Этический спор по поводу неразглашения безопасности [закрыто]

Три года назад я провел аудит безопасности для крупного сайта электронной коммерции. Когда был проведен аудит, я обнаружил несколько серьезных проблем безопасности, которые допускают доступ к данным, которые не должны быть доступны после завершения транзакции. На этом сайте есть несколько основных рисков. Во-первых, вы можете видеть заказы, поступающие через систему в режиме реального времени; все транзакции обрабатываются вручную этой компанией. Если вы просматриваете транзакцию, вы можете увидеть имя, адрес и адрес доставки. Здесь я вижу две точки злоупотребления: 1 - вы можете просто отредактировать корабль по адресу и отправить отправку себе и 2 - вы можете позвонить пользователю сразу после размещения заказа и сделать «телефонное подтверждение», чтобы получить доступ просто к информации о кредитной карте с базовой социальной инженерией.

Вы также можете, немного потрудившись, сбросить данные CC и номера идентификатора заказа, а затем просто сопоставить идентификатор заказа и информацию о пользователе.

Это все, используя открытые функции на своем сайте и изменяя пару значений. Да, я неясен по причине.

Директор по маркетингу этой компании был предупрежден об этих рисках три года назад и не сделал ничего, чтобы исправить их. Я не сомневаюсь, что, если я смогу найти это, другие смогут. Этот сайт выполняет 88 тыс. Транзакций в год, и все заказы, которые когда-либо обрабатывались, все еще хранятся в данных и доступны.

Итак, этический вопрос ... что мне делать? Моей компании все равно ... поэтому я не могу получить помощь там. Если я свяжусь с маркетологом, он просто продолжит покрывать свою задницу и задницы их некомпетентной внутренней команды разработчиков (холодный синтез). Должен ли я связаться с кем-то выше? Я иду вокруг моей компании? Должен ли я просто добывать данные и продавать их конкуренту без информации CC? Что мне делать, зная это? Это ворчит на меня, и я не могу отпустить. Это только один из многих сайтов, о которых я знаю, но простота доступа и высокий трафик заставляют меня задуматься над этим.

Было время, когда я предлагал принять героические меры для разрешения ситуации. С тех пор я научился лучше - вы не можете заставить кого-то действовать в своих собственных интересах. Это часто имеет непредвиденные последствия для вас, которые могут быть неприятными.

Подумай об этом ... ты

• Сообщил компании через аудиторский отчет
• Проинформировал ваше руководство

Так что, если вы идете и звоните генеральному директору дома, вы теперь покончили с вашим руководством и создали ситуацию, когда внутренние люди, которые занимаются CYA, сделают вас злодеем. Генеральный директор будет слушать своих некомпетентных сотрудников больше, чем случайный консультант, который провел аудит 3 года назад.

Мой совет: иди выпей пива или что-нибудь еще, и больше никогда не заходи на сайт.

Первое - вы не продаете то, что знаете, это, безусловно, неэтично и может быть незаконно :)

Мой второй совет - пойти к начальнику отдела маркетинга, вплоть до генерального директора этой компании. Если вы работаете в аудиторской группе, они не заботятся о том, что компания делает с информацией, а просто о том, что им нужно продать сервис в первую очередь.

В-третьих, если это действительно так важно, вы можете начать анонимную (или неанонимную) маркетинговую / бойкотирующую кампанию, связанную с небезопасностью сайта, без фактического компрометации.

Но лучше, чем просить кучу сисадминов, было бы поговорить с уважаемым адвокатом :)

Вы были наняты для проведения аудита, поэтому ваша обязанность - информировать клиента о результатах аудита. То, что они делают с этим, является их бизнесом. Они решили риски в зависимости от стоимости изменений. Не вы. Если у них серьезная проблема с безопасностью и у вас есть повестка в суд, вы можете дать показания о результатах аудита (3 года назад). Вот и все, что касается ваших обязательств.

У меня есть новости для вас. Подавляющее большинство компаний обрабатывают данные клиентов небезопасным образом, на том или ином уровне. Сколько администраторов баз данных имеют полный доступ ко всем данным клиентов? Очень немногие компании используют Oracle Vault.

«Должен ли я просто добывать данные и продавать их конкуренту без информации о ЦК?»

Только если вы хотите пойти в тюрьму.

Вы можете быть на очень тонком льду, если вы что-то раскрываете. Вы можете попасть в реальную проблему за это.

Существует причина, по которой компании заключают строгие соглашения друг с другом при заключении контракта на пентест. Пентестирующей компании нужна вся защита, которую они могут получить. Раскрытие информации, которую вы не должны, может привести к судебному преследованию или судебному преследованию.

Допустим, вы идете к начальнику отдела маркетинга. Босс давит на маркетолога. Маркетолог начинает прикрывать свою задницу. Он может убедить начальника, что для того, чтобы вы имели эту информацию, вы должны были сделать что-то незаконное или подобное. Даже если вы в конечном итоге выиграете, вы можете быть в суде в течение длительного времени.

Если они не хотят воспринимать это всерьез с первого взгляда, то если вы заставите их воспринимать это всерьез, то, скорее всего, у вас возникнут проблемы.

Ради тебя, брось это.

РЕДАКТИРОВАТЬ: Кроме того, если первоначальное соглашение о проверке безопасности включает конкретных людей, которых вы можете сообщить, информирование других лиц в той же компании, не включенных в соглашение, может привести к неприятностям.

Насколько я понимаю, ты сделал свою работу. Вы провели аудит и передали результаты соответствующему уполномоченному лицу. Мой совет: просто отойди от этого, ты больше ничего не сможешь сделать. Конечно, дилемма заключается в том, что ни в чем не повинные клиенты могут подвергаться постоянным слабостям безопасности, но это не ваша проблема, не так ли? Вы не можете взять на себя ответственность за какую-либо ее часть, выходящую за рамки вашей работы.

Вы, конечно, не пропускаете эту информацию и не продаете ее посторонним.

Здесь есть кое-что, чего я не понимаю ... три года назад? Если вы провели аудит 3 года назад, почему это все еще у вас на уме? Вы чувствуете себя так плохо по этому поводу, или небезопасная компания все еще заключает контракт с вашей компанией на услуги безопасности / аудита?

Это важный вопрос, потому что, если вы уже 3 года не имеете дела с этой компанией, то мой четкий совет - уйти. Было бы очень странно, если бы вы снова появились через 3 года и начали критиковать. Если это было 3 года назад, тогда у вас был шанс, и вы не воспользовались им. Теперь уходи.

Если ваша компания по-прежнему ведет дела с небезопасной компанией , я бы посоветовал вашему боссу силой направить им письмо вместе. Вашему боссу это не понравится; но для вас гораздо лучше, если письмо приходит от вашей компании, а не от вас самих. Отправьте его с курьером начальнику отдела маркетинга (CEO). Держите его вежливым, расплывчатым и, в основном, охватывающим ваши собственные компании **, и намекайте на то, что решения по обеспечению безопасности для менеджеров по маркетингу настолько далеко выходят за рамки общепринятых отраслевых стандартов, что вы чувствуете себя вынужденными выходить за его рамки. Ваша цель не в том, чтобы рассказать все, а в том, чтобы покрыть ваши собственные компании **, и заставить другого генерального директора испытать достаточно смятения, чтобы попросить копию вашего оригинального отчета.

Переход через голову менеджеров по маркетингу - самый сильный шаг, который я могу рекомендовать. И это действительно довольно сильно и нежелательно. Вы были наняты для предоставления экспертного заключения по одному аспекту; не вести свой бизнес.

На довольно грустном замечании на сайте: нередко видеть неэтичных или просто некомпетентных бизнесменов. Иногда они могут нанять аудиторов безопасности без намерения когда-либо использовать результаты; с намерением только сказать, что они были проверены хорошо известной компанией по безопасности X. Это, конечно, грустно и оскорбительно - но это реально, и вам придется привыкнуть к этому, если вы хотите работать в области аудита безопасности.

С другой стороны, вы должны учитывать свою ответственность за неспособность адекватно информировать клиента о рисках. Вы должны рассмотреть, какое покрытие ошибок и пропусков несет ваша компания. Вы говорите, что вашей компании все равно, но я держу пари, что если клиент подаст на них в суд, поданный иском против них одним из их клиентов, это привлечет всеобщее внимание.

3 года назад вы сделали работу, за которую, по-видимому, вам заплатили. Если вы предприняли все необходимые шаги для выполнения этой работы, то ваша работа выполнена. Над. Законченный.

У меня серьезные проблемы с пониманием, почему у вас было 3 года, чтобы что-то с этим сделать, и не сделали. Для меня это не похоже на этические проблемы. На самом деле, ваше упоминание о возможной продаже информации подсказывает мне, что у вас вполне могут быть другие мотивы. По крайней мере, я нахожу вашу позицию весьма сомнительной.

Поскольку вы ничего не делали до сих пор, если вы начнете предпринимать какие-либо действия, вы вполне можете подвергнуть себя возможному судебному иску. Законы меняются от места к месту, но где я, если кто-то стал жертвой кражи данных с помощью механизмов, которые вы описали, и вы только сейчас принимаете меры, вы фактически являетесь знающим участником в результате вашего предыдущего бездействия. Единственный безопасный путь для вас лично - бросить его.

Если вы занимаетесь «аудитом безопасности», о поиске информации и ее продаже не может быть и речи. Черт, тот факт, что вы даже задали этот вопрос, заставляет меня задуматься о вашей этике и, конечно же, заставит меня задаться вопросом, подходите ли вы для моей службы безопасности.

Сказав это, вы сделали свою работу. Вы были наняты для проведения аудита безопасности, и вы сделали. Была ли компания уведомлена о результатах в письменном виде? Как уже говорили другие, вы не можете заставить компанию закрыть лазейки в системе безопасности. Этический вопрос - извлечь уроки из этого аудита и двигаться дальше.

Если вы обеспокоены тем, как правильно выполнять свою работу, вы сделали свою работу. То, что никто не действует по вашим рекомендациям, не отражается на вас.

Однако, если вы на законных основаниях обеспокоены тем, что их клиенты стали жертвами кражи личных данных или кредитных карт, я бы сказал, чтобы связаться с отделом жалоб FTC . (Предполагая, что вы находитесь в США. Если нет, то в вашей стране, вероятно, есть аналогичный государственный департамент.)

Я провела несколько семестров по этике, и это действительно сложный вопрос.

Запрашивая здесь ответ «Что мне делать», вы никогда не получите «правильного» ответа, все, что вы получите, это ответы, которые либо усиливают, либо противоречат вашим личным чувствам по этому вопросу.

Кроме того, на все ответы, которые вы получите здесь, будут сильно влиять прошлые действия или решения людей, где они живут, где они выросли, их местные законы и обычаи. Поэтому, даже если они были в той же ситуации, что и вы, их опыт может быть совершенно другим.

Краткий ответ: вы должны делать то, что вы считаете правильным. Очевидно, вы считаете, что бездействие - это неправильная вещь. Если бы вы этого не сделали, вы бы этого не спросили.

Лично я не согласен со всеми, кто говорит «Брось это» или «Ты сделал свою работу». Это, кажется, популярное мнение, когда этика возникает на ServerFault. И это не неправильный ответ, это просто не мой ответ.