万博予約サイト、最後まで修正されなかった脆弱性
パビリオン入場もほぼ終わったことなので公開。
万博予約サイトは、チケットIDさえわかればQRコードと予約情報が取り放題な脆弱性がありました。
チケットの追加登録のcheck用APIが、他アカウントに紐ついている場合にエラーを返しますが、その際にチケットの詳細情報を全て開示していました。
入場・パビリオン両方の予約内容とQRコードが入手可能なので、チケットIDさえわかれば誰でもなりすまし可能な状態でした。
現在も確認可能だと思いますので、各自確認してみてください。
お問い合わせしたものの回答・修正は最終的に行われないままでした。
#EXPO2025Forever #万博 #脆弱性
