楽天の認証システムが終わってる

これは早急に修正してほしい脆弱性の話！

ある日、iPhoneにBurp Suiteを繋いでいろんなアプリの通信を見ていたんだけど、楽天のログイン通信でちょっとヤバい脆弱性を見つけてしまったんだ。

まず、メールアドレスとパスワードさえわかれば、本人確認なしで簡単にログインできちゃう。しかも、もし第三者が勝手にログインしてきて、こっちがパスワードを変えても、なんと3ヶ月間はその人もログインしたままになってるっていう…これはマズいよね。どうもセッションとかクッキーに原因があるみたいで、パスワードが変わってもクッキーが変わらないのが問題らしい。3ヶ月後にはセッションがリセットされるらしいけど、それまでに楽天ペイとかのポイントが不正利用されるリスクがあるわけで。

さらにびっくりなのが、メールアドレス変更も簡単にできちゃうってこと。他にも電話番号とかの個人情報も変えられちゃうから、乗っ取り放題って感じ。

楽天のアカウント情報は過去に何度か流出してることもあって、すぐにでもパスワード変更をおすすめするよ。ちなみに、楽天では2段階認証も導入されてるから、設定しておけば少しはリスクを軽減できるはず。

この問題は、楽天だけじゃなく他のサービスでも起こり得ることだから、ぜひ注意してほしい！みんなの安全のために、楽天が早急に対応してくれることを願ってるよ。