Что делать, если вы обнаружили уязвимость на сайте конкурента?

37

Работая над проектом для моей компании, мне нужно было создать функциональность, позволяющую пользователям импортировать / экспортировать данные на сайт нашего конкурента. При этом я обнаружил очень серьезную уязвимость в безопасности, которая, в общем, может выполнить любой скрипт на веб-сайте конкурента.

Мое естественное чувство - сообщить им о проблеме в духе доброй воли. Мне пришло в голову использовать проблему, чтобы получить преимущество, но я не хочу идти по этому пути.

Поэтому мой вопрос: не могли бы вы сообщить о серьезной уязвимости вашему прямому конкуренту, чтобы помочь им? Или ты будешь держать рот на замке? Есть ли лучший способ добиться этого, возможно, получить хоть какое-то преимущество от того факта, что я помогаю им, сообщая о проблеме?

Обновление (уточнение) :

Спасибо за ваши отзывы, я ценю это. Изменились бы ваши ответы, если бы я добавил, что рассматриваемая конкуренция - гигант на рынке (сотни сотрудников на нескольких континентах), а моя компания начала свою деятельность всего несколько недель назад (три сотрудника)? Само собой разумеется, они наверняка не будут помнить нас, и, во всяком случае, только поймут, что их сайт нуждается в работе (именно поэтому мы вошли на этот рынок в первую очередь).

Это может быть одним из тех моральных и деловых бросков, но я ценю все советы.

оборота user17610
источник
4
Зависит от того, нравственны вы или аморальны.
dietbuddha
5
Сообщите об этом анонимно с одноразового адреса электронной почты через прокси-сервер без каких-либо связей с вашим текущим рабочим местом.
Работа
14
Почему размер компании влияет на этическое поведение?
JohnFx
6
Есть небольшой анекдот про парня, который пытался продать Пепси несколько секретов от кока-колы ... Пепси вызвала у него полицию. Независимо от того, насколько сильным может быть соперничество, конкуренция всегда должна основываться на честной и этичной деловой практике. Если вам, ребята, будет лучше, вы победите их независимо от того, насколько они велики или укоренились. Это может не произойти за ночь, но посмотрите на войны браузеров. Медленно, но верно альтернативы забирают у IE даже с предустановленной IE!
Крис Томпсон
@JohnFx +1: место для вопроса, сэр! Мы могли бы даже использовать тот же аргумент, если бы ситуация изменилась: «моя компания - авторитетный и уважаемый гигант, а их компания - всего лишь небольшая компания, которая, скорее всего, рано или поздно обанкротится». Независимо от относительного размера компаний, этика одинакова.
бедуир

Ответы:

63

Хотя я бы хотел жить в мире, где было бы совершенно безопасно просто оставить им записку, чтобы сообщить им, я бы посоветовал сначала привлечь ваш юридический отдел. На самом деле, вполне возможно, что, как бы благими намерениями ни были ваши сообщения об ошибках, кто-то в организации конкурента интерпретирует его как «наш конкурент только что заплатил одному из своих сотрудников за взлом нашего сайта». Такое восприятие может создать юридические или PR-проблемы для вас и вашей компании. Вовлечение вашего юридического отдела в уведомление должно помочь оградить всех от появления неправомерных действий. Конечно, это создает вероятность того, что юридический отдел приходит к выводу, что уведомление о конкуренте создает неприемлемый правовой риск и говорит вам просто сидеть на информации. Но это'

Джастин Кейв
источник
По всей вероятности, они скажут, чтобы пойти с этим - но они будут знать лучший подход, чтобы сделать это, не подвергая вас или вашу компанию нежелательной юридической обратной связи.
HorusKol
Если юридический отдел скажет «нет», я пойду с идеей анонимной электронной почты. И если они скажут да, убедитесь, что ваше имя где-то там!
Бенджол
17
Конечно, найти «юридический отдел» в компании из трех человек будет довольно сложно, я представляю :)
Бенджол,
@ Benjol Правда, но вам определенно нужна юридическая консультация в этих случаях. Даже если они не могут обвинить вас в том, что вы взломали их сайт, они все равно могут утверждать, что ваше письмо угрожало, и вы пытались их шантажировать.
biziclop
9
Мне больно соглашаться с этим ответом. Это печальный комментарий к обществу, когда для сообщения об ошибке кода нужны юристы.
JDL
30

Это будет звучать ужасно (по крайней мере, по сравнению с большинством ответов здесь), но вот мои 2 цента:

Зачем тебе что-то делать с этим?

Во-первых, у них уже есть сотрудники, которые должны выполнять такую ​​работу (находить проблемы и исправлять их).

Во-вторых, то, как вы сформулировали свой вопрос, звучит так, как будто это какая-то моральная дилемма. Это не. Вы не сделали ничего, чтобы вызвать эту проблему в первую очередь.

В-третьих, вы конкурируете с ними. Вы должны быть сосредоточены на том, чтобы ** сделать ваш продукт лучшим, а не их.

Если вы все еще сомневаетесь, вернитесь к моей точке № 2 и перечитайте ее.

Jas
источник
9
+1 за реалистичность. Не делайте ничего противозаконного, конечно. Аморальной? В бизнесе нет морального или аморального. В компании нет такой вещи, как понятие морали.
Давор Адрало
3
@HorusKol - +1 не собирается платить зарплату и расходы на компанию. Однако может предложить лучший продукт, чем ваш конкурент.
Jas
4
-1. Такое мышление является классическим примером трагедии общин. Бреши в безопасности - это проблема каждого.
Мейсон Уилер
6
@ Мейсон Уилер: Трагедия общего достояния - это дилемма, возникающая из-за ситуации, когда множество людей, действуя независимо и рационально руководствуясь своими собственными интересами, в конечном итоге истощают общий ограниченный ресурс, даже если ясно, что его нет ни у кого. долгосрочный интерес для того, чтобы это произошло. Я не понимаю, как это применимо здесь.
user17610
3
Честно говоря, я шокирован тем, что вы предлагаете не сообщать вашему конкуренту об их ошибке безопасности. Почему бы не подать отчет об ошибке в виде пресс-релиза или рекламного электронного письма. В таком отчете об ошибках следует отметить отсутствие указанной ошибки в вашем продукте и возможные последствия для пользователей.
Эмори
22

Существует тонкая грань между исследованием уязвимостей и промышленным шпионажем, и, поскольку вы связаны со своим работодателем, конкурент может считать его последним.

Если вы сообщите об этом и у вас будет юридический / пиар-кошмар, вы будете козлом отпущения.

Поговорите с вашим юридическим отделом и позвольте им справиться с этим так, как они считают нужным - есть причина, по которой они уступают больше, чем инженеры.

Uri
источник
20

Альтернативный механизм, еще не предложенный AFAICS, для передачи информации вашему конкуренту без риска для вашей собственной компании - это сообщить об уязвимости одной из различных компаний, сообщающих об уязвимостях, и попросить их сообщить об этом вашему конкуренту. Они (компания, сообщающая об уязвимостях) не будут указывать ваше имя в отчете - вы будете анонимны со своим конкурентом. Одной из таких компаний является Zero Day Initiative , ZDI - есть ряд других.

Джонатан Леффлер
источник
11

Разглашайте это СМИ, конечно же, анонимно, а затем предлагайте быструю миграцию клиентам конкурента. Это может показаться слабым ударом, но учтите, что в том, что вы делаете, нет ничего противозаконного или неэтичного, далее подумайте, что это мир собак и собак в ЮЗ, и поскольку Давид идет против Голиафа, вам понадобятся все рычаги. Помните, это не личное, это строго бизнес . Они сделали бы то же самое с вами в одно мгновение.

(FWIW Я полностью ожидаю, что этот ответ будет отклонен, но это нормально, потому что я говорю правду, хотя и грубую).

Gaurav
источник
Мне кажется, хорошо: вы уведомляете их и одновременно получаете прибыль. Тем не менее, есть шанс, что они будут отмечены галочками и начнут ловить уязвимости на вашем сайте.
apoorv020
@apoorv Это будет означать, что ты стал достаточно большим, чтобы волновать Голиафа :-).
Гаурав
Я не понимаю, зачем использовать слова «утечка» и «анонимно». ОП не сделал ничего плохого или аморального
emory
@ apporv020 Вы должны предположить, что они (и множество других) постоянно ловят уязвимости сайта 4.
Эмори
Поскольку это «гигантская» компания на вашем рынке, стоит рассмотреть, как отреагируют клиенты вашего рынка, если об уязвимости широко сообщат в средствах массовой информации. Могут ли они ответить «Если я не могу доверять своим данным в << behemoth company >>, должен ли я вообще это делать?" Ответ на этот вопрос может помочь определить, насколько публичным должен быть ваш отчет об уязвимости. Ваши действия могут повлиять на восприятие вашего рынка в целом.
Зусукар
8

Что бы вы хотели, чтобы они сделали, если бы они обнаружили уязвимость в вашем программном обеспечении? Это должен быть первый вопрос, который вы зададите. Если ответ «я был бы очень признателен, если бы мне сказали», тогда у вас есть ответ!

Неважно, что это гигантская компания или магазин из трех человек, и не имеет значения, что вы магазин из трех человек или гигантская компания. Как уже было сказано, ваша репутация - это все, особенно в этом небольшом сообществе, известном как программное обеспечение.

Джесси МакКаллох
источник
3
Разве это не противоречит тому, что конкурентам нужна нормальная бизнес-стратегия?
user17610
@ user17610 - Я полагаю, это зависит от ситуации ... не могу сделать общее заявление и принять все ваши решения. Если ваши конкуренты хотят зарабатывать кучу денег, вы собираетесь сделать обратное?
Джесси Маккаллох
Нет, тогда я позабочусь, чтобы они не делали кучу денег;)
user17610
2
+1 за "что бы вы хотели, чтобы они сделали, если бы они нашли уязвимость в вашем программном обеспечении?"
Крейг,
-1: Я хотел бы, чтобы они мне это рассказали, потому что впоследствии обвинение их в промышленном шпионаже поможет разъедать их долю рынка! Никогда не думайте о доброжелательности вашего конкурента ...
recursion.ninja
8

Если вы импортируете / экспортируете данные между их системами и вашими, их уязвимость может легко стать вашей уязвимостью.

Вы будете хотеть покрыть свою задницу технологически и юридически. Убедитесь, что это исправлено, но убедитесь, что ваш юридический отдел приложил руку к тому, чтобы уведомить их.

Бен Л
источник
5

Очевидно, дайте им знать.

Если «по доброй воле» не является достаточной причиной, подумайте, что вы реализуете эту функцию в качестве выгоды для своих клиентов. Вы косвенно защищаете их данные, сообщая об этой ошибке.

JDL
источник
2

Есть только один достойный выбор. Скажи им.

Эрик Кинг
источник
0

Лично я бы сказал им.

Другие люди указали на возможные PR / юридические вопросы, и если после разговора со слоем или PR-агентом вам посоветуют не сообщать об этом, я все равно сообщу об этом, но анонимно.

Это делает вашим потенциальным клиентам услугу, помогая защитить их данные.

Доминик Макдоннелл
источник
Ага: анонимная почта на seclists.org/fulldisclosure , хе-хе-хе ...;)
Хенрик
@ Downvoter, какие-либо комментарии, почему?
Доминик Макдоннелл
0

В принципе, я полностью согласен с тем, что большинство здесь говорят: шагните и сообщите об этом. Существует профессиональный кодекс чести, например, в море: если корабль попал в беду, вы помогаете, кому бы он ни принадлежал.

Однако, читая ваше обновление, я, вероятно, решу не говорить им из-за риска, что благонамеренные действия могут быть предприняты неправильно (как говорит промышленный шпионаж @Uri), и приведут к боевым действиям, которые гораздо более опасны для ваш магазин из трех человек, чем они когда-либо будут для них.

Возможно, оставьте анонимную заметку; может быть, ничего не делать вообще. Если ты Давид, тебе не нужно говорить Голиафу, что у него на спине пчела.

оборота Пекка 웃
источник
-1

Природа, несмотря на свои суровые стороны, имеет свои добрые поводы. И разыгрывает их, не задумываясь.

Собака не ест собаку. Скорее скучающие люди платят за нелегальные собачьи бои. И юристы собирают деньги. В том числе и от твоего босса. Больше, чем ты хочешь сейчас. Они могут счастливо слить стартапы, не мигая.

Также очень возможно, кто-то на "конкурента" уже знает. Приносить новости может означать больше обязанностей, чем простой мессенджер. Это лучше, чем разговаривать со стенами?

Безопасность бизнеса: множество серверов с большими дырами в сети. этот один сервер другой. Полная занятость для некоторых. Вы проверили свои собственные отверстия? все они ?

Следи за своим шагом.

Данные клиентов являются важной навязчивой идеей.

оборота user17685
источник
2
Хорошо, я прочитал этот пост дважды - и я все еще не уверен, какую сторону дискуссии он поддерживает ... :)
Циклоп
-1

Скажи им. Затем отправьте свое резюме. Возможно, они нанимают. :)

davidhaskins
источник
18
Я предпочел бы не работать для людей, которые пишут такой плохой код, что 15 минут проверки приводят к обнаружению серьезной уязвимости;)
user17610
@ user17610: Хорошо, исправленный вариант: скажи им и посмотри, исправят ли они это. Если они не исправят это в разумное время, не отправляйте свое резюме им.
sharptooth
-1

Скажи им! Это является правильным , что нужно сделать. Кроме того, что бы они хотели сделать, если бы вы были на их месте?

Вы не можете ценить добрую волю, которая может возникнуть из этого.

KM01
источник