Bir rakibin sitesinde bir güvenlik açığı bulursanız ne yapmalısınız?


37

Şirketim için bir proje üzerinde çalışırken, kullanıcıların rakiplerimizin sitelerine / ürünlerinden veri almalarını / vermelerini sağlayan işlevler geliştirmem gerekiyordu. Bunu yaparken, yarışmacının web sitesinde herhangi bir senaryoyu kısa sürede gerçekleştirebilecek çok ciddi bir güvenlik açığından yararlandım.

Benim doğal hissim, konuyu iyi niyet ruhu içinde onlara bildirmektir. Avantaj elde etmek için konuyu kullanmak fikrimi aştı, ama o yola gitmek istemiyorum.

Öyleyse sorum şu, onlara yardımcı olmak için doğrudan rekabetinize ciddi bir kırılganlık bildirir misiniz? Yoksa ağzını kapalı mı tutarsın? Bu sorunu çözmenin daha iyi bir yolu var mı, belki de sorunu bildirerek onlara yardım ettiğimden en azından bir avantaj elde etmek için?

Güncelleme (Açıklama) :

Şimdiye kadar yaptığınız tüm geri bildirimleriniz için teşekkür ederiz. Söz konusu rekabetin piyasada bir behem olduğu (birkaç kıtada yüzlerce çalışan) olduğunu ve benim şirketim sadece birkaç hafta önce (üç çalışan) başlayan bir cevap olduğunu eklesem cevaplarınız değişir mi? Söylemeye gerek yok, kesinlikle bizi hatırlamayacaklar, ve eğer bir şey varsa, sadece sitelerinin çalışmaya ihtiyaç duyduğunu anlarlar (bu yüzden bu pazara ilk girdiğimizde budur).

Bu, ahlaki ve ticari atılımlardan biri olabilir, ancak tüm tavsiyeleri takdir ediyorum.


4
Ahlaki veya ahlaki olmanıza bağlı olarak değişir.
dietbuddha

5
Tek kullanımlık bir e-posta adresinden bir proxy'nin arkasından mevcut işyerinizle hiçbir bağlantısı olmayan anonim olarak bildirin.
Meslek

14
Şirketin büyüklüğü etik davranışı neyin oluşturduğu konusunda neden bir etkiye sahip?
JohnFx

6
Pepsi'ye koladan bazı sırlar satmaya çalışan bir adam hakkında küçük bir fıkra var ... Pepsi polisleri çağırdı. Rekabet ne kadar yoğun olursa olsun, rekabet her zaman adil ve etik iş uygulamalarına dayanmalıdır. Sizler daha iyiyseniz, ne kadar büyük veya sağlam olduklarından bağımsız olarak onları yeneceksiniz. Gece boyunca olmayabilir, ancak tarayıcı savaşlarına bakın. Yavaş ama kesinlikle alternatifler IE önceden yüklenmiş olsa bile IE'den pay alıyor!
Chris Thompson

@JohnFx +1: soru üzerine nokta efendim! Durumun tersine çevrildiyse aynı argümanı bile kullanabilirdik: "benim şirketim köklü ve saygın bir topluluktur ve onlarınki er ya da geç başarısız olacak olan sadece küçük bir şirkettir." Şirketlerin göreceli büyüklüğü ne olursa olsun, etik aynıdır.
bedwyr

Yanıtlar:


63

Her ne kadar onları haberdar etmeleri için bir not bırakmanın tamamen güvenli olacağı bir dünyada yaşamayı sevsem de, önce hukuk departmanınızı dahil etmeyi öneririm. Gerçekçi olarak, hata raporunuzun iyi niyetli olmasına rağmen, rakip organizasyondaki birisinin "rakibimiz sitemizi kırmak için çalışanlarından birine ödediği" şeklinde yorumlanması tamamen olasıdır. Bu algı hem sizin hem de şirketiniz için yasal veya halkla ilişkiler sorunlarına yol açabilir. Hukuk departmanınızı bildirime dahil etmek, herkesi uygunsuzluktan korumanıza yardımcı olacaktır. Elbette, bu, yasal departmanın, yarışmacıyı bilgilendirmenin kabul edilemez bir yasal risk oluşturduğu sonucuna vardığını ve yalnızca bilgiye oturmanızı söyleyebileceği ihtimalini yaratır. Ama bu'


Her şeye rağmen, onunla devam edeceğini söylerler - ancak sizi veya şirketinizi istenmeyen yasal backdraft'a maruz bırakmadan, bunun için en iyi yaklaşımı bileceklerdir.
HorusKol

Hukuk departmanı hayır diyorsa, isimsiz e-posta fikrine giderim. Ve eğer evet derlerse, adının orada bir yerde olduğundan emin ol!
Benjol

17
Tabii ki, üç bir şirkette bir "hukuk departmanı" bulmak oldukça zor olacak, hayal ediyorum :)
Benjol

@Benjol Doğru, ancak bu durumlarda kesinlikle yasal tavsiyeye ihtiyacınız var. Sizi muhtemelen sitelerini hacklemekle suçlayamasalar bile, mektubunuzun tehdit oluşturduğunu iddia edebilirler ve siz onları şantaj yapmaya çalıştınız.
biziclop

9
Bu cevabı kabul etmek beni üzüyor. Bir kod hata raporu için avukatlara ihtiyaç duyulması toplum için üzücü bir yorumdur.
jdl

30

Bu kulağa korkunç gelecek (en azından buradaki cevapların çoğu ile karşılaştırıldığında) ama işte benim 2 kuruş:

Neden bu konuda bir şey yapmalısın?

Öncelikle, ilk olarak, zaten bu tür bir işi yapması gereken çalışanlar var (problemleri bulma ve tamir etme).

İkincisi, sorunuzu şekillendirme şekliniz, sanki ahlaki bir ikilem gibi görünüyor. Değil. En başta bu soruna neden olacak hiçbir şey yapmadınız.

Üçüncüsü, onlara karşı yarışıyorsun. ** SİZİN ürününüzü en iyisi, onlarınki olanı yapmaya odaklanmalısınız.

Hala şüpheniz varsa, 2 numaralı noktama geri dönün ve tekrar okuyun.


9
Gerçekçi olmak için +1. Yasadışı bir şey yapma, elbette. Ahlaksız? İş dünyasında ahlaki ya da ahlaksızlık yoktur. Şirketin ahlak kavramı diye bir şeyi yoktur.
Davor Ždralo

3
@HorusKol - +1 şirket için maaş ve ücret ödemeyecek. Ancak, rakiplerinizden daha iyi bir ürün sunmak olabilir.
Jas,

4
-1. Bu düşünce türü Commons Trajedisine klasik bir örnektir. Güvenlik delikleri herkesin sorunu.
Mason Wheeler

6
@Mason Wheeler: Müştereklerin trajedisi, kendi kişisel çıkarlarına bağımsız ve rasyonel davranan çoklu kişilerin, hiç kimsede olmadığı açıkça anlaşılıyor olsa bile, sonuçta paylaşılan sınırlı bir kaynağı tüketme durumundan kaynaklanan bir ikilemdir. bunun gerçekleşmesi için uzun vadeli bir ilgi. Bunun burada nasıl uygulanabilir olduğunu anlamıyorum.
user17610

3
Açıkçası, rakiplerinize güvenlik hatalarını anlatmamanızı önerdiğiniz için şok oldum. Neden bir basın bildirisi veya promosyon e-postası şeklinde bir hata raporu sunmuyorsunuz. Böyle bir hata raporu, ürününüzde bahsedilen hatanın bulunmadığına ve kullanıcılar için olası sonuçlara dikkat etmelidir.
emory

22

Güvenlik açıklarını araştırmakla endüstriyel casusluk arasında ince bir çizgi var ve işvereninize bağlı olduğunuzdan, rakip bunu ikinci kez düşünebilir.

Eğer rapor edersen ve bir yasal / PR kabusu varsa, günah keçisi olacaksın.

Hukuk departmanınızla konuşun ve uygun gördükleri gibi kullanmalarına izin verin - mühendislerden daha fazla kazanmalarının bir nedeni var.


20

AFAICS’in önermediği alternatif bir mekanizma, kendi şirketiniz için hiçbir risk almadan rakiplerinize bilgi edinme konusunda, çeşitli güvenlik açığı raporlama şirketlerinden birinin bu güvenlik açığı hakkında bilgi sahibi olmasını sağlamak ve bunları rakibinize bildirmelerini istemektir. Onlar (güvenlik açığı raporlama şirketi), adınızı raporun dışında tutar - rakiplerinizin adını anonim olursunuz. Bu tür şirketlerden biri Zero Day Initiative , ZDI - diğerleri var.


11

Elbette anonim olarak medyaya sızdırın ve ardından rakip müşterilere hızlı bir geçiş yapın. Bu düşük bir darbe gibi görünebilir, ancak bunu düşünün, ne yaptığınız hakkında yasadışı veya etik olmayan bir şey yok, SW'in köpeğin köpek dünyasını yediğini ve David'in Goliath'a karşı giderken tüm kaldıraçlara ihtiyaç duyacağınızı düşünün. Unutma, kişisel değil, kesinlikle iş . Aynı şeyi size bir kalp atışı içinde yaparlardı.

(FWIW Bu cevabın aşağı oy verilmesini bekliyorum, ama sorun değil, çünkü söylediğim şey sert olsa da gerçek.)


Bana çok yakışmış: aynı zamanda onları bilgilendirir ve kar edersiniz. Ancak, işaretlenmeleri ve sitenizdeki güvenlik açıkları için balık tutmaya başlama şansı var.
apoorv020

@apoorv Sadece Goliath'ı endişelendirecek kadar büyüdüğün anlamına gelecektir :-).
Gaurav

Neden "sızıntı" ve "isimsiz" kelimelerini kullandığımı anlamıyorum. OP yanlış ya da ahlaksız bir şey yapmadı
emory

@ apporv020 u, onların (ve diğerlerinin bir demetinin) sürekli site 4 güvenlik açığı oluşturduğunu varsaymalıdır.
emory

Pazarınızdaki bir "behemoth" şirketi olduğundan, göz önünde bulundurulması gereken bir husus, güvenlik açığı medyada geniş bir şekilde bildirilirse pazar müşterilerinin nasıl tepki vereceğidir. "Verilerime << behemoth şirketi >> ile güvenemezsem >> bunu kesinlikle yapmalı mıyım?" Diye cevap verirler mi? Bunun cevabı, güvenlik açığı raporunuzun ne kadar genel olmasını istediğinizi belirlemenize yardımcı olabilir. Eylemleriniz, pazarın bir bütün olarak algılanmasını etkileyebilir.
Zusukar

8

Yazılımınızda bir güvenlik açığı bulduklarında ne yapmalarını istersiniz? İstediğiniz ilk soru bu olmalı. Cevap "Bana söylerlerse gerçekten minnettar olurum" ise, o zaman cevabınız sizde!

Onların dev bir şirket ya da üç kişilik bir dükkan olması önemli değil ve üç kişilik bir dükkan ya da dev bir şirket olmanız önemli değil. Söylendiği gibi, ününüz her şeydir, özellikle de yazılım olarak bilinen bu küçük toplulukta.


3
Rekabetin normal bir iş stratejisi istediğinin tam tersini yapmıyor mu?
user17610

@ user17610 - Sanırım bu duruma bağlı ... bir battaniye ifadesi yapamıyor ve tüm kararlarını bu şekilde veremiyorsun. Eğer rekabetiniz tekne dolusu para kazanmak istiyorsa tam tersini yapacak mısınız?
Jesse McCulloch

Hayır, o zaman
tekne dolusu

2
+1, "yazılımınızdaki güvenlik açığını bulduklarında ne yapmalarını istersiniz?"
Craige

-1: Bana söylemelerini isterim, çünkü daha sonra onları endüstriyel casuslukla suçlamak pazar paylarını aşındıracak! Asla rakibinizde iyi niyet olduğunu varsaymayın ...
recursion.ninja

8

Sistemleri ve kendi sistemleriniz arasında veri içe / dışa aktarıyorsanız, güvenlik açıkları kolayca sizin güvenlik açığınız olabilir.

Poponuzu teknolojik ve yasal olarak örtmek isteyeceksiniz. Sabitlendiğinden emin olun, ancak hukuk departmanınızın bunları bildirmekte bir elinin olduğundan emin olun.


5

Açıkçası, onlara haber ver.

"Kalbinizin iyiliği dışında" yeterince iyi bir neden değilse, bu özelliği kendi müşterileriniz için bir fayda olarak uyguladığınızı düşünün. Bu hatayı rapor ederek verilerini dolaylı olarak koruyorsunuz.



0

Şahsen onlara söylerdim.

Diğer insanlar olası PR / Yasal konularına dikkat çekti ve eğer bir katman veya PR ajanıyla konuştuktan sonra bunu bildirmemeniz tavsiye edilirse, BT’yi RAPOR EDEBİLİRİZ, ancak isimsiz olarak.

Verilerinizi korumanıza yardımcı olarak potansiyel müşterilerinize bir iyilik yapıyor.


Yup: seclists.org/fulldisclosure'e isimsiz bir e-posta gönderin , o o ...;)
Henrik

@Downvoter, neden olarak herhangi bir yorumunuz var mı?
Dominique McDonnell

0

Prensip olarak, burada en çok ne söylediğine tamamen katılıyorum: Çık ve rapor et. Denizde olduğu gibi profesyonel bir şeref kodu var: Bir geminin başı derde girerse, kime ait olursa olsun yardım edersiniz.

Bununla birlikte, güncellemenizi okumak, muhtemelen iyi niyetli eylemlerin yanlış bir şekilde gerçekleştirilme riski (@Uri'nin dediği gibi endüstriyel casusluk) ve bunun için çok daha tehlikeli olan düşmanlıklara yol açması riski nedeniyle onlara söylememe karar verirdim. üç kişilik mağazanız, onlara göre daha fazla olacak.

Belki isimsiz bir not bırakabilirim; belki de hiçbir şey yapma. Eğer David'sin, Goliath'a sırtında oturan bir arı olduğunu söylemen gerekmez.


-1

Doğa, sert yanlarına rağmen, kendine özgü durumlara sahiptir. Ve iki kere düşünmeden onları etkiliyor.

Köpek köpek yemez. Aksine, sıkılmış insanlar yasadışı köpek dövüşleri için para ödüyorlar. Ve avukatlar parayı toplar. Patronundan dahil olmak üzere. Şimdi istediğinden daha fazla. Göz açıp kapayıncaya kadar işletmeleri mutlu bir şekilde boşaltabilirler.

Ayrıca çok mümkün, "rakip" birileri zaten biliyor. Haberleri getirmek, basit bir mesajlaşma aracı olmaktan daha fazla sorumluluk anlamına gelebilir. Bu duvarlarla konuşmaktan daha mı iyi?

Güvenlik işi: Büyük delikli birçok sunucu çevrimiçi durumda. bu sunucu başka bir sunucu. Bazıları için tam zamanlı iş. Kendi deliklerini kontrol ettin mi? hepsi ?

Adımına dikkat et.

Müşteri verileri önemli saplantıdır.


2
Tamam, bu yazıyı iki kez okudum - ve hala tartışmanın hangi tarafını desteklediğinden emin değilim ... :)
Cyclops

-1

Anlat onlara. O zaman özgeçmişini gönder. İşe alıyor olabilirler. :)


18
15 dakikalık denetimin ciddi bir güvenlik açığı
bulmasına

@ user17610: Tamam, düzeltilmiş bir değişken: onlara söyleyin ve düzeltip düzeltmeyeceklerini görün. Makul sürede düzeltmezlerse özgeçmişinizi onlara göndermeyin.
sharptooth

-1

Anlat onlara! İse yapılacak doğru şey. Ayrıca, yerinde olsaydın ne yapmasını isterdin?

Bundan çıkacak iyi niyete değer veremezsin.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.