Bir rakibin sitesinde bir güvenlik açığı bulursanız ne yapmalısınız?

Şirketim için bir proje üzerinde çalışırken, kullanıcıların rakiplerimizin sitelerine / ürünlerinden veri almalarını / vermelerini sağlayan işlevler geliştirmem gerekiyordu. Bunu yaparken, yarışmacının web sitesinde herhangi bir senaryoyu kısa sürede gerçekleştirebilecek çok ciddi bir güvenlik açığından yararlandım.

Benim doğal hissim, konuyu iyi niyet ruhu içinde onlara bildirmektir. Avantaj elde etmek için konuyu kullanmak fikrimi aştı, ama o yola gitmek istemiyorum.

Öyleyse sorum şu, onlara yardımcı olmak için doğrudan rekabetinize ciddi bir kırılganlık bildirir misiniz? Yoksa ağzını kapalı mı tutarsın? Bu sorunu çözmenin daha iyi bir yolu var mı, belki de sorunu bildirerek onlara yardım ettiğimden en azından bir avantaj elde etmek için?

Güncelleme (Açıklama) :

Şimdiye kadar yaptığınız tüm geri bildirimleriniz için teşekkür ederiz. Söz konusu rekabetin piyasada bir behem olduğu (birkaç kıtada yüzlerce çalışan) olduğunu ve benim şirketim sadece birkaç hafta önce (üç çalışan) başlayan bir cevap olduğunu eklesem cevaplarınız değişir mi? Söylemeye gerek yok, kesinlikle bizi hatırlamayacaklar, ve eğer bir şey varsa, sadece sitelerinin çalışmaya ihtiyaç duyduğunu anlarlar (bu yüzden bu pazara ilk girdiğimizde budur).

Bu, ahlaki ve ticari atılımlardan biri olabilir, ancak tüm tavsiyeleri takdir ediyorum.

Her ne kadar onları haberdar etmeleri için bir not bırakmanın tamamen güvenli olacağı bir dünyada yaşamayı sevsem de, önce hukuk departmanınızı dahil etmeyi öneririm. Gerçekçi olarak, hata raporunuzun iyi niyetli olmasına rağmen, rakip organizasyondaki birisinin "rakibimiz sitemizi kırmak için çalışanlarından birine ödediği" şeklinde yorumlanması tamamen olasıdır. Bu algı hem sizin hem de şirketiniz için yasal veya halkla ilişkiler sorunlarına yol açabilir. Hukuk departmanınızı bildirime dahil etmek, herkesi uygunsuzluktan korumanıza yardımcı olacaktır. Elbette, bu, yasal departmanın, yarışmacıyı bilgilendirmenin kabul edilemez bir yasal risk oluşturduğu sonucuna vardığını ve yalnızca bilgiye oturmanızı söyleyebileceği ihtimalini yaratır. Ama bu'

Bu kulağa korkunç gelecek (en azından buradaki cevapların çoğu ile karşılaştırıldığında) ama işte benim 2 kuruş:

Neden bu konuda bir şey yapmalısın?

Öncelikle, ilk olarak, zaten bu tür bir işi yapması gereken çalışanlar var (problemleri bulma ve tamir etme).

İkincisi, sorunuzu şekillendirme şekliniz, sanki ahlaki bir ikilem gibi görünüyor. Değil. En başta bu soruna neden olacak hiçbir şey yapmadınız.

Üçüncüsü, onlara karşı yarışıyorsun. ** SİZİN ürününüzü en iyisi, onlarınki olanı yapmaya odaklanmalısınız.

Hala şüpheniz varsa, 2 numaralı noktama geri dönün ve tekrar okuyun.

Güvenlik açıklarını araştırmakla endüstriyel casusluk arasında ince bir çizgi var ve işvereninize bağlı olduğunuzdan, rakip bunu ikinci kez düşünebilir.

Eğer rapor edersen ve bir yasal / PR kabusu varsa, günah keçisi olacaksın.

Hukuk departmanınızla konuşun ve uygun gördükleri gibi kullanmalarına izin verin - mühendislerden daha fazla kazanmalarının bir nedeni var.

AFAICS’in önermediği alternatif bir mekanizma, kendi şirketiniz için hiçbir risk almadan rakiplerinize bilgi edinme konusunda, çeşitli güvenlik açığı raporlama şirketlerinden birinin bu güvenlik açığı hakkında bilgi sahibi olmasını sağlamak ve bunları rakibinize bildirmelerini istemektir. Onlar (güvenlik açığı raporlama şirketi), adınızı raporun dışında tutar - rakiplerinizin adını anonim olursunuz. Bu tür şirketlerden biri Zero Day Initiative , ZDI - diğerleri var.

Elbette anonim olarak medyaya sızdırın ve ardından rakip müşterilere hızlı bir geçiş yapın. Bu düşük bir darbe gibi görünebilir, ancak bunu düşünün, ne yaptığınız hakkında yasadışı veya etik olmayan bir şey yok, SW'in köpeğin köpek dünyasını yediğini ve David'in Goliath'a karşı giderken tüm kaldıraçlara ihtiyaç duyacağınızı düşünün. Unutma, kişisel değil, kesinlikle iş . Aynı şeyi size bir kalp atışı içinde yaparlardı.

(FWIW Bu cevabın aşağı oy verilmesini bekliyorum, ama sorun değil, çünkü söylediğim şey sert olsa da gerçek.)

Yazılımınızda bir güvenlik açığı bulduklarında ne yapmalarını istersiniz? İstediğiniz ilk soru bu olmalı. Cevap "Bana söylerlerse gerçekten minnettar olurum" ise, o zaman cevabınız sizde!

Onların dev bir şirket ya da üç kişilik bir dükkan olması önemli değil ve üç kişilik bir dükkan ya da dev bir şirket olmanız önemli değil. Söylendiği gibi, ününüz her şeydir, özellikle de yazılım olarak bilinen bu küçük toplulukta.

Sistemleri ve kendi sistemleriniz arasında veri içe / dışa aktarıyorsanız, güvenlik açıkları kolayca sizin güvenlik açığınız olabilir.

Poponuzu teknolojik ve yasal olarak örtmek isteyeceksiniz. Sabitlendiğinden emin olun, ancak hukuk departmanınızın bunları bildirmekte bir elinin olduğundan emin olun.

Açıkçası, onlara haber ver.

"Kalbinizin iyiliği dışında" yeterince iyi bir neden değilse, bu özelliği kendi müşterileriniz için bir fayda olarak uyguladığınızı düşünün. Bu hatayı rapor ederek verilerini dolaylı olarak koruyorsunuz.

Sadece bir onurlu seçenek var. Anlat onlara.

Şahsen onlara söylerdim.

Diğer insanlar olası PR / Yasal konularına dikkat çekti ve eğer bir katman veya PR ajanıyla konuştuktan sonra bunu bildirmemeniz tavsiye edilirse, BT’yi RAPOR EDEBİLİRİZ, ancak isimsiz olarak.

Verilerinizi korumanıza yardımcı olarak potansiyel müşterilerinize bir iyilik yapıyor.

Prensip olarak, burada en çok ne söylediğine tamamen katılıyorum: Çık ve rapor et. Denizde olduğu gibi profesyonel bir şeref kodu var: Bir geminin başı derde girerse, kime ait olursa olsun yardım edersiniz.

Bununla birlikte, güncellemenizi okumak, muhtemelen iyi niyetli eylemlerin yanlış bir şekilde gerçekleştirilme riski (@Uri'nin dediği gibi endüstriyel casusluk) ve bunun için çok daha tehlikeli olan düşmanlıklara yol açması riski nedeniyle onlara söylememe karar verirdim. üç kişilik mağazanız, onlara göre daha fazla olacak.

Belki isimsiz bir not bırakabilirim; belki de hiçbir şey yapma. Eğer David'sin, Goliath'a sırtında oturan bir arı olduğunu söylemen gerekmez.

Doğa, sert yanlarına rağmen, kendine özgü durumlara sahiptir. Ve iki kere düşünmeden onları etkiliyor.

Köpek köpek yemez. Aksine, sıkılmış insanlar yasadışı köpek dövüşleri için para ödüyorlar. Ve avukatlar parayı toplar. Patronundan dahil olmak üzere. Şimdi istediğinden daha fazla. Göz açıp kapayıncaya kadar işletmeleri mutlu bir şekilde boşaltabilirler.

Ayrıca çok mümkün, "rakip" birileri zaten biliyor. Haberleri getirmek, basit bir mesajlaşma aracı olmaktan daha fazla sorumluluk anlamına gelebilir. Bu duvarlarla konuşmaktan daha mı iyi?

Güvenlik işi: Büyük delikli birçok sunucu çevrimiçi durumda. bu sunucu başka bir sunucu. Bazıları için tam zamanlı iş. Kendi deliklerini kontrol ettin mi? hepsi ?

Adımına dikkat et.

Müşteri verileri önemli saplantıdır.

Anlat onlara. O zaman özgeçmişini gönder. İşe alıyor olabilirler. :)

Anlat onlara! İse yapılacak doğru şey. Ayrıca, yerinde olsaydın ne yapmasını isterdin?

Bundan çıkacak iyi niyete değer veremezsin.