はてな匿名ダイアリーに他人のTカードを乗っ取れる脆弱性があるという話が掲載されている。記事の筆者はTカードの運営や着信認証を提供している企業への問い合わせもしたが回答はなく、IPAなどにも連絡したものの報告を受理してもらえなかったので記事として掲載したとしている（はてな匿名ダイアリー）。

あるAnonymous Coward 曰く、

- モバイルTカードアプリには「Tカードを探す」から、公知な情報をもとにアカウントを復元できる機能がある
- 記入した電話番号から発信者番号通知しつつ「着信認証」という株式会社オスティアリーズのSaaS (曰く3億人以上に使われているらしい)に電話をかけることで認証される
- ところが、「着信認証」には発信者認証を迂回できる脆弱性があり、株式会社オスティアリーズは認識していながら顧客企業(CCC含む)に隠蔽していた。

証拠動画
080-1234-5677 というありえない電話番号をもつアカウントを同様の手法で用意して、それをのっとるデモ動画

https://streamable.com/z99sw0 (動画は48時間で見えなくなるので注意)

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
「Tポイント」と「Vポイント」が統合へ。2024年春をめどに新ブランド化 2022年10月05日
CCC、同意取得済のTポイントデータをオープン化 2022年08月01日
ENEOS、3大共通ポイントの付与開始 2022年04月07日
ヤフーでのＴポイント付与、2022年3月末で終了へ。4月からはPayPayに切り替え 2021年12月02日
ポイントプログラム、活用してる？ 2021年09月04日