それマグで!

知識はカップより、マグでゆっくり頂きます。 takuya_1stのブログ

習慣に早くから配慮した者は、 おそらく人生の実りも大きい。

これはヒドイ。PiTaPa倶楽部はアカウント乗っ取りを公式に推奨中

ある日、Twitterを見ていると。「ピタパクラブは上書き登録可能。」と見かけた。

#pitapa 倶楽部がひどいのは、とあるカードに対してユーザー登録が既に行われてても、上書き登録ができてしまうこと。なので、攻撃者が対象者のアカウントを上書きすることが可能になるという凄い実装。

https://twitter.com/#!/cetacea/status/174094663861542912

そうだったの・・・知らなかったです。上書き登録出来るとかヤバイんじゃないの?早速試してみよう。

ピタパを知らない人に解説すると、ピタパは、パスモに先駆けて、関西私鉄で使える交通ICカード。後払いが特徴。あとから回数券分相当が割引されて請求される。とっても便利なサービス。

Pitapa倶楽部はID乗っ取りが可能。

登録済みPiTaPaに対して、ID乗っ取りが可能です。実際に試しました。

でも悪いことじゃないです。ID再登録はピタパ発行元も推奨する乗っ取り手段です。

以前、ピタパ紛失時にコールセンタで「ピタパクラブはどうすればいいですか?」って訊いたら、再登録できるから大丈夫ですって言われたの。それ思い出した。

悪用しなければいいんです。悪用しなければいいんです。悪用しなければいいんです。

大事なので3回言いました。

再・登録じゃなく、パスワード再設定できないの?

ピタパクラブは、パスワード再設定ができません。パスワード紛失時には新規登録で上書きします。

PiTaPa公式サイトの説明

(新規登録っすか)

「再発行なし=>新規登録を推奨」が公式見解だそうだ。

パスワードにつきましては、お忘れになられた場合、改めて(略)新規登録の手続きをしなおしていただく必要がございます。

再度新規登録だと何がまずいか?

簡単にアカウントを乗っ取れます。

  • Pitapaカード番号
  • 電話番号
  • 生年月日
  • フェリカID
  • クレジットカードの有効期間

これらがセットになれば、いつでも再登録できる。

PiTaPa安心じゃない。

いまから、彼女のピタパクラブのカード上書きしてみよう

実験してみた。

番号入力してー
(上書き!)

上書き登録しました。

以前のIDでログインすると・・・

(上書きされた側)


既存アカウントは無効化された。彼女のPiTaPa履歴が見放題です。アリガトン

電話番号と生年月日を知りうる人は、簡単に乗っ取れるということです。

電話番号と生年月日は公開情報だから、PiTaPaカードさえ見れれば誰でも履歴にアクセス可能で、登録情報変更可能ですね。*1

じゃぁピタパの履歴を見るには。ピタパカードを入手して、ってそんな必要ないかもよ。



カード無しで、ピタパのカードIDを入手する。

レシートにフェリカ番号乗るからね、ピタパの支払いレシートがアレば十分。レシートがあればFelicaID入手完成。*2




(レシートに載ってる)

0027が僕の下四桁です。もう公開情報にしておくわ

Pitapa会員番号IDを取得する

利用明細にピタパの番号乗るからね、明細手に入れたら、13桁入手。

(送付される明細にPitapaIDが!)
(マスクされてるけど。)


追記:僕のエメラルドスタシアのPiTaPa会員番号はクレジットカード番号と同じでした。

これでほとんど丸裸だよね。

生年月日・電話番号は公開情報、ピタパ番号(16桁中13桁)が請求書記載、フェリカ番号(下4桁)がレシートに記載。

登録に必要な番号のうち残る番号は、カード有効期限とピタパ会員番号3桁のみ。

その内の、カード有効期限ってのは隠しているうちに入らない。4桁ですが1000通りもありません。

有効期限はつまり60通りです。年はせいぜい5年だから5個、月は12ヶ月だから12個。

ピタパ番号は数字3桁だから1000個。つまり高々60,000通りの総当たり攻撃で登録可能になる。



いまできることは、

ピタパクラブには定期的にログインして、アカウントの有効チェックするしかないね。

これが日本の技術力。こういう疑問符が出るシステム作る会社が国民ID関連の会議に入ってるんだろうね。ヤダヤダ

PASMOの履歴問題といい勝負かな。というか、会員情報変更できる分、ピタパ倶楽部の方が被害が大きくてヤダ。

ここがPASMOと違うところ。

PiTaPa会員番号がクレジットカード番号と同等でした。なのでPASMOと違いPiTaPaは利用者が番号の取扱いが慎重なことを知っている。*3

PASMOの場合、履歴がWEBで見られることを「周知不足」だと指摘されていて、「公開情報」で登録可能な点が問題を大きくしていた。
PiTaPaの場合、履歴がWEBで見られることを「大前提」で履歴収集している。「クレジット番号」で登録必須な点が問題を見えなくしてた。

PiTaPaPASMOを同一視して攻撃するのは違う。


どうすればいいですか?

システム作る会社さん、問い合わせ待ってるからね。今回も。

ピタパクラブだから、アイテック阪急阪神と、大阪市営地下鉄とピタパ協議会と京阪◯◯とあたりからの問い合わせは歓迎するよ。
優しい解説と改善提案するから僕を雇って!(違

*4

*1:パスワード+メアド登録が意味無いじゃん。

*2:裏面の黒背景白抜き番号

*3:まさかPiTaPa会員番号とクレジットカード番号が同一だとは・・・

*4:ちなみに彼女ってのは脳内だからね。