Co zrobić, jeśli znajdziesz lukę w witrynie konkurenta?

37

Pracując nad projektem dla mojej firmy, musiałem zbudować funkcjonalność, która pozwoli użytkownikom importować / eksportować dane do / z witryny naszego konkurenta. Robiąc to, odkryłem bardzo poważny exploit bezpieczeństwa, który w skrócie mógłby wykonać dowolny skrypt na stronie internetowej konkurenta.

Moim naturalnym odczuciem jest zgłoszenie im problemu w duchu dobrej woli. Wykorzystałem ten problem, by zyskać przewagę, przyszło mi do głowy, ale nie chcę iść tą drogą.

Moje pytanie brzmi: czy zgodziłbyś się poważnie narazić swoją bezpośrednią konkurencję, aby im pomóc? A może trzymasz buzię na kłódkę? Czy istnieje lepszy sposób, aby to zrobić, być może, aby zyskać przynajmniej pewną korzyść z faktu, że pomagam im, zgłaszając problem?

Aktualizacja (wyjaśnienie) :

Dziękujemy za wszystkie dotychczasowe opinie. Doceniam to. Czy Twoje odpowiedzi zmieniłyby się, gdybym dodał, że omawiana konkurencja to gigant na rynku (setki pracowników na kilku kontynentach), a moja firma rozpoczęła działalność dopiero kilka tygodni temu (trzech pracowników)? Oczywiste jest, że na pewno nas nie zapamiętają, a jeśli już, to tylko zdają sobie sprawę, że ich strona potrzebuje pracy (dlatego właśnie weszliśmy na ten rynek).

To może być jedna z tych podróbek moralnych vs. biznesowych, ale doceniam wszystkie rady.

business security ethics vulnerabilities użytkownik17610
źródło
4
Zależy, czy jesteś moralny czy amoralny.
dietbuddha
5
Zgłoś to anonimowo z jednorazowego adresu e-mail spoza serwera proxy bez żadnych powiązań z bieżącym miejscem pracy.
Job
14
Dlaczego wielkość firmy ma wpływ na to, co stanowi etyczne zachowanie?
JohnFx
6
Jest mała anegdota o facecie, który próbował sprzedać Pepsi jakieś tajemnice z coli ... Pepsi zadzwoniła do niego na gliny. Bez względu na to, jak intensywna może być rywalizacja, konkurencja powinna zawsze opierać się na uczciwych i etycznych praktykach biznesowych. Jeśli jesteście lepsi, pokonasz ich bez względu na to, jak duże lub umocnione. Może się to nie zdarzyć w nocy, ale spójrz na wojny przeglądarek. Powoli, ale na pewno alternatywy zabierają udział IE, nawet gdy IE jest preinstalowany!
Chris Thompson
@JohnFx +1: spot na pytanie, proszę pana! Moglibyśmy nawet użyć tego samego argumentu, gdyby sytuacja uległa odwróceniu: „moja firma jest uznanym i szanowanym potworem, a ich jest tylko małą firmą, która prawdopodobnie prędzej czy później upadnie”. Niezależnie od względnej wielkości firm etyka jest taka sama.
bedwyr

Odpowiedzi:

63

Chociaż chciałbym mieszkać w świecie, w którym byłoby całkowicie bezpiecznie zostawić im wiadomość z informacją, sugeruję najpierw zaangażowanie działu prawnego. Realistycznie rzecz biorąc, jest całkiem możliwe, że niezależnie od tego, jak dobry jest twój raport o błędzie, ktoś w organizacji konkurenta zinterpretuje go jako „nasz konkurent właśnie zapłacił jednemu ze swoich pracowników za zhakowanie naszej witryny”. Takie postrzeganie może powodować problemy prawne lub PR dla Ciebie i Twojej firmy. Zaangażowanie działu prawnego w powiadomienie powinno pomóc chronić wszystkich przed pozorami niewłaściwości. Oczywiście stwarza to możliwość, że dział prawny doszedł do wniosku, że powiadomienie konkurenta stwarza niedopuszczalne ryzyko prawne i nakazuje ci po prostu usiąść na informacji. Ale to'

Justin Cave
źródło
Najprawdopodobniej powiedzą, że pójdą z tym - ale będą znali najlepsze podejście do tego, nie narażając ciebie ani twojej firmy na niechciane zaległości prawne.
HorusKol,
Jeśli dział prawny mówi „nie”, wybrałbym anonimowy pomysł na e-mail. A jeśli powiedzą tak, upewnij się, że gdzieś tam jest twoje imię!
Benjol,
17
Oczywiście, znalezienie „działu prawnego” w trzyosobowej firmie będzie dość trudne, wyobrażam sobie :)
Benjol
@Benjol Prawda, ale w takich przypadkach zdecydowanie potrzebujesz porady prawnej. Nawet jeśli nie mogą oskarżyć cię o włamanie się na ich stronę, mogą nadal twierdzić, że twój list groził, a ty próbowałeś ich szantażować.
biziclop
9
Boli mnie, aby zgodzić się z tą odpowiedzią. To smutny komentarz dla społeczeństwa, gdy do zgłoszenia błędu w kodzie potrzebni są prawnicy.
jdl
30

To zabrzmi okropnie (przynajmniej w porównaniu z większością odpowiedzi tutaj), ale oto moje 2 centy:

Dlaczego miałbyś coś z tym zrobić?

Po pierwsze, mają już pracowników, którzy powinni wykonywać taką pracę (znajdowanie problemów i ich rozwiązywanie).

Po drugie, sposób, w jaki sformułowałeś swoje pytanie, sprawia, że ​​brzmi to jak jakiś moralny dylemat. To nie jest. Nie zrobiłeś nic, aby spowodować ten problem.

Po trzecie, konkurujesz z nimi. Powinieneś skupić się na tym, aby ** TWÓJ produkt był najlepszy, a nie ich.

Jeśli nadal masz wątpliwości, wróć do mojego punktu nr 2 i przeczytaj go ponownie.

Jas
źródło
9
+1 za bycie realistą. Nie rób niczego nielegalnego, jasne. Niemoralny? W biznesie nie ma moralności ani niemoralności. Firma nie ma czegoś takiego jak koncepcja moralności.
Davor Ždralo
3
@HorusKol - +1 nie będzie płacić pensji i kosztów dla firmy. Jednak może zaoferować lepszy produkt niż twój konkurent.
Jas
4
-1. Ten sposób myślenia jest klasycznym przykładem Tragedii Gmin. Luki bezpieczeństwa są problemem wszystkich.
Mason Wheeler,
6
@Mason Wheeler: Tragedia dóbr wspólnych jest dylematem wynikającym z sytuacji, w której wiele osób, działając niezależnie i racjonalnie konsultując swoje własne interesy, ostatecznie uszczupli wspólne ograniczone zasoby, nawet jeśli jest jasne, że nie jest to niczyja długoterminowe odsetki, aby tak się stało. Nie rozumiem, jak to się tutaj stosuje.
user17610,
3
Szczerze mówiąc jestem zszokowany, że sugerowałbyś, aby nie mówić konkurentowi o swoim błędzie bezpieczeństwa. Dlaczego nie złożyć zgłoszenia błędu w formie komunikatu prasowego lub e-maila promocyjnego. Taki raport o błędzie powinien zwrócić uwagę na brak wspomnianego błędu w twoim produkcie i potencjalne konsekwencje dla użytkowników.
emory
22

Pomiędzy odkrywaniem słabych punktów a szpiegostwem przemysłowym istnieje cienka granica, a ponieważ jesteś związany ze swoim pracodawcą, konkurent może uznać to za to drugie.

Jeśli to zgłosisz i pojawi się koszmar legalny / PR, będziesz kozłem ofiarnym.

Porozmawiaj ze swoim działem prawnym i pozwól im zająć się tym, co uznają za stosowne - istnieje powód, dla którego robią o wiele więcej niż inżynierowie.

Uri
źródło
20

Alternatywnym mechanizmem, który nie został jeszcze zasugerowany AFAICS, dostarczania informacji konkurentowi bez ryzyka dla własnej firmy jest powiadomienie jednej z różnych firm raportujących podatności o usterce - i poproszenie ich o zgłoszenie tego konkurentowi. Oni (firma zgłaszająca luki w zabezpieczeniach) nie ujawnią Twojego nazwiska w raporcie - będziesz anonimowy dla swojego konkurenta. Jedną z takich firm jest Zero Day Initiative , ZDI - istnieje wiele innych.

Jonathan Leffler
źródło
11

Wyciek do mediów, oczywiście anonimowo, a następnie zaoferuj szybką migrację klientom konkurenta. Może to wydawać się niskim ciosem, ale weź to pod uwagę, nie ma nic nielegalnego ani nieetycznego w tym, co robisz, ponadto weź pod uwagę, że jest to świat psów jedzących psy w SW, a jako David idący przeciwko Goliatowi będziesz potrzebował całej dźwigni. Pamiętaj, że to nie jest sprawa osobista, to ściśle biznes . Zrobiliby to samo w mgnieniu oka.

(FWIW W pełni oczekuję, że ta odpowiedź zostanie odrzucona, ale to OK, ponieważ to, co mówię, jest prawdą, choć trudną).

Gauraw
źródło
Wydaje mi się to dobre: ​​powiadamiasz ich i jednocześnie osiągasz zysk. Istnieje jednak szansa, że ​​zostaną odznaczone i zaczną szukać luk w Twojej witrynie.
apoorv020
@apoorv Będzie to oznaczało tylko, że stałeś się wystarczająco duży, aby martwić się Goliatem :-).
Gaurav
Nie rozumiem, dlaczego używam słów „wyciek” i „anonimowo”. OP nie zrobił nic złego ani niemoralnego
emory
@ apporv020 należy założyć, że (i cała masa innych osób) stale wyszukują luki w witrynie 4.
emory
Ponieważ jest to „gigantyczna” firma na twoim rynku, należy wziąć pod uwagę, jak zareagują klienci twojego rynku, jeśli luka zostanie szeroko zgłoszona w mediach. Czy odpowiedzieliby „Jeśli nie mogę zaufać swoim danym w << behemoth company >>, czy powinienem to robić w ogóle?” Odpowiedź na to pytanie może pomóc określić, jak upubliczniony ma być twój raport podatności. Twoje działania mogą wpłynąć na postrzeganie twojego rynku jako całości.
Zusukar
8

Co chciałbyś, aby zrobili, gdyby znaleźli lukę w zabezpieczeniach twojego oprogramowania? To powinno być pierwsze pytanie, które zadajesz. Jeśli odpowiedź brzmi „Byłbym bardzo wdzięczny, gdyby mi powiedzieli”, to masz swoją odpowiedź!

Nie ma znaczenia, że ​​jest to gigantyczna firma lub sklep trzyosobowy i nie ma znaczenia, że ​​jesteś trzyosobowym sklepem lub gigantyczną firmą. Jak już powiedziano, Twoja reputacja jest wszystkim, szczególnie w tej małej społeczności znanej jako oprogramowanie.

Jesse McCulloch
źródło
3
Czy nie robi się odwrotnie niż konkurencja chce normalnej strategii biznesowej?
user17610
@ user17610 - Wydaje mi się, że to zależy od sytuacji ... nie mogę złożyć ogólnego oświadczenia i przez to podejmować wszystkich decyzji. Jeśli twoja konkurencja chce zarobić mnóstwo pieniędzy, czy zrobisz coś przeciwnego?
Jesse McCulloch
Nie, więc
upewnię się
2
+1 za „co chcesz, aby zrobili, gdyby odkryli lukę w twoim oprogramowaniu?”
Craige
-1: Chciałbym, żeby mi to powiedzieli, ponieważ późniejsze oskarżenie ich o szpiegostwo przemysłowe pomoże skorodować ich udział w rynku! Nigdy nie zakładaj życzliwości u swojego konkurenta ...
recursion.ninja,
8

Jeśli importujesz / eksportujesz dane między ich systemami a własnym, ich luka w zabezpieczeniach może łatwo stać się twoją luką w zabezpieczeniach.

Będziesz chciał pokryć swój tyłek technologicznie i prawnie. Upewnij się, że problem został naprawiony, ale upewnij się, że Twój dział prawny pomaga w ich powiadomieniu.

Ben L.
źródło
5

Oczywiście, daj im znać.

Jeśli „z dobroci serca” nie jest wystarczającym powodem, zastanów się, czy wdrażasz tę funkcję jako korzyść dla własnych klientów. Pośrednio chronisz ich dane, zgłaszając ten błąd.

jdl
źródło
2

Jest tylko jeden honorowy wybór. Powiedz im.

Eric King
źródło
0

Osobiście powiedziałbym im.

Inne osoby zwróciły uwagę na możliwe problemy PR / prawne, a jeśli po rozmowie z warstwą lub agentem PR radzisz nie zgłaszać tego, NADAL ZROBIŁEM TO, ale anonimowo.

Robi to potencjalnym klientom przysługę, pomagając chronić ich dane.

Dominique McDonnell
źródło
Tak: anonimowa poczta na seclists.org/fulldisclosure , on he on ...;)
Henrik
@Downvoter, jakieś uwagi, dlaczego?
Dominique McDonnell,
0

Zasadniczo całkowicie zgadzam się z tym, co większość tutaj mówi: zintensyfikuj i zgłoś to. Istnieje profesjonalny kodeks honorowy jak na morzu: jeśli statek ma kłopoty, pomagasz, bez względu na to, do kogo należy.

Jednak czytając twoją aktualizację, prawdopodobnie zdecydowałbym się nie mówić im z powodu ryzyka, że ​​dobrze intencjonalne działania mogą zostać podjęte w niewłaściwy sposób (tak szpiegostwo przemysłowe, jak mówi @Uri) i prowadzić do działań wojennych, które są znacznie bardziej niebezpieczne dla wasz trzyosobowy sklep niż oni będą dla nich.

Może upuść anonimową notatkę; może w ogóle nic nie robić. Jeśli jesteś Dawidem, nie musisz mówić Goliatowi, że ma pszczołę siedzącą na plecach.

Pekka 웃
źródło
-1

Natura, mimo trudnych stron, ma swoje miłe okazje. I odtwarza je bez zastanowienia.

Pies nie je psa. Znudzeni ludzie płacą raczej za nielegalne walki psów. A prawnicy zbierają pieniądze. W tym z Twojego szefa. Więcej niż chcesz teraz. Mogą bez problemu mrugać startupami bez mrugania okiem.

Bardzo możliwe, że ktoś z „konkurenta” już wie. Przekazywanie wiadomości może oznaczać więcej obowiązków niż bycie zwykłym posłańcem. Czy to lepsze niż rozmawianie ze ścianami?

Bezpieczeństwo: wiele serwerów z dużymi dziurami jest online. ten jeden serwer jest drugim. Dla niektórych praca na pełen etat. Czy sprawdziłeś już swoje dziury? wszyscy ?

Proszę uważać.

Dane klientów to ważna obsesja.

użytkownik17685
źródło
2
Okej, przeczytałem ten post dwa razy - i nadal nie jestem pewien, która strona debaty popiera ... :)
Cyclops
-1

Powiedz im. Następnie wyślij swoje CV. Mogą zatrudniać. :)

davidhaskins
źródło
18
Wolałbym nie pracować dla osób, które piszą tak zły kod, że 15 minut inspekcji prowadzi do wykrycia poważnej luki w zabezpieczeniach;)
użytkownik17610
@ user17610: OK, dostosowany wariant: powiedz im i sprawdź, czy to naprawią. Jeśli nie naprawią tego w rozsądnym czasie, nie wysyłaj im swojego CV.
sharptooth
-1

Powiedz im! To jest właściwe. A co chcieliby, żeby zrobili, gdybyś był na ich miejscu?

Nie możesz doceniać dobrej woli, która może z tego wyniknąć.

KM01
źródło