casi in cui le aziende hanno subito perdite a causa di perdite di codice sorgente?

Naviga le tue risposte
5

Il danno associato a violazioni dei dati a quanto pare ha causato Equifax a perde $ 4 miliardi di valore e Facebook da perdere $ 50 miliardi , e anche se non ogni dollaro di quelle perdite era dovuto alle violazioni, era molto.

Per contro, ci sono stati casi in cui le aziende sono state seriamente ferite o hanno perso valore di mercato perché il loro codice sorgente è stato compromesso? Ho sentito parlare del codice sorgente di Windows che si è diffuso la scorsa estate, ma non riguarda il prezzo delle azioni di Microsoft o addirittura danneggiare la società.

Forse la ragione è che anche se un estraneo rubasse l'intero codice sorgente, non sarebbe ancora in grado di venderlo legalmente, quindi non rappresenterebbe una minaccia competitiva per l'azienda. Forse un ladro potrebbe usare il codice sorgente per determinare come un concorrente sta facendo qualcosa, ma questo aiuta solo il ladro a creare un prodotto che faccia la stessa cosa, allo stesso livello di qualità; questo non ruberà la quota di mercato da un incumbent trincerato. C'è il rischio che gli hacker trovino dei buchi di sicurezza nel codice sorgente, ma probabilmente stavano già cercando buchi di sicurezza attraverso il reverse engineering.

Indipendentemente dalla speculazione sui motivi, sto solo chiedendo: sono le aziende sono state ferite da una violazione del codice sorgente del loro prodotto? Quanto?

    
posta Bennett 07.09.2018 - 08:34
fonte

3 risposte

3

Posso pensare a numerosi casi per molti anni, specialmente in caso di start-up. Il theft of IP (proprietà intellettuale) consente ad altre aziende di arrivare sul mercato per prime. Non si sente parlare di questi casi perché le società sono così piccole, ma il danno è totale: le aziende si spengono prima che inizino davvero.

Lo stesso vale per i circoli di ricerca quando un accademico vuole portare la ricerca nel mercato commerciale. Ci può essere una grande concorrenza e lo spionaggio aziendale è molto reale.

E il codice sorgente non deve essere usato esattamente come è stato rubato. È possibile utilizzare parti del codice o il codice analizzato per creare qualcosa di meglio.

Devi anche definire "danno". La perdita del prezzo delle azioni è solo una forma di danno. La perdita di vendite è un'altra. La pirateria del software è un'altra forma di danno (vendite), a seconda di come la definisci (sì, sono consapevole che si tratta di un problema complesso).

Se ci pensate in un altro modo, ogni singolo (valido) caso di brevetto software è una forma di furto di IP che ha provocato danni, che ha portato a una causa per recuperare le perdite.

Esempi di "perdite di codice sorgente" nel solo settore InfoSec:

perdita del codice sorgente del token RSA SecurID : RSA doveva sostituire tutti i token fisici di tutti gli utenti. Quindi, c'è un costo diretto. Nella comunità in cui mi trovavo in quel momento, tutti abbiamo iniziato a considerare seriamente i token software come risultato di questo evento (Google Authenticator è stato rilasciato l'anno prima). Quel colpo finanziario sarebbe difficile da quantificare.

RSA è una LLC, e non una società pubblica, quindi non esiste un prezzo azionario da monitorare.

Perdita del codice sorgente di Symantec : Mentre il prezzo delle azioni non ha avuto successo, ha scosso la fiducia nel motore di rilevamento in quanto gli hacker potevano progettare un malware che potesse eludere questo specifico motore di rilevamento. Ciò ha causato una riscrittura del loro codice, quindi c'è un costo diretto.

Ci sono molti e molti esempi se sai cosa stai cercando. Incluso Wiki .

    
risposta data 07.09.2018 - 15:31
fonte
0

Possibly a thief could use the source code to determine how a competitor is doing something, but that just helps the thief make a product that does the same thing, at the same level of quality; that's not going to steal market share from an entrenched incumbent.

Al contrario!

Sono sempre divertito quando qualche segretaria intraprendente ruba la formula di Coca-Cola o Pepsi e cerca di venderla alla competizione. Perché la Pepsi sarebbe interessata a produrre Coca-Cola? Il loro intero marchio è Pepsi!

La cosa più intelligente da fare sarebbe prendere la ricetta e andare da un chimico / imbottigliatore, produrre il proprio sciroppo e diventare un distributore che vende la stessa cosa della stessa qualità ad un prezzo inferiore rispetto al trincerato incumbent. "Bleeding the beast" è ciò che viene chiamato. Mentre sarebbe vantaggioso che Pepsi facesse qualcosa di simile a insidiare la Coca-Cola, essendo entrambe società nazionali, nessun CEO sano di mente si sarebbe implicato in un simile schema.

Il mio attuale datore di lavoro deve affrontare questo mal di testa. Abbiamo speso milioni di dollari in R & D e alla fine abbiamo collaborato con una società estera per svolgere alcuni lavori di ingegneria. Hanno rubato i nostri disegni, prodotto il prodotto da soli e ci hanno battuto sul mercato. Ora dobbiamo competere con una versione inferiore di il nostro prodotto.

Quel che è peggio, possono permetterci di indebolirci sul prezzo dato che non hanno costi di R & D da recuperare. Quanto abbiamo speso per lo sviluppo iniziale, stanno spendendo per migliorare le funzionalità.

Quindi, non essere così veloce nell'assumere che vendere la stessa cosa dell'operatore storico non valga in qualche modo lo sforzo. Se la stai vendendo, questo è il ricavo che il incumbent non sta ottenendo, e non hai dovuto fare nessuno dei lavori effettivi necessari per arrivare a quel punto.

    
risposta data 07.09.2018 - 21:11
fonte
-1

Non sono a conoscenza di un caso del genere e sono d'accordo con il tuo pregiudizio nascosto nella tua domanda: non riesco a pensare in che modo il codice sorgente rubato possa danneggiare seriamente un'azienda. Nota che il codice sorgente trapelato è molto diverso dai dati trapelati o dall'essere hackerati altrimenti.

In effetti, diventa sempre più popolare pubblicare apertamente il codice sorgente, anche per prodotti che non sono sotto licenza FOSS.

    
risposta data 07.09.2018 - 14:43
fonte

Leggi altre domande sui tag

Quanta protezione offre Kill-Bit per i controlli ActiveX? Perché i collegamenti simbolici interrotti rappresentano una minaccia per la sicurezza?