「PASMO マイページ」よりも酷い?「PiTaPa 倶楽部」 | スラド IT先日、PASMO の利用履歴をオンラインで確認できる「PASMOマイページ」の危険性が話題になり、サービスが一時停止する事態になったが、関西交通系 IC クレジットカード「PiTaPa」でも同様の問題があったそうだ。さらにこちらの場合、「ユーザーがすでにアカウントを作成していても、第三者がそのアカウントを乗っ取れる」というより酷い実装になっている模様 (「ブックマクロ開発に」の記事より) 。 PASMO マイページでの問題点は、PASMO のカード番号と PASMO の申込時に登録しておいた名前、生年月日、電話番号だけで登録ができてしまうというものだった。PiTaPa の場合、会員番号と生年月日、電話番号、有効期限、カード ID の下 4 桁、有効期限の情報が必要と、このあたりは PASMO と似ているのだが、PiTaPa ではすでにアカウントを作成していた場合でも、再度登録を行うことでア
