2025年6月、Shubs Shahと筆者は、オンラインポーカーサイトClubWPT Goldに存在する脆弱性を発見しました。この脆弱性により、攻撃者は管理機能に使用されるコアアプリケーションに完全にアクセスできる可能性がありました。具体的には、運転免許証、パスポート番号、IPアドレス、取引履歴などの重要な情報を取得できるリスクがありました。脆弱性を報告した後、ClubWPTは問題を徹底的にパッチし、悪用されたことはないと確認しました。また、ホストは現在アクセス不可となり、再現不可であることも確認しました。記事では、筆者がClubWPT Goldのインフラ構成に興味を持ち、JavaScript内の不審なURLを発見した経緯が詳述されています。これにより、管理ツールへの非認証のエンドポイントを特定し、内部サービスやAlibabaクラウドの認証情報が混在していることが明らかになりました。