今年1月に何故か立て続けに2件の脆弱性関連情報をみつけていて,IPAに報告をしていました. 今回の記事はその2件目にあたるお惣菜の宅配サービスにおけるセキュリティの問題を発見した話を書いていこうと思います. ここではあくまで報告に至る経緯の掲載を目的としているため,具体的なサイト名や業者名については明記していません. 発見の経緯 以前にオンラインで定期購入可能なお惣菜の宅配サービスを利用していたことがあり,当時そのサイトは大手のECサービスを利用していました. しかし,年明けにホームページリニューアルのお知らせという内容で以下のようなメールが届きました. サイト名が含まれるセール情報部分についてはマスク処理しています. こちらのメールを1月10日に確認後,即座に自身のアカウントの退会処理を行いましたが,翌日のリニューアル後に自身のメールアドレスと記載の[1111]というパスワードでログイン