印度最大的电子商务网站印度铁路餐饮和旅游公司(IRCTC)花了将近两年的时间来修复一个安全漏洞，这个漏洞本可以让黑客不受限制地访问乘客的个人信息。

IRCTC负责印度铁路的餐饮，旅游和在线售票业务，每天约60万张机票预订。在错误存在的近两年内，ET无法独立验证是否有任何乘客数据被盗。该漏洞仅在8月由安全研究员Avinash Jain在IRCTC的网站和移动应用程序链接中找到，该链接连接到第三方保险公司以获得免费旅行保险。该错误会让攻击者在不知情或未经同意的情况下访问姓名，年龄，性别和保险提名人等乘客详细信息。“在发现错误之后的10分钟内，我们能够读取近1,000名乘客和被提名人的信息，”Jain说，他随后写信给IRCTC，提醒他们这个问题。

他估计这个漏洞至少有20万名乘客及其被提名人的详细信息暴露给了攻击者。该错误于8月14日向IRCTC报告，于8月29日得到确认和修复。有趣的是，印度铁路公司决定从9月1日起停止免费强制性旅行保险，允许用户选择加入或选择退出旅游保险。IRCTC没有回答有关此事的问题。2016年12月，IRCTC为通过其网站或移动应用程序预订门票的所有人推出了免费旅游保险。这需要IRCTC与第三方保险公司分享所有旅客的乘客详细信息以获得保险。

在预订机票后，被提名者的详细信息将在相应的保险公司网站上填写，为乘客生成加密的交易ID。“为了获得旅行者的个人信息，我们需要交易ID和旅客姓名记录(PNR)号码的有效组合，”Jain说。“通过强力解码加密数据(交易ID / PNR)，我们能够获取任何乘客的详细信息。”10位PNR号码是计算机预订系统数据库中某个人的记录，也是可通过蛮力技术获得。“有三家公司提供铁路旅行保险，我们发现与Shriram General Insurance的联系存在漏洞，”共同研究员Gurunatha Reddy Gopireddy表示。与其他两家保险公司ICICI Lombard General Insurance和Royal Sundaram General Insurance的链接没有相同的错误。

根据IRCTC 2016-17财年的年度报告，电子票务占印度预留铁路车票的62%，每天通过IRCTC网站售出超过573,000张票。“负责披露缺陷并未得到政府的奖励，”Jain表示，他已经报告了严重的安全漏洞并获得了美国宇航局，谷歌和Paytm等公司的奖励。处理网络安全威胁的印度计算机应急响应小组(CERT-In)在2017年在该国报告了53,081起事件。“向CERTIn报告的报告中只有不到1%来自安全研究人员，而印度研究人员收到的报酬超过1.8美元2017年奖金数额为百万美元(奖励)。激励措施对于积极披露至关重要，“Jain说。