セキュリティリスクの警告：利用終了時に必ずログアウトを

日本に駐在する方々に向けて、Biltアプリのセキュリティリスクに関する重要な情報です。Biltウォレットやクレジットカード関連の機能を終了した後は、必ず「手動でログアウト」する必要があります。ブラウザやアプリを閉じるだけでは不十分です。

概要

金融データを扱うアプリは通常、不正アクセスを防ぐためセッション管理が厳格ですが、Biltはこの基準を満たしていない可能性があります。セッションが長時間保持され、パスワードやMFAなしで敏感な操作が可能になるリスクがあります。

Redditで出ている主な論点

• 不正アクセスのリスク：PCが紛失・盗難・不正にアクセスされた場合、Biltセッションが長時間保持されているため、パスワードやMFAを必要とせずに大量の情報が取得される可能性があります。
• セッション管理の不備：NISTやPCI-DSSが金融データを扱うシステムのセッション管理を規定していますが、B、ルはこれらの基準を満たしていないとされています。
• 操作の幅：セッションがアクティブな間は、賃貸借の支払い管理やカード再発行、認証ユーザーの追加など、敏感な操作が可能になります。
• セキュリティプロフェッショナルの警告：セッションが数日間保持されるため、ユーザーが意識せず長時間のセッションを放置している場合、重大なリスクが生じる可能性があります。
• 対応策：Biltがセキュリティ基準を改善するまでは、利用終了後に必ず手動でログアウトする必要があります。
• 関連情報：投稿者による別の投稿では、Biltの不正利用対応策についても問題が指摘されています。

Reddit / r/biltrewards
https://www.reddit.com/r/biltrewards/comments/1te3oir/warning_security_exposure_manually_log_out_when/