これならカンタンだ!
携帯電話サイトの簡単ログイン方式で情報漏洩発生。携帯電話端末だけしか接続してこない前提で、端末ごとの個別IDをキーとするのが簡単ログイン方式。スマートフォンからは基本的にはつなげないようにしてるんだけど、そこはアプリで適当な通信ヘッダ付けて携帯電話のフリをすればつなげられる。個別IDとか持ってないので、適当につけちゃえるし、悪意持てば任意のIDだって付けちゃえるんだよね。
携帯電話サイト作ってる人は、そういう接続がされるとは考えてなかったんでしょうけれど、もはやなんとかしないわけにはいかないですね。まず緊急対応では利便性を捨てて毎回パスワード入力にするしかないだろうし、その次は素直にCookie式に変更していくんじゃないかな。Cookie保持できない古い端末にはもう対応できないなあ。