こういうのありがちなのが、初期状態の正規IDが社員ID(連番)で、正規PASSがその社員の生年月日とかいうやつ

つまり社員名簿を何らかの形で入手したら小難しい手法を用いずともクラックできちゃう

アクセスレベルは勤続年数が高い人ほど広い範囲権限を与えられがちで、連番IDが若い数ほど勤続年数が長いことが予測できるから、実際の総当り数は物凄く少なく出来るんだよね

富士通製ツール「ProjectWEB」への不正アクセス調査、129組織での情報流出が判明 「正規のIDとパスワードでログインされた」 https://www.itmedia.co.jp/news/articles/2108/12/news143.html