以下のHackerOneレポートを読みました。

カテゴリ：Cleartext Transmission of Sensitive Information

hackerone.com

Curveという複数のカードをひとまとめにするサービス？を扱っているようです。

このサービスの中で、メールアドレスを入力することでトラックNoを表示できる機能があります。

この機能を使うと、画面上ではトラックNoが表示されますが、

レスポンスを見ると個人情報が含まれて返却されてしまっているというものでした。

脆弱性が修正される前は、以下のようなレスポンスが返ってきていました。

{"_id":"5eec6b1a958666b5141063e3","name":"Cxvvc","email":"praseudo@gmail.com","phoneNumber":"xxxxxxxxx","zipcode":"10001","position":4379,"referralCode":"BCeE8mzI","createdAt":"2020-06-19T07:36:58.460Z","updatedAt":"2020-06-19T07:36:58.460Z","__v":0,"status":"EXIST"}

現在は、以下のようなレスポンスになっています。

{"position":4379,"referralCode":"BCeE8mzI","status":"EXIST"} 

画面の表示だけでなく、

常にリクエスト/レスポンスを確認するべきだと思いました。

見えているものが全てではないと思って色々確認していきます。

以上。