Was tun, wenn Sie eine Sicherheitslücke auf der Website eines Mitbewerbers finden?

37

Während ich an einem Projekt für mein Unternehmen arbeitete, musste ich Funktionen entwickeln, mit denen Benutzer Daten von / zu der Site unseres Konkurrenten importieren / exportieren können. Dabei habe ich einen sehr schwerwiegenden Sicherheits-Exploit entdeckt, der, kurz gesagt, jedes Skript auf der Website des Konkurrenten ausführen kann.

Mein natürliches Gefühl ist es, ihnen das Problem im Geiste des guten Willens zu melden. Das Problem zu nutzen, um einen Vorteil zu erlangen, fiel mir ein, aber ich möchte diesen Weg nicht beschreiten.

Meine Frage ist also, würden Sie eine ernsthafte Sicherheitslücke gegenüber Ihrer direkten Konkurrenz melden, um ihnen zu helfen? Oder würden Sie den Mund halten? Gibt es eine bessere Möglichkeit, dies zu tun, um vielleicht zumindest einen Vorteil daraus zu ziehen, dass ich ihnen helfe, indem ich das Problem melde?

Update (Klarstellung) :

Vielen Dank für all Ihre Rückmeldungen, ich weiß das zu schätzen. Würden sich Ihre Antworten ändern, wenn ich hinzufügen würde, dass der fragliche Wettbewerb ein Gigant auf dem Markt ist (Hunderte von Mitarbeitern auf mehreren Kontinenten) und mein Unternehmen erst vor wenigen Wochen gegründet wurde (drei Mitarbeiter)? Es versteht sich von selbst, dass sie sich definitiv nicht an uns erinnern werden und wenn überhaupt, nur erkennen, dass ihre Site Arbeit braucht (weshalb wir uns in diesem Markt erst einmal eingearbeitet haben).

Dies mag einer dieser moralischen oder geschäftlichen Probleme sein, aber ich schätze alle Ratschläge.

business security ethics vulnerabilities user17610
quelle
4
Kommt drauf an, ob du moralisch oder amoralisch bist.
Dietbuddha
5
Melden Sie es anonym von einer verfügbaren E-Mail-Adresse, die sich hinter einem Proxy befindet, ohne dass eine Bindung zu Ihrem aktuellen Arbeitsplatz besteht.
Job
14
Warum hat die Größe des Unternehmens einen Einfluss darauf, was ethisches Verhalten ausmacht?
JohnFx
6
Es gibt eine kleine Anekdote über einen Typen, der versucht hat, Pepsi ein paar Geheimnisse von Coke zu verkaufen ... Pepsi hat die Polizei angerufen. Egal wie intensiv Rivalitäten sein können, der Wettbewerb sollte immer auf fairen und ethischen Geschäftspraktiken beruhen. Wenn ihr besser seid, werdet ihr sie schlagen, egal wie groß oder verwurzelt sie sind. Es kann nicht über Nacht geschehen, aber schauen Sie sich die Browserkriege an. Langsam aber sicher entfernen sich Alternativen vom Internet Explorer, auch wenn der Internet Explorer vorinstalliert ist!
Chris Thompson
@ JohnFx +1: Punkt auf Frage, Sir! Wir könnten sogar dasselbe Argument verwenden, wenn sich die Situation umkehren würde: "Meine Firma ist ein gut etablierter und angesehener Gigant und ihre ist nur eine kleine Firma, die wahrscheinlich früher oder später sowieso scheitern würde." Unabhängig von der relativen Größe der Unternehmen ist die Ethik dieselbe.
Bedwyr

Antworten:

63

Obwohl ich gerne in einer Welt leben würde, in der es völlig ungefährlich wäre, ihnen einfach eine Nachricht zukommen zu lassen, um sie zu informieren, würde ich vorschlagen, zuerst Ihre Rechtsabteilung einzubeziehen. Realistisch gesehen ist es durchaus möglich, dass jemand in der Organisation des Konkurrenten den Fehlerbericht so interpretiert, als "unser Konkurrent hat gerade einen seiner Mitarbeiter bezahlt, um unsere Site zu hacken". Diese Wahrnehmung kann zu rechtlichen oder PR-Problemen für Sie und Ihr Unternehmen führen. Die Einbeziehung Ihrer Rechtsabteilung in die Benachrichtigung sollte dazu beitragen, alle vor dem Auftreten von Unangemessenheit zu schützen. Dies schafft natürlich die Möglichkeit, dass die Rechtsabteilung zu dem Schluss kommt, dass die Benachrichtigung des Konkurrenten ein inakzeptables rechtliches Risiko darstellt, und dass Sie nur auf den Informationen sitzen müssen. Aber das'

Justin Cave
quelle
Höchstwahrscheinlich werden sie sich dafür aussprechen - aber sie werden den besten Ansatz kennen, um dies zu tun, ohne Sie oder Ihr Unternehmen einem unerwünschten rechtlichen Rückgriff auszusetzen.
HorusKol
Wenn die Rechtsabteilung Nein sagt, würde ich mich für die Idee einer anonymen E-Mail entscheiden. Und wenn sie ja sagen, stellen Sie sicher, dass Ihr Name irgendwo drin ist!
Benjol
17
Natürlich wird es ziemlich schwierig, eine "Rechtsabteilung" in einem
Dreierunternehmen
@Benjol Stimmt, aber in diesen Fällen benötigen Sie auf jeden Fall Rechtsberatung. Selbst wenn sie Sie nicht beschuldigen können, ihre Website gehackt zu haben, können sie dennoch behaupten, dass Ihr Brief bedrohlich war und Sie versucht haben, sie zu erpressen.
biziclop
9
Es tut mir leid, dieser Antwort zuzustimmen. Es ist ein trauriger Kommentar zur Gesellschaft, wenn Anwälte für einen Code-Bug-Report benötigt werden.
jdl
30

Das wird schrecklich klingen (zumindest im Vergleich zu den meisten Antworten hier), aber hier sind meine 2 Cent:

Warum sollten Sie etwas dagegen unternehmen?

Das erste ist, dass sie bereits Mitarbeiter haben, die diese Art von Arbeit erledigen sollten (Probleme finden und sie beheben).

Zweitens klingt die Art und Weise, wie Sie Ihre Frage formuliert haben, so, als wäre dies eine Art moralisches Dilemma. Es ist nicht. Sie haben überhaupt nichts unternommen, um dieses Problem zu verursachen.

Drittens treten Sie gegen sie an. Sie sollten sich darauf konzentrieren, Ihr Produkt zu dem Besten zu machen, was es gibt, nicht das Ihre.

Wenn Sie immer noch Zweifel haben, kehren Sie zu meinem Punkt 2 zurück und lesen Sie ihn noch einmal.

Jas
quelle
9
+1 für realistisch. Tu sicher nichts Illegales. Unmoralisch? In der Wirtschaft gibt es keine moralischen oder unmoralischen. Unternehmen haben so etwas wie ein Konzept der Moral nicht.
Davor Ždralo
3
@ HorusKol - die +1 zahlt keine Gehälter und Kosten für das Unternehmen. Es könnte jedoch sein, dass Sie ein besseres Produkt als Ihr Mitbewerber anbieten.
Jas
4
-1. Diese Art des Denkens ist ein klassisches Beispiel für die Tragödie des Gemeinwesens. Sicherheitslücken sind das Problem aller.
Mason Wheeler
6
@Mason Wheeler: Die Tragödie der Commons ist ein Dilemma, das sich aus der Situation ergibt, in der mehrere Personen, die unabhängig und vernünftig ihre eigenen Interessen berücksichtigen, letztendlich eine gemeinsam genutzte begrenzte Ressource erschöpfen, selbst wenn klar ist, dass sie niemandem gehört Langfristiges Interesse daran. Ich verstehe nicht, wie das hier zutrifft.
user17610
3
Ehrlich gesagt bin ich schockiert, dass Sie Ihrem Konkurrenten nicht empfehlen würden, über dessen Sicherheitslücke zu sprechen. Warum nicht einen Fehlerbericht in Form einer Pressemitteilung oder einer Werbe-E-Mail einreichen? Ein solcher Fehlerbericht sollte das Fehlen dieses Fehlers in Ihrem Produkt und die möglichen Auswirkungen auf die Benutzer berücksichtigen.
Emory
22

Es gibt einen schmalen Grat zwischen der Erforschung von Schwachstellen und Industriespionage, und da Sie mit Ihrem Arbeitgeber verbunden sind, kann der Wettbewerber letzteres in Betracht ziehen.

Wenn Sie es melden und es einen legalen / PR-Albtraum gibt, sind Sie der Sündenbock.

Sprechen Sie mit Ihrer Rechtsabteilung und lassen Sie sie nach Belieben damit umgehen - es gibt einen Grund, warum sie mehr als Ingenieure sind.

Uri
quelle
20

Ein alternativer Mechanismus, der noch nicht von AFAICS vorgeschlagen wurde, um die Informationen an Ihren Konkurrenten ohne Risiko für Ihr eigenes Unternehmen weiterzuleiten, besteht darin, eines der verschiedenen Unternehmen, das Schwachstellen meldet, über die Schwachstelle zu informieren und sie zu bitten, dies Ihrem Konkurrenten zu melden. Sie (das Unternehmen, das Schwachstellen meldet) würden Ihren Namen aus dem Bericht ausschließen - Sie wären für Ihren Konkurrenten anonym. Ein solches Unternehmen ist die Zero Day Initiative , ZDI - es gibt eine Reihe anderer.

Jonathan Leffler
quelle
11

Natürlich anonym an die Medien weiterleiten und dann den Kunden des Konkurrenten eine schnelle Migration anbieten. Dies mag wie ein Tiefschlag erscheinen, aber bedenken Sie, dass Sie nichts Illegales oder Unethisches an sich haben. Denken Sie außerdem, dass es sich um eine Hundefutter-Welt in SW handelt, und dass Sie als David gegen Goliath den ganzen Hebel brauchen werden. Denken Sie daran, es ist nicht persönlich, es ist rein geschäftlich . Sie würden Ihnen das Gleiche sofort antun.

(FWIW Ich erwarte voll und ganz, dass diese Antwort herabgestimmt wird, aber das ist in Ordnung, denn was ich sage, ist die Wahrheit, wenn auch eine harte.)

Gaurav
quelle
Scheint mir gut zu sein: Sie benachrichtigen sie und machen gleichzeitig Gewinn. Es besteht jedoch die Möglichkeit, dass sie abgehakt werden und auf Schwachstellen in Ihrer Site fischen.
Apoorv020
@apoorv Es bedeutet nur, dass du groß genug geworden bist, um den Goliath zu beunruhigen :-).
Gaurav
Ich verstehe nicht, warum ich die Wörter "leak" und "anonym" verwende. Die OP hat nichts Falsches oder Unmoralisches
getan
@ apporv020 Du solltest davon ausgehen, dass sie (und eine ganze Reihe von anderen) ständig unsere Site 4-Sicherheitslücken fischen.
Emory
Da es sich um ein "gigantisches" Unternehmen in Ihrem Markt handelt, sollten Sie berücksichtigen, wie die Kunden Ihres Marktes reagieren, wenn in den Medien häufig über die Sicherheitsanfälligkeit berichtet wird. Würden sie antworten mit "Wenn ich meinen Daten bei << behemoth company >> nicht vertrauen kann, sollte ich das überhaupt tun?" Die Antwort darauf kann dabei helfen, festzustellen, wie öffentlich Ihr Schwachstellenbericht sein soll. Ihre Handlungen können die Wahrnehmung Ihres gesamten Marktes beeinflussen.
Zusukar
8

Was sollen sie tun, wenn sie eine Sicherheitslücke in Ihrer Software finden? Das sollte die erste Frage sein, die Sie stellen. Wenn die Antwort "Ich würde es wirklich begrüßen, wenn sie es mir sagen würden" lautet, dann haben Sie Ihre Antwort!

Es spielt keine Rolle, dass es sich um ein riesiges Unternehmen oder einen Drei-Personen-Laden handelt, und es spielt keine Rolle, dass Sie ein Drei-Personen-Laden oder ein riesiges Unternehmen sind. Wie gesagt, Ihr Ruf ist alles, besonders in dieser kleinen Community, die als Software bekannt ist.

Jesse McCulloch
quelle
3
Ist es nicht das Gegenteil von dem, was die Konkurrenz von einer normalen Geschäftsstrategie erwartet?
user17610
@ user17610 - Ich denke, das hängt von der Situation ab ... kann keine pauschale Aussage treffen und alle Ihre Entscheidungen dadurch treffen. Wenn Ihre Konkurrenz eine Menge Geld verdienen will, machen Sie dann das Gegenteil?
Jesse McCulloch
Nein, dann werde ich dafür sorgen, dass sie nicht
jede Menge
2
+1 für "Was sollen sie tun, wenn sie die Sicherheitsanfälligkeit in Ihrer Software gefunden haben?"
Craige
-1: Ich möchte, dass sie es mir sagen, weil eine spätere Anklage wegen Industriespionage dazu beiträgt, ihren Marktanteil zu korrodieren! Nehmen Sie niemals Wohlwollen in Ihrem Konkurrenten ...
recursion.ninja
8

Wenn Sie Daten zwischen ihren Systemen und Ihren eigenen importieren / exportieren, kann die Sicherheitslücke leicht zu Ihrer Sicherheitslücke werden.

Sie wollen Ihren Hintern technisch und rechtlich abdecken. Stellen Sie sicher, dass es repariert wird, aber stellen Sie sicher, dass Ihre Rechtsabteilung eine Hand bei der Benachrichtigung hat.

Ben L
quelle
5

Natürlich, lass es sie wissen.

Wenn "aus gutem Grund" kein guter Grund ist, denken Sie daran, dass Sie diese Funktion als Vorteil für Ihre eigenen Kunden implementieren. Sie schützen indirekt ihre Daten, indem Sie diesen Fehler melden.

jdl
quelle
2

Es gibt nur eine ehrbare Wahl. Erzähl es ihnen.

Eric King
quelle
0

Persönlich würde ich es ihnen sagen.

Andere Leute haben auf die möglichen PR- / rechtlichen Probleme hingewiesen, und wenn Sie nach einem Gespräch mit einer Schicht oder einem PR-Agenten davon abgeraten werden, dies zu melden, MELDE ICH ES NOCH, aber anonym.

Es tut Ihren potenziellen Kunden einen Gefallen, indem es zum Schutz ihrer Daten beiträgt.

Dominique McDonnell
quelle
Yup: anonyme Mail an seclists.org/fulldisclosure , he he he ...;)
Henrik
@ Downvoter, irgendwelche Kommentare, warum?
Dominique McDonnell
0

Grundsätzlich stimme ich dem zu, was die meisten hier sagen: Steigern und melden. Es gibt einen professionellen Ehrenkodex wie auf See: Wenn ein Schiff in Schwierigkeiten ist, helfen Sie, egal wem es gehört.

Wenn ich jedoch Ihr Update lese, würde ich mich wahrscheinlich dagegen entscheiden, es ihnen mitzuteilen, da die Gefahr besteht, dass die gut gemeinte Aktion in die falsche Richtung geht (wie Wirtschaftsspionage, wie @Uri sagt) und zu Feindseligkeiten führt, die weitaus gefährlicher sind Ihr Drei-Mann-Laden, als sie jemals für sie sein werden.

Vielleicht eine anonyme Notiz hinterlassen; vielleicht gar nichts tun. Wenn Sie David sind, müssen Sie Goliath nicht sagen, dass er eine Biene auf dem Rücken sitzt.

Pekka 웃
quelle
-1

Die Natur hat trotz ihrer harten Seiten ihre besonderen Anlässe. Und spielt sie aus, ohne darüber nachzudenken.

Hund frisst keinen Hund. Vielmehr zahlen gelangweilte Menschen für illegale Hundekämpfe. Und Anwälte sammeln das Geld. Einschließlich von Ihrem Chef. Mehr als Sie jetzt wollen. Sie können Startups problemlos entleeren, ohne zu blinken.

Auch sehr gut möglich, jemand bei "Mitbewerber" kennt sich schon aus. Das Übermitteln von Nachrichten kann mehr Verantwortung bedeuten, als nur ein vorübergehender Bote zu sein. Ist das besser als mit Wänden zu reden?

Sicherheitsgeschäft: Viele Server mit großen Lücken sind online. Dieser eine Server ist ein anderer. Vollzeitjob für einige. Hast du deine eigenen Löcher überprüft? alle von ihnen ?

Pass auf wo du hintrittst.

Kundendaten sind die wichtige Besessenheit.

user17685
quelle
2
Okay, ich habe diesen Beitrag zweimal gelesen - und ich bin mir immer noch nicht sicher, welche Seite der Debatte unterstützt wird ... :)
Cyclops
-1

Erzähl es ihnen. Dann senden Sie Ihren Lebenslauf. Sie könnten einstellen. :)

davidhaskins
quelle
18
Ich würde es vorziehen, nicht für Leute zu arbeiten, die so schlechten Code schreiben, dass eine Inspektion von 15 Minuten zur Entdeckung einer schwerwiegenden Sicherheitsanfälligkeit führt;)
user17610
@ user17610: Okay, eine angepasste Variante: Sag ihnen, ob sie das Problem beheben. Wenn sie es nicht in angemessener Zeit beheben, senden Sie Ihren Lebenslauf nicht an sie.
Scharfzahn
-1

Erzähl es ihnen! Es ist das Richtige. Und was möchten sie tun, wenn Sie an ihrer Stelle wären?

Auf den guten Willen, der daraus entstehen könnte, kann man keinen Wert legen.

KM01
quelle