IRCTC corrigió un error de seguridad crítico que permite a los atacantes robar información privada de los pasajeros, como nombre, edad, género y seguro sin el consentimiento del usuario.
Al parecer, la vulnerabilidad durante más de dos años, el investigador de seguridad Avinash Jain descubrió que existe una vulnerabilidad tanto en el sitio web del IRCTC como en la aplicación que se conecta con el servicio de seguros gratuito de terceros.
Según el informe de Economic Times, el error se informó a IRCTC el 14 de agosto y se solucionó el 29 de agosto.
En 10 minutos (después de encontrar el error) pudimos leer casi 1,000 pasajeros y la información del candidato ”, dijo Jain a Economic Times.
Tres compañías que ofrecen servicios de seguro de viaje a IRCTC, incluidos ICICI Lombard General Insurance, Royal Sundaram General Insurance y Shriram General Insurance.
El error solo afecta el enlace para realizar transacciones con la compañía de seguros Shriram General Insurance y otros no se ven afectados.
Después de la reserva del billete, los detalles de la nominación se llenarán en el sitio respectivo de la Compañía de Seguros y la identificación de la transacción encriptada generada para los pasajeros.
Ahora, para obtener los detalles del pasajero, necesitamos tener un ID de transacción o un número de PNR, pero Jain dijo que pueden obtener los detalles del pasajero al decodificar el ID de transacción / PNR utilizando métodos de fuerza bruta.
IRCTC emite más de 700,000 billetes todos los días, entre ellos, más del 62% de los boletos se reservan online.
Fecha actualización el 2021-11-16. Fecha publicación el 2018-11-16. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: gbhackers