Lab 01 の IDOR を受けて、うつろい EC は注文 ID を連番から UUID に変更した。/orders/12345 ではなく /orders/a3f8c9...。これで「他人の ID は推測できない」ので安全、と開発者は考えた。
しかし、注文に紐付くレビュー API GET /api/products/{id}/reviews のレスポンスに、レビュー投稿者の order_uuid が含まれている。攻撃者はこの API から他人の UUID を入手し、注文詳細 API で使える。サーバ側の所有者チェックが無いため、UUID を知っているだけで他人の注文が見える。