Lodestone で作成されるリンクが target="_blank" 属性が指定されている一方で rel="noopener" 属性が指定されていません。
このことにより、リンク先のページからリンク元の Lodestone のタブを操作することができ、Lodestone を偽のログイン画面に遷移させることができてしまいます。
実証ページ : https://jp.finalfantasyxiv.com/lodes.../blog/4204976/
Q. コワイ! ロドストの日記にあるリンククリックしたらアカウント乗っ取られちゃうの?
A. 偽のログイン画面を出せるだけだから、ID とパスワードを入力するときはアドレス欄を確認するようにすれば大丈夫です
Q. セキュリティ関係のことをフォーラムに書くべきでないのでは。悪用されたらどうするのか
A. サポートセンターにメールで報告したら「フォーラムに書け」って言われたので……
追記 : このフォーラムにも同様の問題があるようです