Pitapa倶楽部はID乗っ取りが可能。

登録済みPiTaPaに対して、ID乗っ取りが可能です。実際に試しました。

でも悪いことじゃないです。ID再登録はピタパ発行元も推奨する乗っ取り手段です。

以前、ピタパ紛失時にコールセンタで「ピタパクラブはどうすればいいですか？」って訊いたら、再登録できるから大丈夫ですって言われたの。それ思い出した。

悪用しなければいいんです。悪用しなければいいんです。悪用しなければいいんです。

大事なので３回言いました。

再・登録じゃなく、パスワード再設定できないの？

ピタパクラブは、パスワード再設定ができません。パスワード紛失時には新規登録で上書きします。

PiTaPa公式サイトの説明

(新規登録っすか)

「再発行なし＝＞新規登録を推奨」が公式見解だそうだ。

パスワードにつきましては、お忘れになられた場合、改めて（略）新規登録の手続きをしなおしていただく必要がございます。

再度新規登録だと何がまずいか？

簡単にアカウントを乗っ取れます。

• Pitapaカード番号
• 電話番号
• 生年月日
• フェリカID
• クレジットカードの有効期間

これらがセットになれば、いつでも再登録できる。

PiTaPa安心じゃない。

いまから、彼女のピタパクラブのカード上書きしてみよう

実験してみた。

番号入力してー
(上書き！)

上書き登録しました。

以前のIDでログインすると・・・

(上書きされた側)

既存アカウントは無効化された。彼女のPiTaPa履歴が見放題です。アリガトン

電話番号と生年月日を知りうる人は、簡単に乗っ取れるということです。

電話番号と生年月日は公開情報だから、PiTaPaカードさえ見れれば誰でも履歴にアクセス可能で、登録情報変更可能ですね。*1

じゃぁピタパの履歴を見るには。ピタパカードを入手して、ってそんな必要ないかもよ。

カード無しで、ピタパのカードIDを入手する。

レシートにフェリカ番号乗るからね、ピタパの支払いレシートがアレば十分。レシートがあればFelicaID入手完成。*2

0027が僕の下四桁です。もう公開情報にしておくわ

Pitapa会員番号IDを取得する

利用明細にピタパの番号乗るからね、明細手に入れたら、１３桁入手。

(送付される明細にPitapaIDが！)
(マスクされてるけど。)

追記：僕のエメラルドスタシアのPiTaPa会員番号はクレジットカード番号と同じでした。

これでほとんど丸裸だよね。

生年月日・電話番号は公開情報、ピタパ番号（１６桁中１３桁）が請求書記載、フェリカ番号(下４桁）がレシートに記載。

登録に必要な番号のうち残る番号は、カード有効期限とピタパ会員番号３桁のみ。

その内の、カード有効期限ってのは隠しているうちに入らない。４桁ですが１０００通りもありません。

有効期限はつまり６０通りです。年はせいぜい５年だから５個、月は１２ヶ月だから１２個。

ピタパ番号は数字３桁だから１０００個。つまり高々60,000通りの総当たり攻撃で登録可能になる。

いまできることは、

ピタパクラブには定期的にログインして、アカウントの有効チェックするしかないね。

これが日本の技術力。こういう疑問符が出るシステム作る会社が国民ID関連の会議に入ってるんだろうね。ヤダヤダ

PASMOの履歴問題といい勝負かな。というか、会員情報変更できる分、ピタパ倶楽部の方が被害が大きくてヤダ。

ここがPASMOと違うところ。

PiTaPa会員番号がクレジットカード番号と同等でした。なのでPASMOと違いPiTaPaは利用者が番号の取扱いが慎重なことを知っている。*3

PASMOの場合、履歴がWEBで見られることを「周知不足」だと指摘されていて、「公開情報」で登録可能な点が問題を大きくしていた。
PiTaPaの場合、履歴がWEBで見られることを「大前提」で履歴収集している。「クレジット番号」で登録必須な点が問題を見えなくしてた。

PiTaPaとPASMOを同一視して攻撃するのは違う。

どうすればいいですか？

システム作る会社さん、問い合わせ待ってるからね。今回も。

ピタパクラブだから、アイテック阪急阪神と、大阪市営地下鉄とピタパ協議会と京阪◯◯とあたりからの問い合わせは歓迎するよ。
優しい解説と改善提案するから僕を雇って！（違

*4