Cosa fare se trovi una vulnerabilità nel sito di un concorrente?

Anche se mi piacerebbe vivere in un mondo in cui sarebbe perfettamente sicuro di lasciare loro una nota per farglielo sapere, suggerirei di coinvolgere prima il tuo dipartimento legale. Realisticamente, è del tutto possibile che per quanto sia ben intenzionata la segnalazione di bug, qualcuno dell'organizzazione del concorrente lo interpreterà come "il nostro concorrente ha appena pagato uno dei suoi dipendenti per hackerare il nostro sito". Questa percezione potrebbe creare problemi legali o di pubbliche relazioni sia per te che per la tua azienda. Coinvolgere il vostro ufficio legale nella notifica dovrebbe contribuire a proteggere tutti dall'apparenza di scorrettezza. Naturalmente, ciò crea la possibilità che il dipartimento legale concluda che notificare il concorrente crea un rischio legale inaccettabile e ti dice solo di sederti sulle informazioni. Ma è molto meglio dell'alternativa che ti scoppia in faccia.

Questo sembrerà terribile (almeno rispetto alla maggior parte delle risposte qui) ma, ecco i miei 2 centesimi:

Perché dovresti fare qualcosa al riguardo?

Per prima cosa, hanno già impiegati che dovrebbero svolgere questo tipo di lavoro (trovando problemi e risolvendoli).

In secondo luogo, il modo in cui hai formato la tua domanda fa sembrare che si tratti di una sorta di dilemma morale. Non lo è. In primo luogo, non hai fatto nulla per causare quel problema.

In terzo luogo, stai gareggiando contro di loro. Dovresti concentrarti sul rendere ** il TUO prodotto il meglio che c'è, non il loro.

Se hai ancora dei dubbi, torna al mio punto n. 2 e rileggilo.

C'è una linea sottile tra l'esplorazione delle vulnerabilità e lo spionaggio industriale, e dal momento che sei affiliato con il tuo datore di lavoro, il concorrente può considerarlo quest'ultimo.

Se lo denuncia e c'è un incubo legale / PR, sarai il capro espiatorio.

Parla con il tuo dipartimento legale e lascia che lo gestiscano come ritengono opportuno: c'è un motivo per cui fanno molto più degli ingegneri.

Un meccanismo alternativo, non ancora suggerito AFAICS, di fornire le informazioni al tuo concorrente senza alcun rischio per la tua azienda è di consentire a una delle varie società di reporting di vulnerabilità di conoscere la vulnerabilità e chiedere loro di segnalarlo al tuo concorrente . Loro (la società di reporting delle vulnerabilità) manterrebbero il tuo nome fuori dal rapporto - saresti anonimo al tuo concorrente. Una di queste società è Zero Day Initiative , ZDI - ce ne sono molte altre.

Sfidalo ai media, ovviamente in modo anonimo, e quindi offri una rapida migrazione ai clienti del concorrente. Questo potrebbe sembrare un colpo basso, ma considera questo, non c'è nulla di illegale o non etico su ciò che stai facendo, inoltre consideri che è un mondo di cani mangia cani in SW e come David andando contro Golia avrai bisogno di tutta la leva. Ricorda, non è personale, è strettamente commerciale . Farebbero lo stesso con te in un batter d'occhio.

(FWIW Mi aspetto che questa risposta sia sottovalutata, ma va bene perché quello che sto dicendo è la verità anche se dura.)

Cosa vorresti che facessero se trovassero una vulnerabilità di sicurezza nel tuo software? Questa dovrebbe essere la prima domanda che chiedi. Se la risposta è "lo apprezzerei molto se me lo dicessero", beh, allora hai la tua risposta!

Non importa che siano un'azienda gigantesca o un negozio di tre persone, e non importa che tu sia un negozio di tre persone o una grande azienda. Come è stato detto, la tua reputazione è tutto, specialmente in questa piccola comunità nota come software.

Se stai importando / esportando dati tra i loro sistemi e il tuo, la loro vulnerabilità alla sicurezza potrebbe facilmente diventare la tua vulnerabilità della sicurezza.

Avrai voglia di coprire il sedere tecnologicamente e legalmente. Assicurati che venga risolto, ma assicurati che il tuo dipartimento legale abbia una mano a comunicarlo.

Ovviamente, faccelo sapere.

Se "fuori dalla bontà del tuo cuore" non è una buona ragione, considera che stai implementando questa funzionalità come un vantaggio per i tuoi clienti. Stai proteggendo indirettamente i loro dati segnalando questo bug.

C'è solo una scelta onorevole. Diglielo.

Personalmente vorrei dirglielo.

Altre persone hanno indicato le possibili questioni PR / Legali, e se dopo aver parlato con un agente di livello o PR è consigliato di non segnalarlo, ANCORA ANCORA REPORTARLO, ma in modo anonimo.

Aiuta i tuoi potenziali clienti a favorire la protezione dei dati.

In linea di principio, sono completamente d'accordo con ciò che più qui dice: intensificalo e riferiscilo. C'è un codice d'onore professionale come in mare: se una nave è nei guai, tu aiuti, non importa a chi appartiene.

Leggendo il tuo aggiornamento, tuttavia, probabilmente deciderò di non dirlo a causa del rischio che l'azione ben intenzionata possa essere presa nel modo sbagliato (come dice lo spionaggio industriale di @Uri), e portare ad ostilità che sono molto più pericoloso per il tuo negozio di tre persone di quanto non sarà mai per loro.

Forse lasciare una nota anonima; forse non fare nulla. Se sei David, non devi dire a Golia che ha un'ape seduta sulle sue spalle.

La natura, nonostante i suoi lati duri, ha le sue occasioni gentili. E li esegue senza pensarci due volte.

Il cane non mangia cane. Piuttosto, la gente annoiata paga per lotte di cani illegali. E gli avvocati raccolgono i soldi. Compreso dal tuo capo. Più di quello che vuoi ora. Possono alleviare felicemente le startup senza battere ciglio.

Anche molto possibile, qualcuno di "concorrente" lo sa già. Portare le notizie può significare più responsabilità che essere un semplice messaggero di passaggio. È meglio che parlare ai muri?

Affari sulla sicurezza: un sacco di server con grandi buche sono online. questo server è un altro. Lavoro a tempo pieno per alcuni. Hai controllato i tuoi buchi? tutti loro?

Guarda il tuo passaggio.

I dati dei clienti sono l'ossessione importante.

Diglielo. Quindi invia il tuo curriculum. Potrebbero essere assoldati. :)

Diglielo! è la cosa giusta da fare. Inoltre, cosa vorrebbero che facessero se fossi al loro posto?

Non puoi dare un valore alla buona volontà che potrebbe uscire da questo.