Cosa fare se si trova una vulnerabilità nel sito di un concorrente?

Mentre lavoravo a un progetto per la mia azienda, avevo bisogno di creare funzionalità che consentissero agli utenti di importare / esportare dati da / verso il sito del nostro concorrente. Nel fare ciò, ho scoperto un grave exploit di sicurezza che, in breve, poteva eseguire qualsiasi script sul sito Web della concorrenza.

La mia sensazione naturale è di riferire loro il problema nello spirito di buona volontà. Sfruttare il problema per ottenere un vantaggio mi è passato per la testa, ma non voglio percorrere quella strada.

Quindi la mia domanda è: segnaleresti una grave vulnerabilità alla tua concorrenza diretta, al fine di aiutarli? O manterresti la bocca chiusa? Esiste un modo migliore per farlo, forse per trarre almeno un vantaggio dal fatto che li sto aiutando segnalando il problema?

Aggiornamento (chiarimento) :

Grazie per tutto il tuo feedback finora, lo apprezzo. Le tue risposte cambieranno se dovessi aggiungere che la concorrenza in questione è un colosso del mercato (centinaia di dipendenti in diversi continenti) e la mia azienda è iniziata solo poche settimane fa (tre dipendenti)? Inutile dire che sicuramente non si ricorderanno di noi, e semmai si rendono conto che il loro sito ha bisogno di lavoro (motivo per cui siamo entrati in questo mercato in primo luogo).

Questo potrebbe essere uno di quei rastrellamenti morali contro affari, ma apprezzo tutti i consigli.

Anche se mi piacerebbe vivere in un mondo in cui sarebbe perfettamente sicuro semplicemente rilasciarli una nota per farli sapere, suggerirei prima di coinvolgere il vostro ufficio legale. Realisticamente, è del tutto possibile che per quanto ben intenzionato sia il tuo bug report, qualcuno nell'organizzazione del concorrente lo interpreterà come "il nostro concorrente ha appena pagato uno dei suoi dipendenti per hackerare il nostro sito". Tale percezione potrebbe creare problemi legali o di pubbliche relazioni sia per te che per la tua azienda. Coinvolgere il dipartimento legale nella notifica dovrebbe aiutare a proteggere tutti dall'apparenza di inadeguatezza. Naturalmente, ciò crea la possibilità che l'ufficio legale concluda che la notifica al concorrente crea un rischio legale inaccettabile e ti dice solo di sederti sulle informazioni. Ma quello'

Questo suonerà terribile (almeno rispetto alla maggior parte delle risposte qui) ma, ecco i miei 2 centesimi:

Perché dovresti fare qualcosa al riguardo?

Per prima cosa, hanno già dipendenti che dovrebbero svolgere quel tipo di lavoro (trovare problemi e risolverli).

In secondo luogo, il modo in cui hai formulato la tua domanda fa sembrare che si tratti di una sorta di dilemma morale. Non è. Non hai fatto nulla per causare quel problema in primo luogo.

In terzo luogo, stai competendo contro di loro. Dovresti concentrarti sul rendere ** IL TUO prodotto il migliore che ci sia, non il loro.

Se hai ancora dei dubbi, torna al punto 2 e rileggilo.

Esiste una linea sottile tra l'esplorazione delle vulnerabilità e lo spionaggio industriale, e poiché sei affiliato con il tuo datore di lavoro, il concorrente può considerarlo quest'ultimo.

Se lo segnalate e c'è un incubo legale / pubblicitario, sarete il capro espiatorio.

Parla con il tuo ufficio legale e lascia che lo gestiscano come meglio crede: c'è una ragione per cui fanno molto di più degli ingegneri.

Un meccanismo alternativo, non ancora suggerito da AFAICS, per ottenere le informazioni al proprio concorrente senza rischi per la propria azienda è quello di far conoscere una delle varie società di segnalazione delle vulnerabilità e chiedere loro di segnalarle al proprio concorrente. Loro (la società di segnalazione delle vulnerabilità) manterrebbero il tuo nome fuori dal rapporto - saresti anonimo per il tuo concorrente. Una di queste società è Zero Day Initiative , ZDI - ce ne sono molte altre.

Perdilo ai media, ovviamente in modo anonimo, quindi offri una rapida migrazione ai clienti della concorrenza. Questo potrebbe sembrare un colpo basso, ma considera questo, non c'è nulla di illegale o non etico in quello che stai facendo, inoltre considera che è un mondo di cani che mangiano cani in SW e come David che va contro Goliath avrai bisogno di tutta la leva. Ricorda, non è personale, è strettamente commerciale . Ti farebbero lo stesso in un batter d'occhio.

(FWIW Mi aspetto pienamente che questa risposta sia sottovalutata, ma va bene perché quello che sto dicendo è la verità seppur severa.)

Cosa vorresti che facessero se trovassero una vulnerabilità di sicurezza nel tuo software? Questa dovrebbe essere la prima domanda che fai. Se la risposta è "Lo apprezzerei davvero se me lo dicessero", beh, allora hai la tua risposta!

Non importa che siano un'azienda gigante o un negozio per tre persone, e non importa che tu sia un negozio per tre persone o un'azienda gigante. Come è stato detto, la tua reputazione è tutto, specialmente in questa piccola comunità nota come software.

Se stai importando / esportando dati tra i loro sistemi e i tuoi, la loro vulnerabilità di sicurezza potrebbe facilmente diventare tua vulnerabilità di sicurezza.

Ti consigliamo di coprire il sedere tecnologicamente e legalmente. Assicurati che venga risolto, ma assicurati che il tuo ufficio legale abbia una mano nel notificarli.

Ovviamente, faglielo sapere.

Se "dalla bontà del tuo cuore" non è un motivo abbastanza buono, considera che stai implementando questa funzione come un vantaggio per i tuoi clienti. Stai proteggendo indirettamente i loro dati segnalando questo errore.

C'è solo una scelta onorevole. Diglielo.

Personalmente direi loro.

Altre persone hanno sottolineato i possibili problemi PR / legali e se dopo aver parlato con un layer o un agente PR ti è stato consigliato di non segnalarlo, lo farei ANCORA SEGNALANDO, ma in modo anonimo.

Sta facendo un favore ai tuoi potenziali clienti, aiutando a proteggere i loro dati.

In linea di principio, sono totalmente d'accordo con ciò che dice di più qui: intensificare e segnalarlo. Esiste un codice d'onore professionale come quello in mare: se una nave è nei guai, aiuti, non importa a chi appartiene.

Leggendo il tuo aggiornamento, tuttavia, probabilmente avrei deciso di non dirglielo a causa del rischio che l'azione ben intenzionata potesse essere presa nel modo sbagliato (come lo spionaggio industriale come dice @Uri), e portare a ostilità che sono molto più pericolose per il tuo negozio di tre uomini di quanto non lo saranno mai stati per loro.

Forse rilasciare una nota anonima; forse non fare nulla. Se sei David, non devi dire a Goliath che ha un'ape seduta sulla schiena.

La natura, nonostante i suoi lati duri, ha le sue occasioni gentili. E li mette in scena senza pensarci due volte.

Il cane non mangia il cane. Piuttosto, le persone annoiate pagano per i combattimenti illegali di cani. E gli avvocati raccolgono i soldi. Compreso dal tuo capo. Più di quello che vuoi ora. Possono svuotare felicemente le startup senza battere ciglio.

Anche molto possibile, qualcuno di "concorrente" lo sa già. Portare notizie può significare più responsabilità che essere un semplice messaggero di passaggio. È meglio che parlare con i muri?

Business della sicurezza: molti server con grandi buchi sono online. questo server è un altro. Lavoro a tempo pieno per alcuni. Hai controllato i tuoi buchi? tutti loro ?

Guarda i tuoi passi.

I dati dei clienti sono l'ossessione importante.

Diglielo. Quindi invia il tuo curriculum. Potrebbero essere assunti. :)

Diglielo! Lo è la cosa giusta da fare. Inoltre, cosa vorrebbero che facessero se tu fossi al loro posto?

Non puoi dare valore alla buona volontà che potrebbe derivarne.