Cosa fare se si trova una vulnerabilità nel sito di un concorrente?


37

Mentre lavoravo a un progetto per la mia azienda, avevo bisogno di creare funzionalità che consentissero agli utenti di importare / esportare dati da / verso il sito del nostro concorrente. Nel fare ciò, ho scoperto un grave exploit di sicurezza che, in breve, poteva eseguire qualsiasi script sul sito Web della concorrenza.

La mia sensazione naturale è di riferire loro il problema nello spirito di buona volontà. Sfruttare il problema per ottenere un vantaggio mi è passato per la testa, ma non voglio percorrere quella strada.

Quindi la mia domanda è: segnaleresti una grave vulnerabilità alla tua concorrenza diretta, al fine di aiutarli? O manterresti la bocca chiusa? Esiste un modo migliore per farlo, forse per trarre almeno un vantaggio dal fatto che li sto aiutando segnalando il problema?

Aggiornamento (chiarimento) :

Grazie per tutto il tuo feedback finora, lo apprezzo. Le tue risposte cambieranno se dovessi aggiungere che la concorrenza in questione è un colosso del mercato (centinaia di dipendenti in diversi continenti) e la mia azienda è iniziata solo poche settimane fa (tre dipendenti)? Inutile dire che sicuramente non si ricorderanno di noi, e semmai si rendono conto che il loro sito ha bisogno di lavoro (motivo per cui siamo entrati in questo mercato in primo luogo).

Questo potrebbe essere uno di quei rastrellamenti morali contro affari, ma apprezzo tutti i consigli.


4
Dipende dal fatto che tu sia morale o amorale.
dietbuddha,

5
Segnalalo in modo anonimo da un indirizzo e-mail usa e getta da dietro un proxy senza alcun legame con il tuo attuale posto di lavoro.
Giobbe

14
Perché le dimensioni dell'azienda influiscono su ciò che costituisce un comportamento etico?
JohnFx,

6
C'è un piccolo aneddoto su un ragazzo che ha cercato di vendere a Pepsi alcuni segreti di Coca Cola ... Pepsi lo ha chiamato alla polizia. Non importa quanto intense possano essere le rivalità, la concorrenza dovrebbe sempre basarsi su pratiche commerciali eque ed etiche. Se voi ragazzi state meglio, li batterete indipendentemente da quanto siano grandi o trincerati. Potrebbe non accadere durante la notte, ma guarda le guerre del browser. Lentamente ma sicuramente le alternative stanno portando via la condivisione da IE anche con IE preinstallato!
Chris Thompson,

@JohnFx +1: spot on question signore! Potremmo anche usare lo stesso argomento se la situazione fosse invertita: "la mia azienda è un colosso consolidato e rispettato e la loro è solo una piccola impresa che probabilmente fallirebbe prima o poi comunque". Indipendentemente dalle dimensioni relative delle aziende, l'etica è la stessa.
bedwyr,

Risposte:


63

Anche se mi piacerebbe vivere in un mondo in cui sarebbe perfettamente sicuro semplicemente rilasciarli una nota per farli sapere, suggerirei prima di coinvolgere il vostro ufficio legale. Realisticamente, è del tutto possibile che per quanto ben intenzionato sia il tuo bug report, qualcuno nell'organizzazione del concorrente lo interpreterà come "il nostro concorrente ha appena pagato uno dei suoi dipendenti per hackerare il nostro sito". Tale percezione potrebbe creare problemi legali o di pubbliche relazioni sia per te che per la tua azienda. Coinvolgere il dipartimento legale nella notifica dovrebbe aiutare a proteggere tutti dall'apparenza di inadeguatezza. Naturalmente, ciò crea la possibilità che l'ufficio legale concluda che la notifica al concorrente crea un rischio legale inaccettabile e ti dice solo di sederti sulle informazioni. Ma quello'


Con ogni probabilità diranno di seguirlo, ma conosceranno l'approccio migliore per farlo senza esporre te o la tua azienda a progetti legali legali indesiderati.
HorusKol,

Se l'ufficio legale dice di no, andrei con l'idea di email anonima. E se dicono di sì, assicurati che il tuo nome sia lì da qualche parte!
Benjol,

17
Certo, trovare un "dipartimento legale" in una compagnia di tre persone sarà piuttosto difficile, immagino :)
Benjol,

@Benjol Vero, ma in questi casi hai sicuramente bisogno di consulenza legale. Anche se non possono accusarti di aver violato il loro sito, possono comunque affermare che la tua lettera era minacciosa e che hai provato a ricattarli.
biziclop,

9
Mi fa male essere d'accordo con questa risposta. È un triste commento alla società quando sono necessari avvocati per la segnalazione di un bug del codice.
jdl

30

Questo suonerà terribile (almeno rispetto alla maggior parte delle risposte qui) ma, ecco i miei 2 centesimi:

Perché dovresti fare qualcosa al riguardo?

Per prima cosa, hanno già dipendenti che dovrebbero svolgere quel tipo di lavoro (trovare problemi e risolverli).

In secondo luogo, il modo in cui hai formulato la tua domanda fa sembrare che si tratti di una sorta di dilemma morale. Non è. Non hai fatto nulla per causare quel problema in primo luogo.

In terzo luogo, stai competendo contro di loro. Dovresti concentrarti sul rendere ** IL TUO prodotto il migliore che ci sia, non il loro.

Se hai ancora dei dubbi, torna al punto 2 e rileggilo.


9
+1 per essere realistici. Non fare nulla di illegale, certo. Immorale? Negli affari, non c'è morale o immorale. La società non ha un concetto di moralità.
Assapora Ždralo il

3
@HorusKol - il +1 non pagherà salari e costi per l'azienda. Tuttavia, offrire un prodotto migliore rispetto alla concorrenza.
Jas,

4
-1. Questo tipo di pensiero è un classico esempio della tragedia dei Comuni. Le falle nella sicurezza sono un problema per tutti.
Mason Wheeler,

6
@Mason Wheeler: La tragedia dei beni comuni è un dilemma derivante dalla situazione in cui più individui, agendo in modo indipendente e consultando razionalmente il proprio interesse personale, alla fine esauriranno una risorsa limitata condivisa anche quando è chiaro che non appartiene a nessuno interesse a lungo termine affinché ciò accada. Non vedo come questo sia applicabile qui.
user17610

3
Francamente sono scioccato dal fatto che tu suggerisca di non dire al tuo concorrente del loro bug di sicurezza. Perché non presentare una segnalazione di bug sotto forma di comunicato stampa o e-mail promozionale. Tale segnalazione di bug dovrebbe notare l'assenza di detto bug nel prodotto e le potenziali implicazioni per gli utenti.
emory

22

Esiste una linea sottile tra l'esplorazione delle vulnerabilità e lo spionaggio industriale, e poiché sei affiliato con il tuo datore di lavoro, il concorrente può considerarlo quest'ultimo.

Se lo segnalate e c'è un incubo legale / pubblicitario, sarete il capro espiatorio.

Parla con il tuo ufficio legale e lascia che lo gestiscano come meglio crede: c'è una ragione per cui fanno molto di più degli ingegneri.


20

Un meccanismo alternativo, non ancora suggerito da AFAICS, per ottenere le informazioni al proprio concorrente senza rischi per la propria azienda è quello di far conoscere una delle varie società di segnalazione delle vulnerabilità e chiedere loro di segnalarle al proprio concorrente. Loro (la società di segnalazione delle vulnerabilità) manterrebbero il tuo nome fuori dal rapporto - saresti anonimo per il tuo concorrente. Una di queste società è Zero Day Initiative , ZDI - ce ne sono molte altre.


11

Perdilo ai media, ovviamente in modo anonimo, quindi offri una rapida migrazione ai clienti della concorrenza. Questo potrebbe sembrare un colpo basso, ma considera questo, non c'è nulla di illegale o non etico in quello che stai facendo, inoltre considera che è un mondo di cani che mangiano cani in SW e come David che va contro Goliath avrai bisogno di tutta la leva. Ricorda, non è personale, è strettamente commerciale . Ti farebbero lo stesso in un batter d'occhio.

(FWIW Mi aspetto pienamente che questa risposta sia sottovalutata, ma va bene perché quello che sto dicendo è la verità seppur severa.)


Mi sembra buono: li informi e fai un profitto allo stesso tempo. Tuttavia, c'è la possibilità che vengano spuntati e inizino a cercare vulnerabilità nel tuo sito.
apoorv020,

@apoorv Significa solo che sei diventato abbastanza grande da preoccupare Golia :-).
Gaurav,

Non capisco perché usare le parole "perdita" e "in modo anonimo". L'OP non ha fatto nulla di sbagliato o immorale
emory

@ apporv020 dovresti presumere che (e molti altri) stiano costantemente pescando le tue vulnerabilità nel sito 4.
emory

Dal momento che è una società "behemoth" nel tuo mercato, qualcosa da considerare è come reagiranno i clienti del tuo mercato se la vulnerabilità è ampiamente segnalata dai media. Risponderebbero con "Se non posso fidarmi dei miei dati con << behemoth company >> dovrei farlo?" La risposta a ciò può aiutare a determinare quanto pubblico vuoi che sia il tuo rapporto di vulnerabilità. Le tue azioni possono influenzare la percezione del tuo mercato nel suo insieme.
Zusukar,

8

Cosa vorresti che facessero se trovassero una vulnerabilità di sicurezza nel tuo software? Questa dovrebbe essere la prima domanda che fai. Se la risposta è "Lo apprezzerei davvero se me lo dicessero", beh, allora hai la tua risposta!

Non importa che siano un'azienda gigante o un negozio per tre persone, e non importa che tu sia un negozio per tre persone o un'azienda gigante. Come è stato detto, la tua reputazione è tutto, specialmente in questa piccola comunità nota come software.


3
Fare il contrario di ciò che la concorrenza vuole una normale strategia aziendale?
user17610,

@ user17610 - Immagino che dipende dalla situazione ... non riesco a fare una dichiarazione generale e prendere tutte le tue decisioni. Se la tua competizione vuole fare carichi di denaro in barca, hai intenzione di fare il contrario?
Jesse McCulloch,

No, allora farò in modo che non facciano carichi di denaro;)
user17610,

2
+1 per "cosa vorresti che facessero se trovassero la vulnerabilità nel tuo software?"
Craige,

-1: Vorrei che me lo dicessero, perché successivamente accusarli di spionaggio industriale aiuterà a corrodere la loro quota di mercato! Non assumere mai benevolenza nel tuo concorrente ...
recursion.ninja,

8

Se stai importando / esportando dati tra i loro sistemi e i tuoi, la loro vulnerabilità di sicurezza potrebbe facilmente diventare tua vulnerabilità di sicurezza.

Ti consigliamo di coprire il sedere tecnologicamente e legalmente. Assicurati che venga risolto, ma assicurati che il tuo ufficio legale abbia una mano nel notificarli.


5

Ovviamente, faglielo sapere.

Se "dalla bontà del tuo cuore" non è un motivo abbastanza buono, considera che stai implementando questa funzione come un vantaggio per i tuoi clienti. Stai proteggendo indirettamente i loro dati segnalando questo errore.



0

Personalmente direi loro.

Altre persone hanno sottolineato i possibili problemi PR / legali e se dopo aver parlato con un layer o un agente PR ti è stato consigliato di non segnalarlo, lo farei ANCORA SEGNALANDO, ma in modo anonimo.

Sta facendo un favore ai tuoi potenziali clienti, aiutando a proteggere i loro dati.


Sì: posta anonima a seclists.org/fulldisclosure , lui lui lui ...;)
Henrik

@Downvoter, qualche commento sul perché?
Dominique McDonnell,

0

In linea di principio, sono totalmente d'accordo con ciò che dice di più qui: intensificare e segnalarlo. Esiste un codice d'onore professionale come quello in mare: se una nave è nei guai, aiuti, non importa a chi appartiene.

Leggendo il tuo aggiornamento, tuttavia, probabilmente avrei deciso di non dirglielo a causa del rischio che l'azione ben intenzionata potesse essere presa nel modo sbagliato (come lo spionaggio industriale come dice @Uri), e portare a ostilità che sono molto più pericolose per il tuo negozio di tre uomini di quanto non lo saranno mai stati per loro.

Forse rilasciare una nota anonima; forse non fare nulla. Se sei David, non devi dire a Goliath che ha un'ape seduta sulla schiena.


-1

La natura, nonostante i suoi lati duri, ha le sue occasioni gentili. E li mette in scena senza pensarci due volte.

Il cane non mangia il cane. Piuttosto, le persone annoiate pagano per i combattimenti illegali di cani. E gli avvocati raccolgono i soldi. Compreso dal tuo capo. Più di quello che vuoi ora. Possono svuotare felicemente le startup senza battere ciglio.

Anche molto possibile, qualcuno di "concorrente" lo sa già. Portare notizie può significare più responsabilità che essere un semplice messaggero di passaggio. È meglio che parlare con i muri?

Business della sicurezza: molti server con grandi buchi sono online. questo server è un altro. Lavoro a tempo pieno per alcuni. Hai controllato i tuoi buchi? tutti loro ?

Guarda i tuoi passi.

I dati dei clienti sono l'ossessione importante.


2
Ok, ho letto questo post due volte - e non sono ancora sicuro di quale parte del dibattito stia sostenendo ... :)
Ciclope,

-1

Diglielo. Quindi invia il tuo curriculum. Potrebbero essere assunti. :)


18
Preferirei non lavorare per le persone che scrivono un codice così cattivo che 15 minuti di ispezione portano alla scoperta di una grave vulnerabilità;)
user17610

@ user17610: Ok, una variante modificata: diglielo e vedi se lo risolvono. Se non lo risolvono in tempo ragionevole, non inviare loro il tuo curriculum.
sharptooth,

-1

Diglielo! Lo è la cosa giusta da fare. Inoltre, cosa vorrebbero che facessero se tu fossi al loro posto?

Non puoi dare valore alla buona volontà che potrebbe derivarne.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.