Dilemma etico sulla non divulgazione della sicurezza [chiuso]

Tre anni fa ho svolto un audit di sicurezza per un grande sito Web di e-commerce. Quando è stato eseguito il controllo, ho riscontrato diversi gravi problemi di sicurezza che consentono l'accesso ai dati che non dovrebbero essere accessibili dopo il completamento di una transazione. In questo sito ci sono diversi rischi importanti. Innanzitutto, puoi vedere gli ordini che arrivano attraverso il sistema in tempo reale; tutte le transazioni vengono elaborate manualmente da questa azienda. Se visualizzi una transazione puoi vedere il nome, l'indirizzo e la destinazione della spedizione. Qui vedo due punti di abuso, 1: puoi semplicemente modificare la nave per indirizzarla e farti spedire la spedizione, e 2: puoi chiamare l'utente nel momento in cui è stato effettuato l'ordine e fare una "conferma telefonica" per ottenere l'accesso semplicemente alle informazioni sulla carta di credito con il social engineering di base.

Puoi anche, con un po 'più di lavoro, scaricare le informazioni CC e i numeri ID ordine e quindi semplicemente abbinare l'ID ordine e le informazioni utente.

Questo è tutto usando le funzioni esposte sul loro sito e modificando un paio di valori. Sì, sono vago per un motivo.

Il direttore marketing di questa società è stato avvertito di questi rischi tre anni fa e non ha fatto nulla per correggerli. Non dubito che se riesco a trovare questo gli altri possono farlo. Questo sito esegue transazioni 88K all'anno e ha tutti gli ordini mai elaborati ancora nei dati e accessibili.

Quindi la domanda etica ... cosa devo fare? Alla mia compagnia non importa ... quindi non posso ottenere aiuto lì. Se contatto il ragazzo di marketing, continuerà a coprirgli il culo e i culi del loro incompetente team di sviluppo interno (fusione fredda). Devo contattare qualcuno più in alto? Vado in giro per la mia azienda? Devo solo estrarre i dati e venderli a un concorrente meno le informazioni CC? Cosa faccio sapendo questo? Mi sta tormentando e non posso lasciarlo andare. Questo è solo uno dei tanti siti che conosco, ma la facilità di accesso e il traffico intenso mi fanno riflettere molto su questo.

C'è stato un tempo in cui avrei suggerito di prendere misure eroiche per risolvere la situazione. Da allora ho imparato meglio: non puoi costringere qualcuno ad agire nel proprio interesse. Fare così spesso ha conseguenze indesiderate per te che potrebbero essere spiacevoli.

Pensaci ... hai

• Informato l'azienda tramite il rapporto di verifica
• Informato la tua direzione

Quindi, se vai a chiamare l'amministratore delegato a casa, ora hai fatto un giro intorno alla tua gestione e creato una situazione in cui le persone interne che stanno facendo il CYA ti renderanno il cattivo. L'amministratore delegato ascolterà il suo staff incompetente più di un consulente casuale che ha svolto un audit 3 anni fa.

Il mio consiglio: vai a bere una birra o qualunque cosa ti piace fare e non visitare mai più il sito web.

Innanzitutto, non vendi ciò che sai, è certamente immorale e potrebbe essere illegale :)

Il mio secondo consiglio sarebbe di andare dal capo del Marketing Guy, fino al CEO di quella società. Se lavori per un gruppo di controllo, a loro non importa cosa fa un'azienda con le informazioni, solo che devono vendere il servizio in primo luogo.

In terzo luogo, se è davvero questo un affare grande, si può essere in grado di avviare un anonimo (o non anonima) di marketing / boicottare la campagna per quanto riguarda l'insicurezza del sito, senza in realtà li compromettere.

Ma meglio che chiedere a un gruppo di amministratori di sistema sarebbe parlare con un avvocato rispettabile :)

Sei stato assunto per eseguire un audit, quindi il tuo dovere è verso il cliente di informarli dei risultati dell'audit. Quello che ne fanno sono i loro affari. Hanno deciso i rischi rispetto al costo del cambiamento. Non tu. Se hanno un grosso problema di sicurezza e si ottiene una citazione, si può testimoniare sui risultati dell'audit (3 anni fa). Per quanto riguarda i tuoi obblighi.

Ho delle notizie per te. La stragrande maggioranza delle aziende gestisce i dati dei clienti in modo insicuro, a un livello o all'altro. Quanti DBA hanno accesso completo a tutti i dati dei clienti? Pochissime aziende gestiscono Oracle Vault.

"Devo solo estrarre i dati e venderli a un concorrente meno le informazioni CC?"

Solo se vuoi andare in prigione.

Potresti essere su un ghiaccio davvero sottile se riveli qualcosa. Potresti metterti nei guai per quello.

C'è un motivo per cui le aziende hanno accordi rigorosi tra loro quando viene contrattato il pentest. La compagnia di pentimento ha bisogno di tutta la protezione che può ottenere. Divulgare informazioni che non dovresti e ti faranno denunciare o perseguito.

Diciamo che vai dal capo del ragazzo del marketing. Il capo si regge sul ragazzo del marketing. Il ragazzo del marketing inizia a coprirsi il culo. Potrebbe convincere il capo che per avere queste informazioni devi aver fatto qualcosa di illegale o simile. Anche se alla fine vincerai, potresti essere in tribunale per molto tempo.

Se non vogliono prenderlo sul serio al primo approccio, spingendoli a prenderlo sul serio molto probabilmente ti metteranno nei guai.

Per il tuo bene, lascialo cadere.

MODIFICA: Inoltre, se l'accordo originale per l'audit di sicurezza include persone specifiche che solo l'utente può informare, informare altre persone della stessa azienda, non incluse nell'accordo, potrebbe metterti nei guai.

Per quanto lo vedo, hai fatto il tuo lavoro. Hai eseguito l'audit e trasmesso i risultati all'autorità competente. Il mio consiglio è di indietreggiare, non c'è più niente che tu possa davvero fare. Ovviamente il dilemma è che i clienti innocenti potrebbero essere esposti alle continue carenze di sicurezza, ma non è davvero il tuo problema, vero? Non puoi assumerti la responsabilità di nessuna parte al di fuori delle competenze del tuo lavoro.

Certamente non perdi queste informazioni e certamente non le vendi agli estranei.

C'è qualcosa qui che non capisco ... tre anni fa? Se hai fatto un audit 3 anni fa, come mai ti viene ancora in mente? Ti senti così male, o la compagnia insicura sta ancora contraendo la tua azienda per servizi di sicurezza / audit?

È una domanda importante, perché se non hai rapporti commerciali con questa azienda da 3 anni, il mio consiglio chiaro è di andarsene. Sembrerebbe molto strano se riappari dopo 3 anni e inizi a criticare. Se è stato 3 anni fa, allora hai avuto la possibilità allora, e non l'hai presa. Adesso vattene.

Se la tua azienda sta ancora facendo affari con la compagnia insicura , allora proporrei di rafforzare il tuo capo per inviargli una lettera insieme. Al tuo capo non piacerà questo; ma per te è molto meglio se la lettera viene dalla tua azienda piuttosto che da te stesso. Invialo con corriere al capo dei responsabili marketing (CEO). Mantienilo educato, mantienilo vago e coprendo per lo più i tuoi compagni **, e allude al fatto che le decisioni di sicurezza dei responsabili del marketing siano così lontane dagli standard industriali accettati che ti sei sentito obbligato ad andare oltre la sua testa. Il tuo obiettivo non è quello di raccontare tutto, il tuo obiettivo è quello di coprire un ** i tuoi compagni e di fare in modo che l'altro CEO sia abbastanza scosso da chiedere una copia del rapporto originale.

Andare oltre la testa dei responsabili del marketing è la mossa più forte che posso in alcun modo raccomandare. Ed è davvero abbastanza forte e indesiderato. Sei stato assunto per fornire un parere di esperti su un aspetto; di non gestire la propria attività.

In una nota un po 'triste: non è raro vedere uomini d'affari non etici o semplicemente incompetenti. A volte questi possono assumere auditor della sicurezza senza l'intenzione di utilizzare mai i risultati; con l'intenzione di dire solo che sono stati controllati dalla nota società di sicurezza X. Questo è ovviamente triste e offensivo - ma è reale e dovrai abituarti se vuoi lavorare nel controllo della sicurezza.

D'altra parte, devi considerare la tua responsabilità per non aver informato adeguatamente il cliente dei rischi. Devi considerare il tipo di copertura per errori e omissioni della tua azienda. Dici che alla tua azienda non importa, ma scommetto che se vengono citati in giudizio dal cliente, provocati da una causa contro di loro da uno dei suoi clienti, attirerebbe l'attenzione di tutti.

3 anni fa hai svolto un lavoro, per il quale sei stato presumibilmente pagato. Se hai eseguito tutti i passaggi richiesti nell'esecuzione di quel lavoro, il tuo lavoro è finito. Al di sopra di. Finito.

Ho seri problemi a capire perché hai avuto 3 anni per fare qualcosa al riguardo e non l'ho fatto. Non mi sembra che tu abbia problemi etici. In effetti, la tua stessa menzione di possibilmente vendere le informazioni mi suggerisce che potresti avere motivi molto diversi. Per lo meno trovo la tua posizione altamente discutibile.

Dato che finora non hai fatto nulla, se inizi a intraprendere qualsiasi tipo di azione, potresti esporsi a possibili azioni legali. Le leggi variano da luogo a luogo, ma dove sono io, se qualcuno è caduto vittima del furto di dati attraverso i meccanismi che hai descritto e solo ora agisci, sei effettivamente un partecipante consapevole attraverso la tua precedente inazione. L'unico corso sicuro per te personalmente è lasciarlo cadere.

Se ti occupi di "audit di sicurezza", estrarre le informazioni e venderle è fuori discussione. L'inferno, il fatto che tu abbia anche posto quella domanda, mi fa riflettere sulla tua etica e certamente mi farebbe domande se tu fossi o meno giusto per il mio team di sicurezza.

Detto questo, hai fatto il tuo lavoro. Sei stato assunto per fare un controllo di sicurezza e l'hai fatto. La società è stata informata dei risultati per iscritto? Come altri hanno già detto, non è possibile forzare un'azienda a colmare le falle nella sicurezza. La domanda etica è imparare da questo audit e andare avanti.

Se sei preoccupato di fare il tuo lavoro correttamente, hai fatto il tuo lavoro. Solo perché nessuno agisce in base ai tuoi consigli non riflette su di te.

Tuttavia, se sei legittimamente preoccupato che i loro clienti siano vittime di un furto di identità o di una carta di credito, direi di contattare il dipartimento di reclamo FTC . (Supponendo che tu sia negli Stati Uniti. In caso contrario, il tuo paese probabilmente ha un dipartimento governativo simile.)

Ho fatto alcuni semestri in Etica, ed è davvero una domanda difficile.

Chiedere qui una risposta "Cosa dovrei fare" non ti darà mai una risposta "corretta", tutto ciò che otterrai sono risposte che rafforzano o vanno contro i tuoi sentimenti personali sulla questione.

Inoltre, tutte le risposte che otterrai qui saranno fortemente influenzate dalle azioni o decisioni passate delle persone, dove vivono, dove sono cresciute, le loro leggi e costumi locali. Quindi, anche se si sono trovati nella stessa situazione in cui sei stato, la loro esperienza potrebbe essere completamente diversa.

La risposta breve è: Hai bisogno di fare ciò che TU ritieni sia giusto. Chiaramente credi che l'inazione non sia la cosa giusta da fare. Se non lo facessi, non te lo chiederei.

Personalmente, non sono d'accordo con tutti coloro che dicono "Rilascialo" o "Hai fatto il tuo lavoro". Sembra un'opinione popolare ogni volta che l'etica è spuntata su ServerFault. E non è una risposta sbagliata , non è solo la mia risposta.