【悲報】モバイルSuicaも7payと同じく他人のメールアドレスでパスワードリセットできてしまうと判明

モバイルSuicaも7payと同じく別のメールアドレスにパスワード再発行を送れる模様秘密の質問がありますが、ソーシャルハックされたら終わり

更新日:2019年07月04日

VIEW

【悲報】モバイルSuicaも他人のメールアドレスでパスワードリセットできてしまう。ええっ……。

(#7pay とは違って秘密の質問もあるけど) t.co/LJOqtpCkWU

【悲報】モバイルSuicaも他人のメールアドレスでパスワードリセットできてしまう。ええっ……。

(#7pay とは違って秘密の質問もあるけど)
— shao (Sho SAWADA) (@shao1555) 2019年7月4日

@shao1555 モバイルSuicaもパスワード変更時に登録メルアドと異なるメールアドレスに送信できますね、ガラケー時代を引きずってるのかな？ https://t.co/Q6CUrmenme

@HiromitsuTakagi モバイルSuicaも別のメールアドレスにパスワード再設定用URLを送れますよ。送るたびに元メアドにお知らせ、再設定ページで氏名生年月日郵便番号秘密の質問が待ってますけども。 https://t.co/e9cVf0bKyZ

「先輩、これ、パスワード再発行するときに、登録内容と関係のないメールアドレスに通知しちゃって大丈夫なんすか？」
「上からの仕様で決まってるんだからいいだろ。モバイルSuicaも同じ仕様らしいし」
「了解っす」

7payの末端の開発現場ではきっとこんな感じになるよね。

モバイルSuica、別アドレスでパスワードリセットかけようとした場合は、登録アドレスに通知が行くので、その時点で防げって感じ。実際に試してみた。

モバイルSuicaについても、パスワードリセットの申請者が登録メールアドレスの所有者であることを確認していないので、本人確認が甘い

モバイルSuicaも別のメアドでリセットいけるんか…やべーな

モバイルsuicaのサイトもパスワードリセで別email adへ送れるw