インドの脆弱性報告（Web）の事例。なかなか厳しい感じですね。

ハッカーでもあるサージナニさんはこれら3つの例を挙げた上で、次のような教訓を得たと記しています。

1．インドの会社は、自社の製品に対するセキュリティに注意を払っていない
2．完全にセキュアなアプリケーションやウェブサイトは存在しない。この時点でも、気づかれずに脆弱性を突いて悪用している人物は存在しているはずである。
3．企業がバグ報奨金プログラムの重要性を知るのは、社会的な辱めを受けたときである。ハッキングを受けたときに、いかにダメージを小さく抑えるかが企業にとって重要である。
4．「倫理的なハッキング」はほとんど感謝されない
5．検証を行うには長い時間がかかるが、見返りは少ない。

そして、変えられなければならないものについては、以下のように挙げています。

1．開発とメンテナンスが全てではない。企業はありとあらゆるハッキングに備える必要がある。個人情報の流出は大きな訴訟リスクとなる。
2．大きな企業やスタートアップは、バグ報奨金プログラムを用意するか、責任的開示方針を定めるべきである。
3．システムに穴があることを教えてくれた人には感謝して周知する必要がある。
4．バグの通知から解析、報償のサイクルは可能な限り短くなければならない
5．自社でセキュリティエンジニアを雇っていない企業は、外部の業者を利用するのも1つの手である。

タダで飛行機に乗れる脆弱性を突いたハッカー、航空会社からの意外な対応に遭遇する - GIGAZINE