できてしまいます。
@dvideoz クラブユニバーサルの情報と年パスの情報が紐づいていないとして、
ログイン後、更に個人情報の入力があ(ますよね?
そちらはどうなのでしょうか?
@toraotorako810 ログイン後の個人情報入力はそのクラブユニバーサルの情報だと思うのでどうでしょうか…
ただ、そこで年パスの氏名と一致しない場合は無効にするとかの対応はできるかもしれませんね。人力になりそうですが。
@dvideoz どうなんでしょうか…。
私は勝手に年パスとの紐付けかと思っていたので…。
年パスの登録情報と違います、ご購入出来ません。みたいな事になるのかと思っていました。
年パスユーザーの友達と検証出来たらしてみたいですね。
ありがとうございました!
@toraotorako810 外から失礼します。
私は夫の分の予約券も自分のクラブユニバーサルのアカウントから取得できています。
なので、年パスの登録情報と違う人のアカウントで予約券は取り放題です
年パスと紐付けはされてないし、メールも取得したクラブユニバーサルのアカウントの方に来ます(夫の方にメールは無し)
@themezan それは、氏名や住所等の個人情報を入力する欄で旦那様の氏名を入力せずに、
主様の氏名を入力しても取得出来たと言う事でしょうか?
年パス情報入力
↓
日付選択
↓
個人情報入力
の順番で入力していきますよね?
もし、そうなら、すっごいザルでびっくりしますね😣
@toraotorako810 はい、そうです。
私の名前、私の名義で全ての予約券を取得しています。
旦那の名前やメールアドレスはどこにも入れていませんし、取得した際に旦那の方にもメールは1通も行っていません。
みんなの声
これは酷い🤣
メルカリ見たらダイレクトインの文字の上隠して出品して予約券かわからんようにしてるのかな?
売ってる人まだまだいそう😭
あと自分がインした日、する日の分が出品されてる、年パスの人は身に覚えないのにユニバ出禁になる可能性が出てきたってこと?
もう対応悪すぎて笑うしかない🤣 https://t.co/uZYfMIJpdP
・週5通うほどのUSJオタク
・年パスは入園予約制で、予約QRコードのみで入園が可能(ランダム本人確認)
・元金2万でチケットを量産できる年パスQRの転売が多発
・遊びに行く予定だった当日に貴女のQRが転売されていると運営から警告メール
・パークに出向き説明を求めるも出禁に
・本人は無罪を主張
・運営側が転売を確認したのは複数日程
・本人が来園した日付については写真データ、レシートで確認が出来ると思うとの投稿主(問題なのはご本人が入園しなかった日付分のみなのでおそらくこれでは解決しない
・ご本人が転売してないのならUSJアカウントへの不正アクセスの可能性
↑これが1番問題
・USJ側は転売の詳細など、決定打となったものは出禁ゲストに開示せず
・USJ側は出禁措置一択、これ以上は警察を通して
・出禁ゲストはホラナイのファンのため、もしイベント終了までに解決できる可能性があるのであれば直接解決したい
・警察を通すと解決まで時間がかかる(?)ので今は考えていない
・年パスの番号がわかれば赤の他人でも入園予約QRコードを取得できる、との指摘が以前からSNSであった
・この2つの流れを組み合わせると、不正利用された可能性は第三者から見ても否定できない
・そもそも予約QRコードのみで入園できるUSJのシステムに問題あり
・さすがに入園は2段階認証すべき
・そもそも自身の操作ではない入園予約があった場合、本人のメールアドレスに届く予約確認メールで不正アクセスに気が付く事が出来たのではないか
・自身の操作・転売ではないという証拠をどの程度提示できたのか(メルカリアカウントは提示したらしい)
・USJはどの程度確信を得て出禁にしたのか
だとしたら普通にセキュリティインシデントだし、「USJ出禁にされた😭」とか言ってる場合じゃないですね。。piyologとかでまとめられそう。
絶対に他人には
年パスコードは教えられないと
ガチで思った。
てっきり年パスと入場券
二つセットで入場かと思ったら
事前に予約した入場券で入れたし
しかも入場券は年パスコードさえ入力でタダなのよ。 t.co/jQ1nc79NiL
USJの年パスを他人に不正利用され入園チケットを転売されてた人が年パス無効化&出禁に(身の潔白をどれだけ説明してもUSJ側は聞く耳を持たず)
↓
そもそも年パス入園予約サイト自体が他人の年パス番号(連番発行?自分の番号の末尾いじるだけ)で予約できちゃうガバガバ仕様
これはニュースになるかと😶
ユニバのチケット転売の件マジでユニバ側がゴミすぎるのでは。勿論他人のアカウントを勝手に使って転売してる奴が一番ゴミだけど、それを平気で行えるシステムにしてるっぽい上に有無を言わさず出禁にしてるユニバ、年パス買うの嫌になるやろ。
早く治るといいなぁ。