万博の予約サイト、かなり深刻な脆弱性があったが最後まで修正されなかった「チケットIDさえわかれば誰でもなりすまし可能な状態でした」

万博の予約サイト、かなり深刻な脆弱性があったが最後まで修正されなかった「チケットIDさえわかれば誰でもなりすまし可能な状態でした」
ARANK

万博予約サイト、最後まで修正されなかった脆弱性パビリオン入場もほぼ終わったことなので公開。万博予約サイトは、チケットIDさえわかればQRコードと予約情報が取り放題な脆弱性がありました。補足・QRコードとチケットIDは予約に関係なく1:1です・チケットIDは紐付け後であっても入場・パビリオン予約は代理登録できる仕様ですが、登録後の参照、キャンセル等は本来外部から見えない仕様です・個人情報は漏れませんが万博の入場やパビリオン予約の履歴が漏れます。通期パスなら全期間です

togetter.com 5 days ago

Open page

https://togetter.com/li/2615522