Cosa fare se trovi una vulnerabilità nel sito di un concorrente?

37

Mentre lavoravo a un progetto per la mia azienda, avevo bisogno di creare funzionalità che consentissero agli utenti di importare / esportare dati dal / al sito della concorrenza. Mentre lo facevo, ho scoperto un serio exploit di sicurezza che poteva, in breve, eseguire qualsiasi script sul sito web della concorrenza.

Il mio sentimento naturale è di riferire il problema a loro nello spirito di buona volontà. Sfruttare la questione per trarre vantaggio ha attraversato la mia mente, ma non voglio seguire questa strada.

Quindi la mia domanda è, potresti segnalare una grave vulnerabilità alla concorrenza diretta, al fine di aiutarli? O tieni la bocca chiusa? C'è un modo migliore per farlo, forse per ottenere almeno qualche vantaggio dal fatto che li sto aiutando segnalando il problema?

Aggiornamento (chiarimento) :

Grazie per tutto il tuo feedback finora, lo apprezzo. Le vostre risposte cambierebbero se aggiungessi che il concorso in questione è un colosso sul mercato (centinaia di dipendenti in diversi continenti) e che la mia azienda è iniziata solo poche settimane fa (tre dipendenti)? Inutile dire che sicuramente non si ricorderanno di noi e, semmai, capiranno solo che il loro sito ha bisogno di lavoro (ecco perché siamo entrati in questo mercato in primo luogo).

Potrebbe trattarsi di uno di quei rigurgiti morali o aziendali, ma apprezzo tutti i consigli.

    
posta user17610 20.02.2011 - 22:09
fonte

14 risposte

63

Anche se mi piacerebbe vivere in un mondo in cui sarebbe perfettamente sicuro di lasciare loro una nota per farglielo sapere, suggerirei di coinvolgere prima il tuo dipartimento legale. Realisticamente, è del tutto possibile che per quanto sia ben intenzionata la segnalazione di bug, qualcuno dell'organizzazione del concorrente lo interpreterà come "il nostro concorrente ha appena pagato uno dei suoi dipendenti per hackerare il nostro sito". Questa percezione potrebbe creare problemi legali o di pubbliche relazioni sia per te che per la tua azienda. Coinvolgere il vostro ufficio legale nella notifica dovrebbe contribuire a proteggere tutti dall'apparenza di scorrettezza. Naturalmente, ciò crea la possibilità che il dipartimento legale concluda che notificare il concorrente crea un rischio legale inaccettabile e ti dice solo di sederti sulle informazioni. Ma è molto meglio dell'alternativa che ti scoppia in faccia.

    
risposta data 08.10.2013 - 15:19
fonte
30

Questo sembrerà terribile (almeno rispetto alla maggior parte delle risposte qui) ma, ecco i miei 2 centesimi:

Perché dovresti fare qualcosa al riguardo?

Per prima cosa, hanno già impiegati che dovrebbero svolgere questo tipo di lavoro (trovando problemi e risolvendoli).

In secondo luogo, il modo in cui hai formato la tua domanda fa sembrare che si tratti di una sorta di dilemma morale. Non lo è. In primo luogo, non hai fatto nulla per causare quel problema.

In terzo luogo, stai gareggiando contro di loro. Dovresti concentrarti sul rendere ** il TUO prodotto il meglio che c'è, non il loro.

Se hai ancora dei dubbi, torna al mio punto n. 2 e rileggilo.

    
risposta data 17.02.2011 - 23:24
fonte
22

C'è una linea sottile tra l'esplorazione delle vulnerabilità e lo spionaggio industriale, e dal momento che sei affiliato con il tuo datore di lavoro, il concorrente può considerarlo quest'ultimo.

Se lo denuncia e c'è un incubo legale / PR, sarai il capro espiatorio.

Parla con il tuo dipartimento legale e lascia che lo gestiscano come ritengono opportuno: c'è un motivo per cui fanno molto più degli ingegneri.

    
risposta data 17.02.2011 - 22:58
fonte
20

Un meccanismo alternativo, non ancora suggerito AFAICS, di fornire le informazioni al tuo concorrente senza alcun rischio per la tua azienda è di consentire a una delle varie società di reporting di vulnerabilità di conoscere la vulnerabilità e chiedere loro di segnalarlo al tuo concorrente . Loro (la società di reporting delle vulnerabilità) manterrebbero il tuo nome fuori dal rapporto - saresti anonimo al tuo concorrente. Una di queste società è Zero Day Initiative , ZDI - ce ne sono molte altre.

    
risposta data 18.02.2011 - 05:58
fonte
11

Sfidalo ai media, ovviamente in modo anonimo, e quindi offri una rapida migrazione ai clienti del concorrente. Questo potrebbe sembrare un colpo basso, ma considera questo, non c'è nulla di illegale o non etico su ciò che stai facendo, inoltre consideri che è un mondo di cani mangia cani in SW e come David andando contro Golia avrai bisogno di tutta la leva. Ricorda, non è personale, è strettamente commerciale . Farebbero lo stesso con te in un batter d'occhio.

(FWIW Mi aspetto che questa risposta sia sottovalutata, ma va bene perché quello che sto dicendo è la verità anche se dura.)

    
risposta data 18.02.2011 - 05:26
fonte
8

Cosa vorresti che facessero se trovassero una vulnerabilità di sicurezza nel tuo software? Questa dovrebbe essere la prima domanda che chiedi. Se la risposta è "lo apprezzerei molto se me lo dicessero", beh, allora hai la tua risposta!

Non importa che siano un'azienda gigantesca o un negozio di tre persone, e non importa che tu sia un negozio di tre persone o una grande azienda. Come è stato detto, la tua reputazione è tutto, specialmente in questa piccola comunità nota come software.

    
risposta data 17.02.2011 - 23:03
fonte
8

Se stai importando / esportando dati tra i loro sistemi e il tuo, la loro vulnerabilità alla sicurezza potrebbe facilmente diventare la tua vulnerabilità della sicurezza.

Avrai voglia di coprire il sedere tecnologicamente e legalmente. Assicurati che venga risolto, ma assicurati che il tuo dipartimento legale abbia una mano a comunicarlo.

    
risposta data 17.02.2011 - 23:11
fonte
5

Ovviamente, faccelo sapere.

Se "fuori dalla bontà del tuo cuore" non è una buona ragione, considera che stai implementando questa funzionalità come un vantaggio per i tuoi clienti. Stai proteggendo indirettamente i loro dati segnalando questo bug.

    
risposta data 17.02.2011 - 22:55
fonte
2

C'è solo una scelta onorevole. Diglielo.

    
risposta data 17.02.2011 - 22:53
fonte
0

Personalmente vorrei dirglielo.

Altre persone hanno indicato le possibili questioni PR / Legali, e se dopo aver parlato con un agente di livello o PR è consigliato di non segnalarlo, ANCORA ANCORA REPORTARLO, ma in modo anonimo.

Aiuta i tuoi potenziali clienti a favorire la protezione dei dati.

    
risposta data 17.02.2011 - 23:28
fonte
0

In linea di principio, sono completamente d'accordo con ciò che più qui dice: intensificalo e riferiscilo. C'è un codice d'onore professionale come in mare: se una nave è nei guai, tu aiuti, non importa a chi appartiene.

Leggendo il tuo aggiornamento, tuttavia, probabilmente deciderò di non dirlo a causa del rischio che l'azione ben intenzionata possa essere presa nel modo sbagliato (come dice lo spionaggio industriale di @Uri), e portare ad ostilità che sono molto più pericoloso per il tuo negozio di tre persone di quanto non sarà mai per loro.

Forse lasciare una nota anonima; forse non fare nulla. Se sei David, non devi dire a Golia che ha un'ape seduta sulle sue spalle.

    
risposta data 17.02.2011 - 23:28
fonte
-1

La natura, nonostante i suoi lati duri, ha le sue occasioni gentili. E li esegue senza pensarci due volte.

Il cane non mangia cane. Piuttosto, la gente annoiata paga per lotte di cani illegali. E gli avvocati raccolgono i soldi. Compreso dal tuo capo. Più di quello che vuoi ora. Possono alleviare felicemente le startup senza battere ciglio.

Anche molto possibile, qualcuno di "concorrente" lo sa già. Portare le notizie può significare più responsabilità che essere un semplice messaggero di passaggio. È meglio che parlare ai muri?

Affari sulla sicurezza: un sacco di server con grandi buche sono online. questo server è un altro. Lavoro a tempo pieno per alcuni. Hai controllato i tuoi buchi? tutti loro?

Guarda il tuo passaggio.

I dati dei clienti sono l'ossessione importante.

    
risposta data 18.02.2011 - 16:24
fonte
-1

Diglielo. Quindi invia il tuo curriculum. Potrebbero essere assoldati. :)

    
risposta data 01.03.2012 - 22:19
fonte
-1

Diglielo! è la cosa giusta da fare. Inoltre, cosa vorrebbero che facessero se fossi al loro posto?

Non puoi dare un valore alla buona volontà che potrebbe uscire da questo.

    
risposta data 01.03.2012 - 22:19
fonte

Leggi altre domande sui tag