ある日、Twitterを見ていると。「ピタパクラブは上書き登録可能。」と見かけた。
#pitapa 倶楽部がひどいのは、とあるカードに対してユーザー登録が既に行われてても、上書き登録ができてしまうこと。なので、攻撃者が対象者のアカウントを上書きすることが可能になるという凄い実装。
https://twitter.com/#!/cetacea/status/174094663861542912
そうだったの・・・知らなかったです。上書き登録出来るとかヤバイんじゃないの?早速試してみよう。
ピタパを知らない人に解説すると、ピタパは、パスモに先駆けて、関西私鉄で使える交通ICカード。後払いが特徴。あとから回数券分相当が割引されて請求される。とっても便利なサービス。
Pitapa倶楽部はID乗っ取りが可能。
登録済みPiTaPaに対して、ID乗っ取りが可能です。実際に試しました。
でも悪いことじゃないです。ID再登録はピタパ発行元も推奨する乗っ取り手段です。
以前、ピタパ紛失時にコールセンタで「ピタパクラブはどうすればいいですか?」って訊いたら、再登録できるから大丈夫ですって言われたの。それ思い出した。
悪用しなければいいんです。悪用しなければいいんです。悪用しなければいいんです。
大事なので3回言いました。
再・登録じゃなく、パスワード再設定できないの?
ピタパクラブは、パスワード再設定ができません。パスワード紛失時には新規登録で上書きします。
電話番号と生年月日を知りうる人は、簡単に乗っ取れるということです。
電話番号と生年月日は公開情報だから、PiTaPaカードさえ見れれば誰でも履歴にアクセス可能で、登録情報変更可能ですね。*1
じゃぁピタパの履歴を見るには。ピタパカードを入手して、ってそんな必要ないかもよ。
カード無しで、ピタパのカードIDを入手する。
レシートにフェリカ番号乗るからね、ピタパの支払いレシートがアレば十分。レシートがあればFelicaID入手完成。*2
(レシートに載ってる)
0027が僕の下四桁です。もう公開情報にしておくわ
Pitapa会員番号IDを取得する
利用明細にピタパの番号乗るからね、明細手に入れたら、13桁入手。
(送付される明細にPitapaIDが!)
(マスクされてるけど。)
追記:僕のエメラルドスタシアのPiTaPa会員番号はクレジットカード番号と同じでした。
これでほとんど丸裸だよね。
生年月日・電話番号は公開情報、ピタパ番号(16桁中13桁)が請求書記載、フェリカ番号(下4桁)がレシートに記載。
登録に必要な番号のうち残る番号は、カード有効期限とピタパ会員番号3桁のみ。
その内の、カード有効期限ってのは隠しているうちに入らない。4桁ですが1000通りもありません。
有効期限はつまり60通りです。年はせいぜい5年だから5個、月は12ヶ月だから12個。
ピタパ番号は数字3桁だから1000個。つまり高々60,000通りの総当たり攻撃で登録可能になる。
いまできることは、
ピタパクラブには定期的にログインして、アカウントの有効チェックするしかないね。
これが日本の技術力。こういう疑問符が出るシステム作る会社が国民ID関連の会議に入ってるんだろうね。ヤダヤダ
ここがPASMOと違うところ。
PiTaPa会員番号がクレジットカード番号と同等でした。なのでPASMOと違いPiTaPaは利用者が番号の取扱いが慎重なことを知っている。*3
PASMOの場合、履歴がWEBで見られることを「周知不足」だと指摘されていて、「公開情報」で登録可能な点が問題を大きくしていた。
PiTaPaの場合、履歴がWEBで見られることを「大前提」で履歴収集している。「クレジット番号」で登録必須な点が問題を見えなくしてた。