Etyczne zaniepokojenie związane z nieujawnieniem bezpieczeństwa [zamknięte]

Trzy lata temu przeprowadziłem audyt bezpieczeństwa dla dużej witryny e-commerce. Podczas przeprowadzania audytu znalazłem kilka poważnych problemów bezpieczeństwa, które umożliwiają dostęp do danych, które nie powinny być dostępne po zakończeniu transakcji. Na tej stronie istnieje kilka głównych zagrożeń. Po pierwsze, możesz zobaczyć zamówienia przychodzące przez system w czasie rzeczywistym; wszystkie transakcje są przetwarzane ręcznie przez tę firmę. Jeśli zobaczysz transakcję, zobaczysz nazwę, adres i miejsce wysyłki. Widzę tutaj dwa punkty nadużycia: 1 - możesz po prostu edytować adres na adres i wysłać przesyłkę do siebie, a 2 - możesz zadzwonić do użytkownika zaraz po złożeniu zamówienia i zrobić „telefoniczne potwierdzenie”, aby uzyskać dostęp do informacji o karcie kredytowej z podstawową socjotechniką.

Możesz także, przy odrobinie pracy, zrzucić informacje CC i numery identyfikacyjne zamówienia, a następnie po prostu dopasować identyfikator zamówienia i informacje o użytkowniku.

Wszystko to poprzez użycie funkcji ujawnionych na ich stronie i modyfikację kilku wartości. Tak, jestem niejasny z jakiegoś powodu.

Dyrektor marketingu w tej firmie został ostrzeżony o tych zagrożeniach trzy lata temu i nie zrobił nic, aby je skorygować. Nie wątpię, że jeśli uda mi się to znaleźć, inni też. Ta strona wykonuje 88 000 transakcji rocznie i ma wszystkie zamówienia przetwarzane w dalszym ciągu w danych i dostępne.

Pytanie etyczne… co mam zrobić? Mojej firmie to nie obchodzi… więc nie mogę uzyskać pomocy. Jeśli skontaktuję się z facetem od marketingu, on po prostu dalej będzie osłaniał tyłek i osły ich niekompetentnego zespołu ds. Rozwoju wewnętrznego (cold fusion). Czy kontaktuję się z kimś wyżej? Czy obchodzę moją firmę? Czy po prostu wydobywam dane i sprzedaję je konkurentowi bez informacji CC? Co mam zrobić, wiedząc o tym? Dokucza mi to i nie mogę odpuścić. To tylko jedna z wielu znanych mi stron, ale łatwość dostępu i duży ruch sprawiają, że dużo się nad tym zastanawiam.

Był czas, w którym zasugerowałem podjęcie heroicznych działań w celu rozwiązania tej sytuacji. Od tego czasu nauczyłem się lepiej - nie możesz zmusić kogoś do działania w ich najlepszym interesie. Takie postępowanie często ma dla ciebie niezamierzone konsekwencje, które mogą być nieprzyjemne.

Pomyśl o tym ... masz

• Poinformowano firmę za pomocą raportu z audytu
• Poinformował kierownictwo

Więc jeśli pójdziesz i zadzwonisz do dyrektora generalnego w domu, zrobiłeś teraz końcowy bieg wokół swojego kierownictwa i stworzyłeś sytuację, w której wewnętrzni ludzie, którzy robią CYA, uczynią cię złoczyńcą. Dyrektor naczelny wysłucha swoich niekompetentnych pracowników bardziej niż przypadkowy konsultant, który przeprowadził audyt 3 lata temu.

Moja rada: idź napić się piwa lub cokolwiek lubisz robić i nigdy więcej nie odwiedzaj strony.

Po pierwsze - nie sprzedajesz tego, co wiesz, to z pewnością nieetyczne i może być nielegalne :)

Moja druga rada to pójść do szefa Marketing Guy, aż do dyrektora generalnego tej firmy. Jeśli pracujesz dla grupy kontrolnej, nie obchodzi ich, co firma robi z informacjami, tylko to, że musieli przede wszystkim sprzedać usługę.

Po trzecie, jeśli to naprawdę to nic wielkiego, być może uda się rozpocząć anonimowy (lub nieanonimowego) Marketing / bojkot kampanię dotyczącą niepewności na miejscu, bez faktycznie ich naruszania.

Ale lepiej niż poprosić grupę administratorów, by porozmawiać z renomowanym prawnikiem :)

Zostałeś zatrudniony do przeprowadzenia audytu, więc Twoim obowiązkiem jest poinformowanie klienta o wynikach audytu. To, co robią, to ich sprawa. Zdecydowali o ryzyku a koszcie zmiany. Nie ty. Jeśli mają poważny problem z bezpieczeństwem i otrzymujesz wezwanie do sądu, możesz zaświadczyć o wynikach audytu (3 lata temu). To tyle, ile masz obowiązków.

Mam dla ciebie wieści. Zdecydowana większość firm przetwarza dane klientów w niepewny sposób, na takim czy innym poziomie. Ile DBA ma pełny dostęp do wszystkich danych klientów? Niewiele firm prowadzi Oracle Vault.

„Czy po prostu wydobywam dane i sprzedaję je konkurentowi bez informacji CC?”

Tylko jeśli chcesz iść do więzienia.

Możesz być na naprawdę cienkim lodzie, jeśli coś ujawnisz. Możesz mieć z tego powodu poważne kłopoty.

Istnieje powód, dla którego firmy zawierają rygorystyczne umowy między sobą w przypadku zawarcia pentestingu. Firma pentestująca potrzebuje wszelkiej możliwej ochrony. Ujawnienie informacji, których nie powinieneś i będziesz mógł pozwać lub ścigać.

Powiedzmy, że idziesz do szefa marketingu faceta. Szef zaciska się na facecie od marketingu. Facet od marketingu zaczyna zakrywać tyłek. Może przekonać szefa, że ​​aby uzyskać te informacje, musiałeś zrobić coś nielegalnego lub podobnego. Nawet jeśli w końcu wygrasz, możesz być w sądzie przez długi czas.

Jeśli nie chcą brać tego na poważnie przy pierwszym podejściu, zmuszenie ich do poważnego potraktowania najprawdopodobniej wpędzi cię w kłopoty.

Upuść to dla własnego dobra.

EDYCJA: Ponadto, jeśli pierwotna umowa na audyt bezpieczeństwa obejmuje określone osoby, o których możesz tylko poinformować, poinformowanie innych osób w tej samej firmie, nieobjętych umową, może wpędzić cię w kłopoty.

O ile widzę, wykonałeś swoją pracę. Przeprowadziłeś audyt i przekazałeś wyniki odpowiedniej osobie we władzy. Moja rada to po prostu się wycofać, nic więcej nie możesz zrobić. Oczywiście dylemat polega na tym, że niewinni klienci mogą być narażeni na ciągłe słabości bezpieczeństwa, ale tak naprawdę to nie jest twój problem? Nie możesz ponosić odpowiedzialności za jakąkolwiek jej część poza zakresem pracy.

Z pewnością nie ujawniasz tych informacji i na pewno nie sprzedajesz ich osobom postronnym.

Jest tu coś , czego nie rozumiem ... trzy lata temu? Jeśli przeprowadziłeś audyt 3 lata temu, dlaczego wciąż o tym myślisz? Czy czujesz się tak źle z tego powodu, czy też niepewna firma nadal zleca firmie usługi bezpieczeństwa / audytu?

To ważne pytanie, ponieważ jeśli od 3 lat nie prowadzisz żadnej firmy z tą firmą, od razu odejdę. Byłoby bardzo dziwnie, gdybyś pojawił się ponownie po 3 latach i zaczął krytykować. Jeśli to było 3 lata temu, wtedy miałeś wtedy szansę i nie wziąłeś jej. A teraz odejdź.

Jeśli twoja firma nadal prowadzi interesy z niepewną firmą , proponuję uzbroić własnego szefa w wysłanie im listu razem. Twój szefowi się to nie spodoba; ale dla ciebie jest znacznie lepiej, jeśli list pochodzi od ciebie, a nie od ciebie. Wyślij go kurierem do szefa menedżerów marketingu (CEO). Zachowaj uprzejmość, utrzymuj niejasność, a przede wszystkim obejmuj swoją własną firmę **, i powołuj się na decyzje menedżerów ds. Marketingu, które są tak daleko poza przyjętymi standardami branżowymi, że czujesz się zmuszony, by przejść nad jego głową. Twoim celem nie jest powiedzenie wszystkiego, Twoim celem jest objęcie ochroną własnej firmy ** i doprowadzenie do tego, że inny CEO będzie na tyle wściekły, aby poprosić o kopię oryginalnego raportu.

Omówienie szefów marketingu to najsilniejszy ruch, jaki mogę w jakikolwiek sposób polecić. I jest naprawdę dość silny i niechciany. Zostałeś zatrudniony w celu wydania ekspertyzy na temat jednego aspektu; nie prowadzić firmy.

W dość smutnej notatce na stronie: nierzadko widuje się nieetyczne lub zwyczajnie niekompetentnych ludzi biznesu. Czasami mogą zatrudniać audytorów bezpieczeństwa bez zamiaru korzystania z ustaleń; z zamiarem powiedzenia, że ​​zostali poddani audytowi przez znaną firmę ochroniarską X. Jest to oczywiście smutne i obraźliwe - ale jest prawdziwe i musisz się przyzwyczaić, jeśli chcesz pracować w audycie bezpieczeństwa.

Z drugiej strony musisz wziąć pod uwagę swoją odpowiedzialność za niewystarczające poinformowanie klienta o ryzyku. Musisz wziąć pod uwagę, jaki rodzaj błędów i przeoczeń obejmuje Twoja firma. Mówisz, że twojej firmie to nie obchodzi, ale założę się, że jeśli zostanie pozwany przez klienta, wniesiony przeciwko niemu przez jednego z jego klientów, zwróci uwagę wszystkich.

3 lata temu wykonałeś pracę, za którą prawdopodobnie otrzymałeś wynagrodzenie. Jeśli wykonałeś wszystkie wymagane kroki w wykonywaniu tego zadania, to Twoje zadanie zostało wykonane. Nad. Skończone.

Mam poważne problemy ze zrozumieniem, dlaczego miałeś 3 lata, aby coś z tym zrobić, a czego nie zrobiłeś. Nie brzmi to dla mnie tak, jakbyś miał problemy etyczne. W rzeczywistości twoje wspomnienie o sprzedaży informacji sugeruje mi, że możesz mieć całkiem inne motywy. Przynajmniej uważam twoje stanowisko za bardzo wątpliwe.

Ponieważ do tej pory nic nie zrobiłeś, jeśli w ogóle zaczniesz podejmować jakiekolwiek działania, możesz narazić się na możliwe działania prawne. Przepisy różnią się w zależności od miejsca, ale gdzie jestem, jeśli ktoś padł ofiarą kradzieży danych za pośrednictwem opisanych przez ciebie mechanizmów, a dopiero teraz podejmujesz działania, w rzeczywistości jesteś świadomym uczestnikiem po poprzedniej bezczynności. Jedynym bezpiecznym kursem dla ciebie osobiście jest jego opuszczenie.

Jeśli zajmujesz się „audytami bezpieczeństwa”, wyszukiwanie informacji i ich sprzedaż nie wchodzi w rachubę. Do diabła, fakt, że zadałbyś to pytanie, zmusza mnie do zastanowienia się nad twoją etyką i na pewno sprawiłoby, że zastanawiałem się, czy byłbyś odpowiedni dla mojego zespołu bezpieczeństwa.

Powiedziawszy to, wykonałeś swoją pracę. Zostałeś zatrudniony do przeprowadzenia audytu bezpieczeństwa i zrobiłeś to. Czy firma została poinformowana o ustaleniach na piśmie? Jak powiedzieli inni, nie można zmusić firmy do zamknięcia luk bezpieczeństwa. Pytanie etyczne można wyciągnąć z tego audytu i przejść dalej.

Jeśli obawiasz się, że dobrze wykonujesz swoją pracę, wykonałeś ją. Tylko dlatego, że nikt nie działa na podstawie twoich zaleceń, nie dotyczy ciebie.

Jeśli jednak masz uzasadnione obawy, że ich klienci padną ofiarą kradzieży tożsamości lub karty kredytowej, skontaktuj się z działem skarg FTC . (Zakładając, że jesteś w USA. Jeśli nie, Twój kraj prawdopodobnie ma podobny departament rządowy.)

Zrobiłem kilka semestrów z etyki i to naprawdę trudne, trudne pytanie.

Zapytanie tutaj o odpowiedź „Co powinienem zrobić” nigdy nie da ci odpowiedzi „poprawnej”, wszystko, co otrzymasz, to odpowiedzi, które wzmacniają lub są sprzeczne z twoimi osobistymi odczuciami w tej sprawie.

Ponadto na wszystkie odpowiedzi, które tu otrzymacie, duży wpływ będą miały przeszłe działania lub decyzje narodów, ich miejsce zamieszkania, dorastanie, lokalne prawa i zwyczaje. Więc nawet jeśli byli w tej samej sytuacji, co ty, ich doświadczenie może być zupełnie inne.

Krótka odpowiedź brzmi: musisz zrobić to, co uważasz za słuszne. Wyraźnie wierzysz, że bezczynność jest niewłaściwa. Gdybyś tego nie zrobił, nie pytałbyś o to.

Ja osobiście nie zgadzam się ze wszystkimi, którzy mówią „upuść” lub „wykonałeś swoją pracę”. To wydaje się być popularną opinią, ilekroć etyka pojawiła się na ServerFault. I to nie jest zła odpowiedź, to po prostu nie moja odpowiedź.