クレジットカードの再登録の仕組みは甘い。

たまたま、Twitterで乗っとり可能の昔のブログにMention来たので見てみると。。。

乗っ取られたよね…PITAPA 倶楽部のID。このしくみ普通に考えておかしいんだけど、PITAPAに電話して乗っ取られた方の情報削除とかしてもらえるのかな

— 腐ってない方のどんぐり (@toron_333) February 23, 2016

これはヒドイ。PiTaPa倶楽部はアカウント乗っ取りを公式に推奨中 - それマグで！ https://t.co/TEaClYPYew #Zenback @takuya_1stさんから

— 腐ってない方のどんぐり (@toron_333) February 23, 2016

スクショ

やっぱりマズイよねぇ。アノ仕組み

ログインのセキュリティ？？

ログインのセキュリティが甘いと良くないけど、登録時にクレジットカードの３桁コードを最終的な確認としてたり。

PiTaPa倶楽部は完全に公開情報のみで認証したり。ほんとうに良くない。

しかもこの件を「PiTaPa」の窓口に問い合わせると

提携クレジットカード会社からセキュリティ的に問題無い手法なのでということですので、
PiTaPaとしても問題ないと考えています。

回答もらってた（2013-3)

大阪市交通局のマイスタイルはPiTaPa番号を紙に書いて提出するんで、容易に漏れるんですよね。。。おーこわ

関連する過去の記事

セゾンカードはユーザー登録は上書きが可能なのに、絵合わせ導入でヤフーへ誘導 - それマグで！

これはヒドイ。PiTaPa倶楽部はアカウント乗っ取りを公式に推奨中 - それマグで！