potatoさん
VIEW
【悲報】モバイルSuicaも他人のメールアドレスでパスワードリセットできてしまう。ええっ……。
(#7pay とは違って秘密の質問もあるけど) t.co/LJOqtpCkWU
【悲報】モバイルSuicaも他人のメールアドレスでパスワードリセットできてしまう。ええっ……。
— shao (Sho SAWADA) (@shao1555) 2019年7月4日
(#7pay とは違って秘密の質問もあるけど)
@shao1555 モバイルSuicaもパスワード変更時に登録メルアドと異なるメールアドレスに送信できますね、ガラケー時代を引きずってるのかな? https://t.co/Q6CUrmenme
@HiromitsuTakagi モバイルSuicaも別のメールアドレスにパスワード再設定用URLを送れますよ。送るたびに元メアドにお知らせ、再設定ページで氏名生年月日郵便番号秘密の質問が待ってますけども。 https://t.co/e9cVf0bKyZ
「先輩、これ、パスワード再発行するときに、登録内容と関係のないメールアドレスに通知しちゃって大丈夫なんすか?」
「上からの仕様で決まってるんだからいいだろ。モバイルSuicaも同じ仕様らしいし」
「了解っす」
7payの末端の開発現場ではきっとこんな感じになるよね。
モバイルSuica、別アドレスでパスワードリセットかけようとした場合は、登録アドレスに通知が行くので、その時点で防げって感じ。実際に試してみた。
モバイルSuicaについても、パスワードリセットの申請者が登録メールアドレスの所有者であることを確認していないので、本人確認が甘い
モバイルSuicaも別のメアドでリセットいけるんか…やべーな
モバイルsuicaのサイトもパスワードリセで別email adへ送れるw