Ethischer Streit um Geheimhaltung der Sicherheit [geschlossen]

13

Vor drei Jahren habe ich eine Sicherheitsüberprüfung für eine große E-Commerce-Website durchgeführt. Bei der Prüfung wurden mehrere schwerwiegende Sicherheitsprobleme festgestellt, die den Zugriff auf Daten ermöglichen, auf die nach Abschluss einer Transaktion nicht zugegriffen werden sollte. Auf dieser Site gibt es mehrere Hauptrisiken. Zunächst können Sie sehen, wie Aufträge in Echtzeit über das System eingehen. Alle Transaktionen werden von dieser Firma manuell abgewickelt. Wenn Sie eine Transaktion anzeigen, werden Name, Adresse und Versandziel angezeigt. Ich sehe hier zwei Missbrauchspunkte: 1 - Sie können das Schiff einfach bearbeiten, um es zu adressieren und die Sendung an sich selbst senden zu lassen, und 2 - Sie können den Benutzer direkt anrufen, als die Bestellung aufgegeben wurde, und eine „telefonische Bestätigung“ durchführen, um einfach Zugang zu erhalten zu den Kreditkarteninfos mit Basic Social Engineering.

Sie können auch mit ein wenig mehr Arbeit die CC-Informationen und Bestell-ID-Nummern ausgeben und dann einfach die Bestell-ID und Benutzerinformationen abgleichen.

Dies alles geschieht durch die Verwendung von exponierten Funktionen auf ihrer Site und die Änderung einiger Werte. Ja, ich bin aus einem bestimmten Grund vage.

Der Marketingleiter dieses Unternehmens wurde vor drei Jahren vor diesen Risiken gewarnt und hat nichts unternommen, um sie zu korrigieren. Ich bezweifle nicht, dass wenn ich das finde, andere es können. Diese Seite führt 88.000 Transaktionen pro Jahr durch und hat alle Bestellungen, die jemals bearbeitet wurden, noch in Daten und zugänglich.

Also die ethische Frage ... was mache ich? Meinem Unternehmen ist das egal, also kann ich dort keine Hilfe bekommen. Wenn ich mich an den Marketing-Mitarbeiter wende, wird er weiterhin seinen Arsch und die Ärsche seines inkompetenten internen Entwicklungsteams abdecken (Cold Fusion). Wende ich mich an jemanden weiter oben? Gehe ich um meine Firma? Kann ich die Daten einfach abbauen und an einen Konkurrenten verkaufen, ohne die CC-Informationen? Was mache ich, wenn ich das weiß? Es nervt mich und ich kann es nicht loslassen. Dies ist nur eine von vielen Sites, die ich kenne, aber der einfache Zugang und der hohe Verkehr lassen mich viel darüber nachdenken.

tom
quelle
The marketing director at this company was warned about these risks three years agoähm ... hat dieses Unternehmen keinen CTO oder CIO, dem dies gemeldet werden sollte? Der Marketingdirektor sollte nicht derjenige sein, der für die IT verantwortlich ist.
Powerlord
Diese Frage ist unter den aktuellen Aktualitätsregeln nicht aktuell.
HopelessN00b

Antworten:

15

Es gab eine Zeit, in der ich vorschlagen würde, heldenhafte Maßnahmen zu ergreifen, um die Situation zu lösen. Ich habe seitdem besser gelernt - man kann niemanden zwingen, in seinem eigenen Interesse zu handeln. Wenn Sie dies häufig tun, hat dies unbeabsichtigte Konsequenzen für Sie, die wahrscheinlich unangenehm sind.

Denken Sie darüber nach ... Sie haben

  • Informierte das Unternehmen über Ihren Auditbericht
  • Informiert Ihr Management

Wenn Sie also den CEO zu Hause anrufen, haben Sie Ihr Management umgangen und eine Situation geschaffen, in der die internen Leute, die das CYA-Ding machen, Sie zum Bösewicht machen werden. Der CEO wird seinen inkompetenten Mitarbeitern mehr zuhören als einem zufälligen Berater, der vor drei Jahren ein Audit durchgeführt hat.

Mein Rat: Trinken Sie ein Bier oder was auch immer Sie möchten und besuchen Sie die Website nie wieder.

duffbeer703
quelle
9
+1 "Kann niemanden zwingen, in seinem eigenen Interesse zu handeln".
pjc50
Aber es ist nicht ihr bestes Interesse oder nur indirekt. Es ist das beste Interesse ihrer Kunden.
Wfaulk
@wfaulk: Das mag stimmen, ist aber auch nicht das Geschäft eines Beraters, der vor Jahren hinzugezogen wurde. Leider ist die Welt voll von Menschen, die unfähig, unwissend oder schlechte Schauspieler sind. Wir haben nicht die individuelle Verantwortung, jedes Problem zu lösen - IT-Experten sind keine Superhelden.
duffbeer703
8

Erstens - Sie verkaufen nicht das, was Sie wissen, das ist sicherlich unethisch und möglicherweise illegal :)

Mein zweiter Rat wäre, zu Marketing Guys Chef zu gehen, bis hin zum CEO dieses Unternehmens. Wenn Sie für eine Prüfungsgruppe arbeiten, ist es ihnen egal, was ein Unternehmen mit den Informationen macht, nur, dass sie den Service überhaupt verkaufen müssen.

Drittens, wenn es wirklich so wichtig ist, können Sie möglicherweise eine anonyme (oder nicht anonyme) Marketing- / Boykottkampagne in Bezug auf die Unsicherheit der Website starten, ohne sie tatsächlich zu gefährden.

Aber besser als ein paar Sysadmins zu fragen, wäre es, mit einem seriösen Anwalt zu sprechen :)

Labyrinth
quelle
5
+1 für die Kontaktaufnahme mit einem Anwalt.
Bis auf weiteres angehalten.
7

Sie wurden mit der Durchführung eines Audits beauftragt, daher sind Sie verpflichtet, den Kunden über die Ergebnisse des Audits zu informieren. Was sie damit machen, ist ihre Sache. Sie haben die Risiken gegen die Kosten der Änderung entschieden. Nicht du. Wenn ein massives Sicherheitsproblem vorliegt und Sie eine Vorladung erhalten, können Sie über die Prüfergebnisse aussagen (vor 3 Jahren). Soweit Ihre Verpflichtungen.

Ich habe Neuigkeiten für dich. Die überwiegende Mehrheit der Unternehmen geht auf der einen oder anderen Ebene unsicher mit Kundendaten um. Wie viele DBAs haben vollständigen Zugriff auf alle Kundendaten? Sehr wenige Unternehmen betreiben Oracle Vault.

"Muss ich nur die Daten abbauen und an einen Konkurrenten verkaufen, ohne die CC-Informationen?"

Nur wenn du ins Gefängnis willst.

kmarsh
quelle
2
Das ist genau richtig. Jedes Unternehmen führt eine Kosten-Nutzen-Analyse zu jedem vorgestellten Thema durch. Manchmal entscheiden sie sich dafür, Probleme unter den Teppich zu kehren, und hoffen, dass sie unbemerkt bleiben. Du hast deinen Teil getan.
Ed Leighton-Dick
6

Sie befinden sich möglicherweise auf sehr dünnem Eis, wenn Sie etwas preisgeben. Sie könnten dafür in echte Schwierigkeiten geraten.

Es gibt einen Grund dafür, dass Unternehmen beim Abschluss von Pentests strenge Vereinbarungen treffen. Die Pentesting-Firma braucht den Schutz, den sie bekommen kann. Die Weitergabe von Informationen, die Sie nicht dürfen, kann und wird Sie verklagen oder strafrechtlich verfolgen.

Nehmen wir an, Sie gehen zum Chef des Marketing-Mannes. Der Chef greift nach dem Marketing-Typ. Der Marketing-Typ beginnt, seinen Arsch zu bedecken. Er kann den Chef davon überzeugen, dass Sie etwas Illegales oder Ähnliches getan haben müssen, um diese Informationen zu erhalten. Selbst wenn Sie irgendwann gewinnen, könnten Sie lange vor Gericht stehen.

Wenn sie es auf den ersten Blick nicht ernst nehmen wollen, werden Sie höchstwahrscheinlich in Schwierigkeiten geraten, wenn sie unter Druck gesetzt werden, es ernst zu nehmen.

Lass es deinetwegen fallen.

BEARBEITEN: Wenn die ursprüngliche Vereinbarung für die Sicherheitsüberprüfung außerdem bestimmte Personen enthält, die Sie möglicherweise nur informieren, können Sie Probleme bekommen , wenn Sie andere in derselben Firma informieren, die nicht in der Vereinbarung enthalten sind.

Artifex
quelle
gute Argumente. Ebenso wirft das Aufdecken, dass Sie sich der Probleme Jahre später bewusst sind, einige unangenehme Fragen auf, wenn die Diskussion in rechtliche und geschäftliche Bereiche übergeht. Es ist unwahrscheinlich, dass Teil der Vereinbarung war, dass Sie sie für die kommenden Jahre "überprüfen" würden.
Damorg
6

Soweit ich das sehe, hast du deine Arbeit gemacht. Sie haben das Audit durchgeführt und die Ergebnisse an die zuständige Person weitergeleitet. Mein Rat ist, einfach zurückzubleiben, es gibt nichts mehr, was Sie wirklich tun können. Natürlich besteht das Dilemma darin, dass unschuldige Kunden den anhaltenden Sicherheitslücken ausgesetzt sein könnten, aber es ist nicht wirklich Ihr Problem, oder? Sie können für keinen Teil davon Verantwortung übernehmen, der nicht in Ihren Aufgabenbereich fällt.

Maximus Minimus
quelle
6

Sie geben diese Informationen auf keinen Fall preis und verkaufen sie auch nicht an Außenstehende.

Ich verstehe hier etwas nicht ... vor drei Jahren? Wenn Sie vor 3 Jahren ein Audit durchgeführt haben, wie kommt es, dass Sie immer noch darüber nachdenken? Fühlen Sie sich deswegen so schlecht oder beauftragt das unsichere Unternehmen Ihr Unternehmen immer noch mit Sicherheits- / Prüfungsdiensten?

Das ist eine wichtige Frage, denn wenn Sie seit 3 ​​Jahren nichts mehr mit diesem Unternehmen zu tun haben, ist mein klarer Rat wegzugehen. Es wäre sehr seltsam, wenn Sie nach 3 Jahren wieder auftauchen und anfangen zu kritisieren. Wenn es 3 Jahre her ist, dann hattest du damals eine Chance und hast sie nicht genommen. Jetzt geh weg.

Wenn Ihr Unternehmen immer noch Geschäfte mit dem unsicheren Unternehmen tätigt , würde ich vorschlagen, Ihren eigenen Chef dazu zu bewegen, ihnen gemeinsam einen Brief zu schicken. Ihr Chef wird das nicht mögen; aber für Sie ist es viel besser, wenn der Brief eher von Ihrer Firma als von Ihnen selbst kommt. Senden Sie es per Kurier an den Marketingmanager-Chef (CEO). Behalten Sie es höflich bei, halten Sie es vage und decken Sie hauptsächlich Ihre eigenen Unternehmen ab und verweisen Sie darauf, dass die Sicherheitsentscheidungen der Marketingmanager so weit außerhalb der anerkannten Industriestandards liegen, dass Sie sich gezwungen fühlten, über den Kopf zu gehen. Ihr Ziel ist es nicht, alles zu erzählen, Ihr Ziel ist es, Ihr eigenes Unternehmen mit einem ** zu versorgen und den anderen CEO so durcheinander zu bringen, dass er nach einer Kopie Ihres Originalberichts fragt.

Es ist der stärkste Schritt, den ich auf irgendeine Weise empfehlen kann, über den Kopf des Marketing Managers hinauszugehen. Und es ist wirklich ziemlich stark und unerwünscht. Sie wurden beauftragt, eine Expertenmeinung zu einem Aspekt abzugeben. ihr Geschäft nicht zu führen.

Ein bisschen traurig: Es ist nicht ungewöhnlich, unethische oder einfach inkompetente Geschäftsleute zu sehen. Manchmal stellen diese Sicherheitsüberprüfer ein, ohne die Absicht zu haben, die Ergebnisse jemals zu verwenden. mit der Absicht, nur zu sagen, dass sie von der bekannten Sicherheitsfirma X geprüft wurden. Das ist natürlich traurig und anstößig - aber es ist real, und Sie müssen sich daran gewöhnen, wenn Sie in der Sicherheitsprüfung arbeiten möchten.

Jesper M
quelle
3

Andererseits müssen Sie Ihre Haftung berücksichtigen, wenn Sie den Kunden nicht angemessen über die Risiken informieren. Sie müssen überlegen, welche Art von Fehlern und Auslassungen Ihr Unternehmen abdeckt. Sie sagen, es ist Ihrem Unternehmen egal, aber ich wette, wenn sie vom Kunden verklagt werden, weil einer ihrer Kunden gegen sie geklagt hat, würde dies die Aufmerksamkeit aller auf sich ziehen.

Bis auf weiteres angehalten.
quelle
3

Vor 3 Jahren haben Sie einen Job gemacht, für den Sie vermutlich bezahlt wurden. Wenn Sie alle für die Ausführung dieses Auftrags erforderlichen Schritte unternommen haben, ist der Auftrag erledigt. Über. Fertig.

Ich habe ernsthafte Probleme zu verstehen, warum Sie 3 Jahre Zeit hatten, um etwas dagegen zu unternehmen, und warum Sie dies nicht getan haben. Das hört sich für mich nicht nach ethischen Fragen an. Tatsächlich lässt Ihre bloße Erwähnung, die Informationen möglicherweise zu verkaufen, darauf schließen, dass Sie durchaus unterschiedliche Motive haben könnten. Zumindest finde ich Ihre Position höchst fragwürdig.

Da Sie bis jetzt nichts unternommen haben, können Sie sich möglichen rechtlichen Schritten aussetzen, wenn Sie überhaupt Maßnahmen ergreifen. Gesetze variieren von Ort zu Ort, aber wo ich bin, wenn jemand durch die von Ihnen beschriebenen Mechanismen Opfer von Datendiebstahl geworden ist und Sie erst jetzt Maßnahmen ergreifen, sind Sie tatsächlich ein wissender Teilnehmer durch Ihre vorherige Untätigkeit. Der einzig sichere Weg für Sie ist, ihn fallen zu lassen.

John Gardeniers
quelle
1

Wenn Sie im Bereich "Sicherheitsüberprüfungen" tätig sind, kommt es nicht in Frage, die Informationen abzubauen und zu verkaufen. Zum Teufel, die Tatsache, dass Sie diese Frage stellen würden, lässt mich über Ihre Ethik nachdenken und würde mich mit Sicherheit fragen lassen, ob Sie für mein Sicherheitsteam das Richtige sind oder nicht.

Trotzdem hast du deinen Job gemacht. Sie wurden beauftragt, eine Sicherheitsüberprüfung durchzuführen, und das haben Sie getan. Wurden dem Unternehmen die Ergebnisse schriftlich mitgeteilt? Wie andere gesagt haben, kann man ein Unternehmen nicht zwingen, Sicherheitslücken zu schließen. Die ethische Frage ist, aus dieser Prüfung zu lernen und weiterzumachen.

GregD
quelle
1

Wenn Sie Bedenken haben, Ihren Job richtig zu machen, haben Sie Ihren Job gemacht. Nur weil niemand auf Ihre Empfehlungen eingeht, werden Sie nicht berücksichtigt.

Wenn Sie jedoch berechtigterweise befürchten, dass ihre Kunden Opfer von Identitäts- oder Kreditkartendiebstahl werden, wenden Sie sich an die FTC-Beschwerdeabteilung . (Angenommen, Sie befinden sich in den USA. Andernfalls verfügt Ihr Land wahrscheinlich über eine ähnliche Regierungsabteilung.)

wfaulk
quelle
1

Ich habe ein paar Semester Ethik absolviert und es ist wirklich eine schwierige Frage.

Wenn Sie hier nach einer "Was soll ich tun?" - Antwort fragen, erhalten Sie niemals eine "richtige" Antwort. Sie erhalten lediglich Antworten, die entweder die persönlichen Gefühle in Bezug auf das Problem verstärken oder ihnen widersprechen.

Außerdem werden alle Antworten, die Sie hier erhalten, stark von Handlungen oder Entscheidungen der Menschen in der Vergangenheit beeinflusst, wo sie leben, wo sie aufgewachsen sind, ihre lokalen Gesetze und Bräuche. Selbst wenn sie sich in der gleichen Situation wie Sie befanden, kann ihre Erfahrung durchaus völlig anders sein.

Die kurze Antwort lautet: Sie müssen das tun, was SIE für richtig halten. Sie glauben eindeutig, dass Untätigkeit nicht das Richtige ist. Wenn nicht, würden Sie das nicht fragen.

Ich persönlich bin nicht mit allen einverstanden, die "Drop it" oder "Du hast deine Arbeit gemacht" sagen. Dies scheint eine populäre Meinung zu sein, wenn bei ServerFault Ethik auftaucht. Und es ist keine falsche Antwort, es ist nur nicht meine Antwort.

Mark Henderson
quelle
Die grundlegende Frage ist hier eine der Grenzen. Wenn Ihr Nachbar einen Zaun auf dem Land eines anderen Nachbarn baut, rufen Sie die Durchsetzung des Codes oder die Polizei an?
duffbeer703