2018-12-06 hackeroneでやっと一件見つけた が、既に7ヶ月前に報告済みの不具合でした。。。セッション絡みの脆弱性だったのですが。 やっぱhackeroneとかbugcrowdは世界中からアクセスがあるから見つけるのなかなか難しそうです。