19/07/04 14:01:56.69 K502IzOy9.net
パスワードリセットに弱点がある
これはTwitterのshao (Sho SAWADA)氏が指摘しているもので、パスワードリセットを別のメールアドレスからできてしまうという穴です
同じことができるか、検証しました(7iDでの検証)。
下記は7payの機能が内蔵されたセブンイレブンアプリのログイン画面。「パスワードをお忘れの方」というパスワードリセットのリンクがあります。クリックするとメールアドレスの入力画面になるので次へ押します。
画像
なんと別のメールアドレスにパスワードリセットメールを送信できる
問題は次のパスワードリセット申請画面です。
生年月日と電話番号を入れるところまではいいのですが、その次に謎の入力項目があります。
7payクレジットカード不正利用
7payクレジットカード不正利用
赤で囲んだ部分は「送付先メールアドレス」です。なんと登録しているアドレスとは別のアドレスに、パスワードリセットメールを送信できるのです。実際にやってみました。
別のメールアドレスにパスワードリセットメールが来た
必要な情報は「生年月日」「電話番号」「メールアドレス」の3つだけ。その上で別のメールアドレスを設定します。
URLリンク(news.yahoo.co.jp)
7iD(オムニ7)のパスワード再設定画面から「送付先メールアドレス」が消えたけど内部的には有効になっていて、開発者ツールでメアドを入れたら登録してあるメールアドレスと「送付先メールアドレス」の両方にメールが届いて草
URLリンク(twitter.com)
(deleted an unsolicited ad)