ความไม่แน่ใจด้านจริยธรรมต่อการไม่เปิดเผยความปลอดภัย [ปิด]

13

สามปีที่ผ่านมาฉันทำการตรวจสอบความปลอดภัยสำหรับเว็บไซต์อีคอมเมิร์ซขนาดใหญ่ เมื่อทำการตรวจสอบฉันพบปัญหาด้านความปลอดภัยร้ายแรงหลายประการที่อนุญาตให้เข้าถึงข้อมูลที่ไม่ควรเข้าถึงได้หลังจากทำธุรกรรมเสร็จสมบูรณ์ ในเว็บไซต์นี้มีความเสี่ยงที่สำคัญหลายประการ ก่อนอื่นคุณสามารถเห็นคำสั่งซื้อที่เข้ามาในเวลาจริง การทำธุรกรรมทั้งหมดจะถูกประมวลผลด้วยตนเองโดย บริษัท นี้ หากคุณดูการทำธุรกรรมคุณจะเห็นชื่อที่อยู่และปลายทางการจัดส่ง ฉันเห็นจุดการละเมิดสองจุดที่นี่ 1 - คุณสามารถแก้ไขการจัดส่งไปยังที่อยู่และส่งการจัดส่งถึงตัวคุณเองและ 2 - คุณสามารถโทรหาผู้ใช้ได้ทันทีตามที่มีการสั่งซื้อและทำการ "ยืนยันทางโทรศัพท์" เพื่อเข้าถึง ไปยังข้อมูลบัตรเครดิตด้วยวิศวกรรมสังคมขั้นพื้นฐาน

นอกจากนี้คุณยังสามารถเพิ่มข้อมูล CC และหมายเลขคำสั่งซื้อได้อีกเล็กน้อยจากนั้นเพียงจับคู่ ID คำสั่งซื้อและข้อมูลผู้ใช้

นี่คือทั้งหมดที่ใช้ฟังก์ชั่นที่เปิดเผยบนเว็บไซต์ของพวกเขาและแก้ไขค่าสองสามอย่าง ใช่ฉันกำลังคลุมเครือด้วยเหตุผล

ผู้อำนวยการฝ่ายการตลาดของ บริษัท นี้ได้รับการเตือนเกี่ยวกับความเสี่ยงเหล่านี้เมื่อสามปีที่แล้วและไม่ได้ทำการแก้ไขใด ๆ ฉันไม่สงสัยเลยว่าถ้าฉันสามารถหาคนอื่นได้ เว็บไซต์นี้ทำธุรกรรม 88K ต่อปีและมีคำสั่งซื้อทั้งหมดที่ประมวลผลยังคงอยู่ในข้อมูลและเข้าถึงได้

ดังนั้นคำถามด้านจริยธรรม…ฉันต้องทำอย่างไร บริษัท ของฉันไม่สนใจ ... ดังนั้นฉันจึงไม่สามารถรับความช่วยเหลือได้ ถ้าฉันติดต่อฝ่ายการตลาดเขาก็จะปกปิดลาของเขาและลาของทีมพัฒนาภายในที่ไร้ความสามารถ (ฟิวชั่นเย็น) ฉันจะติดต่อใครบางคนที่สูงขึ้น? ฉันจะไปรอบ ๆ บริษัท ของฉัน? ฉันเพียงแค่ขุดข้อมูลและขายให้กับคู่แข่งลบข้อมูล CC หรือไม่ ฉันจะทำอะไรรู้เรื่องนี้? มันจู้จี้กับฉันและฉันไม่สามารถปล่อยมันไปได้ นี่เป็นเพียงหนึ่งในหลาย ๆ เว็บไซต์ที่ฉันรู้จัก แต่ความง่ายในการเข้าถึงและการรับส่งข้อมูลที่สูงทำให้ฉันต้องไตร่ตรองอย่างมากในเรื่องนี้

untagged

— ทอม
แหล่งที่มา

The marketing director at this company was warned about these risks three years agoเอ่อ ... บริษัท นี้ไม่มี CTO หรือ CIO ที่ควรจะรายงานหรือไม่ ผู้อำนวยการฝ่ายการตลาดไม่ควรรับผิดชอบด้านไอที

— Powerlord

คำถามนี้ไม่ได้อยู่ในหัวข้อภายใต้กฎความทันสมัยในปัจจุบัน

— HopelessN00b

15

มีเวลาที่ฉันอยากจะแนะนำให้ใช้มาตรการที่กล้าหาญเพื่อแก้ไขสถานการณ์ ฉันเรียนรู้ได้ดีขึ้นแล้ว - คุณไม่สามารถบังคับให้ใครบางคนทำเพื่อผลประโยชน์สูงสุดของตนเองได้ การทำเช่นนั้นมักจะมีผลที่ไม่ตั้งใจสำหรับคุณที่มีแนวโน้มว่าจะไม่เป็นที่พอใจ

คิดเกี่ยวกับมัน ... คุณ

แจ้ง บริษัท ผ่านรายงานการตรวจสอบของคุณ
แจ้งการจัดการของคุณ

ดังนั้นถ้าคุณไปและโทรหา CEO ที่บ้านตอนนี้คุณได้ทำการบริหารจัดการเสร็จแล้วและสร้างสถานการณ์ที่คนภายในที่กำลังทำเรื่อง CYA กำลังจะทำให้คุณเป็นวายร้าย CEO จะรับฟังพนักงานที่ไร้ความสามารถของเขามากกว่าผู้ให้คำปรึกษาแบบสุ่มซึ่งทำการตรวจสอบเมื่อ 3 ปีก่อน

คำแนะนำของฉัน: ไปดื่มเบียร์หรืออะไรก็ตามที่คุณชอบและไม่เคยเยี่ยมชมเว็บไซต์อีกครั้ง

— duffbeer703
แหล่งที่มา

9

+1 "ไม่สามารถบังคับให้ใครบางคนทำเพื่อประโยชน์ของตนเองได้"

— pjc50

แต่ไม่ใช่ผลประโยชน์ที่ดีที่สุดของพวกเขาหรือโดยอ้อมเท่านั้น เป็นผลประโยชน์สูงสุดของลูกค้า

— 2552

@ wfaulk: นั่นอาจจะเป็นจริง แต่ก็ไม่ได้เป็นธุรกิจของที่ปรึกษาที่ถูกนำมาในปีที่ผ่านมา น่าเสียดายที่โลกเต็มไปด้วยผู้คนที่ไร้ประสิทธิภาพไร้ความรู้หรือเป็นนักแสดงที่ไม่ดี เราไม่มีความรับผิดชอบส่วนบุคคลในการแก้ไขปัญหาทุกปัญหา - ผู้เชี่ยวชาญด้านไอทีไม่ใช่ฮีโร่

— duffbeer703

8

ครั้งแรก - คุณไม่ได้ขายสิ่งที่คุณรู้ว่าเป็นแน่นอนผิดจรรยาบรรณและอาจจะผิดกฎหมาย :)

คำแนะนำที่สองของฉันคือไปหาหัวหน้าฝ่ายการตลาดของ Guy ตลอดจนซีอีโอของ บริษัท นั้น หากคุณทำงานให้กับกลุ่มตรวจสอบบัญชีพวกเขาไม่สนใจว่า บริษัท จะทำอะไรกับข้อมูลเพียงแค่พวกเขาต้องขายบริการตั้งแต่แรก

สามถ้าเป็นจริงนี้จัดการใหญ่คุณอาจจะไม่สามารถที่จะเริ่มต้นที่ไม่ระบุชื่อ (หรือไม่ระบุชื่อ) การตลาด / การคว่ำบาตรการรณรงค์เกี่ยวกับความไม่มั่นคงของเว็บไซต์โดยไม่ต้องจริงสูญเสียพวกเขา

แต่ดีกว่าถามว่ามี sysadmins จะคุยกับทนายความที่มีชื่อเสียง :)

— ชุมชนแออัด
แหล่งที่มา

5

+1 สำหรับการติดต่อทนายความ

— หยุดชั่วคราวจนกว่าจะมีการแจ้งให้ทราบต่อไป

7

คุณถูกว่าจ้างให้ทำการตรวจสอบดังนั้นหน้าที่ของคุณคือให้ลูกค้าแจ้งผลการตรวจสอบให้ลูกค้าทราบ สิ่งที่พวกเขาทำคือธุรกิจของพวกเขา พวกเขาได้ตัดสินใจความเสี่ยงเมื่อเทียบกับค่าใช้จ่ายในการเปลี่ยนแปลง ไม่ใช่คุณ. หากพวกเขามีปัญหาด้านความปลอดภัยขนาดใหญ่และคุณได้รับหมายศาลคุณจะต้องเป็นพยานเกี่ยวกับผลการตรวจสอบ (3 ปีที่แล้ว) นั่นมันเท่าที่ภาระของคุณ

ฉันมีข่าวสำหรับคุณ บริษัท ส่วนใหญ่จัดการกับข้อมูลลูกค้าในแบบที่ไม่ปลอดภัยในระดับหนึ่งหรืออีก บริษัท หนึ่ง มี DBA กี่แห่งที่สามารถเข้าถึงข้อมูลลูกค้าทั้งหมดได้อย่างสมบูรณ์ มี บริษัท น้อยมากที่ใช้ Oracle Vault

"ฉันจะขุดข้อมูลแล้วขายให้กับคู่แข่งลบข้อมูล CC หรือไม่"

เฉพาะในกรณีที่คุณต้องการเข้าคุก

— kmarsh
แหล่งที่มา

2

ถูกต้องแล้ว บริษัท ทุกแห่งจะทำการวิเคราะห์ต้นทุนและผลกำไรในประเด็นใด ๆ ที่นำเสนอและบางครั้งพวกเขาเลือกที่จะกวาดล้างปัญหาภายใต้พรมปูพื้นและหวังว่าจะไม่มีใครสังเกตเห็น คุณทำส่วนของคุณแล้ว

— Ed Leighton-Dick

6

คุณอาจจะอยู่ในน้ำแข็งบาง ๆ ถ้าคุณเปิดเผยอะไร คุณอาจประสบปัญหาจริงสำหรับสิ่งนั้น

มีเหตุผลสำหรับ บริษัท ที่มีข้อตกลงที่เข้มงวดระหว่างกันเมื่อมีการทำสัญญา pentesting บริษัท ที่มีความต้องการจำเป็นต้องได้รับการปกป้องอย่างเต็มที่ การเปิดเผยข้อมูลที่คุณไม่สามารถทำได้และจะทำให้คุณถูกฟ้องร้องหรือถูกดำเนินคดี

ให้บอกว่าคุณไปที่หัวหน้าฝ่ายการตลาด หัวหน้ายึดคนงานการตลาดลง คนการตลาดเริ่มคลุมตูดเขา เขาอาจชักชวนเจ้านายว่าเพื่อให้คุณมีข้อมูลนี้คุณต้องทำอะไรผิดกฎหมายหรือคล้ายกัน แม้ว่าในที่สุดคุณจะชนะคุณอาจอยู่ในศาลเป็นเวลานาน

หากพวกเขาไม่ต้องการใช้มันอย่างจริงจังในตอนแรกการกดดันให้พวกเขาใช้มันอย่างจริงจังเป็นไปได้มากที่จะทำให้คุณเดือดร้อน

เพื่อประโยชน์ของคุณวางไว้

แก้ไข: นอกจากนี้หากข้อตกลงดั้งเดิมสำหรับการตรวจสอบความปลอดภัยมีเฉพาะบางคนที่คุณอาจแจ้งให้ทราบคนอื่น ๆ ในบริษัทเดียวกันซึ่งไม่รวมอยู่ในข้อตกลงอาจทำให้คุณเดือดร้อน

— Artifex
แหล่งที่มา

จุดที่ดี ในทำนองเดียวกันการเปิดเผยว่าคุณตระหนักถึงปัญหาหลายปีต่อมาจะเปิดโอกาสให้คุณตอบคำถามที่ไม่สบายใจหากการอภิปรายเกิดขึ้นในด้านกฎหมายและธุรกิจ เป็นไปได้ยากที่ส่วนหนึ่งของข้อตกลงคือคุณจะ "ตรวจสอบกับพวกเขา" เป็นเวลาหลายปี

— damorg

6

เท่าที่ฉันเห็นคุณได้ทำงานของคุณ คุณทำการตรวจสอบและส่งผลลัพธ์ไปยังบุคคลที่เกี่ยวข้องในอำนาจ คำแนะนำของฉันคือถอยห่างจากมันไม่มีอะไรที่คุณจะทำได้อีกแล้ว แน่นอนว่าภาวะที่กลืนไม่เข้าคายไม่ออกนั้นคือลูกค้าผู้บริสุทธิ์สามารถสัมผัสกับจุดอ่อนด้านความปลอดภัยที่กำลังดำเนินอยู่ แต่นั่นไม่ใช่ปัญหาของคุณใช่หรือไม่ คุณไม่สามารถรับผิดชอบต่อส่วนใดส่วนหนึ่งของมันได้นอกเหนือจากการปลดออกจากงานของคุณ

— Maximus Minimus
แหล่งที่มา

6

คุณจะไม่รั่วไหลของข้อมูลนี้และคุณจะไม่ขายให้กับบุคคลภายนอก

มีบางอย่างที่นี่ฉันไม่เข้าใจ ... สามปีที่แล้ว? หากคุณทำการตรวจสอบบัญชีเมื่อ 3 ปีที่แล้วทำไมคุณถึงคิดอย่างนี้? คุณรู้สึกแย่กับเรื่องนี้หรือไม่หรือ บริษัท ที่ไม่ปลอดภัยยังคงว่าจ้าง บริษัท ของคุณสำหรับบริการด้านความปลอดภัย / การตรวจสอบบัญชี?

มันเป็นคำถามที่สำคัญเพราะถ้าคุณไม่มีธุรกิจกับ บริษัท นี้มา 3 ปีแล้วคำแนะนำที่ชัดเจนของฉันก็คือการเดินออกไป ดูเหมือนจะแปลกมากถ้าคุณปรากฏตัวอีกครั้งหลังจาก 3 ปีและเริ่มวิจารณ์ ถ้าเมื่อ 3 ปีก่อนคุณมีโอกาสกลับมาแล้วและคุณไม่ได้รับมัน ตอนนี้เดินออกไป

หาก บริษัท ของคุณยังคงทำธุรกิจกับ บริษัท ที่ไม่ปลอดภัยฉันจะเสนอให้หัวหน้าของคุณส่งจดหมายเข้าหากัน เจ้านายของคุณจะไม่สนุกกับสิ่งนี้ แต่สำหรับคุณมันจะดีกว่าถ้าจดหมายมาจาก บริษัท ของคุณมากกว่าจากตัวคุณเอง ส่งโดยใช้บริการส่งเอกสารถึงหัวหน้าผู้จัดการฝ่ายการตลาด (CEO) รักษาความสุภาพให้คลุมเครือและครอบคลุม บริษัท ของคุณเป็นหลัก ** และพาดพิงถึงการตัดสินใจด้านความปลอดภัยของผู้จัดการการตลาดที่อยู่นอกมาตรฐานอุตสาหกรรมที่ยอมรับซึ่งคุณรู้สึกว่าถูกบังคับให้ต้องก้าวขึ้นเหนือหัวเขา วัตถุประสงค์ของคุณไม่ได้บอกทุกอย่างวัตถุประสงค์ของคุณคือเพื่อให้ครอบคลุม บริษัท ของคุณ ** และเพื่อให้ CEO คนอื่น ๆ ส่งเสียงดังพอที่จะขอสำเนารายงานต้นฉบับของคุณ

การก้าวไปสู่หัวหน้าฝ่ายการตลาดถือเป็นก้าวที่แข็งแกร่งที่สุดที่ฉันสามารถแนะนำได้ และมันค่อนข้างแข็งแกร่งและไม่ต้องการ คุณถูกจ้างให้แสดงความคิดเห็นของผู้เชี่ยวชาญในด้านเดียว ไม่ดำเนินธุรกิจ

บนเว็บไซต์ที่ค่อนข้างน่าเศร้า: ไม่ใช่เรื่องแปลกที่จะเห็นคนทำธุรกิจที่ไร้จริยธรรมหรือไร้ความสามารถล้วนๆ บางครั้งสิ่งเหล่านี้อาจจ้างผู้ตรวจสอบความปลอดภัยโดยไม่ได้ตั้งใจใช้สิ่งที่ค้นพบ; ด้วยความตั้งใจที่จะบอกว่าพวกเขาได้รับการตรวจสอบโดย บริษัท รักษาความปลอดภัยที่รู้จักกันดี X นี่เป็นเรื่องน่าเศร้าและน่ารังเกียจ - แต่มันเป็นเรื่องจริงและคุณจะต้องคุ้นเคยกับมันหากคุณต้องการทำงานด้านการตรวจสอบความปลอดภัย

— Jesper M
แหล่งที่มา

3

ในทางกลับกันคุณต้องพิจารณาความรับผิดชอบของคุณสำหรับการไม่แจ้งให้ลูกค้าทราบถึงความเสี่ยงที่เพียงพอ คุณต้องพิจารณาว่าข้อผิดพลาดและการละเว้นประเภทใดที่ บริษัท ของคุณมีอยู่ คุณบอกว่า บริษัท ของคุณไม่สนใจ แต่ฉันพนันได้เลยว่าถ้าพวกเขาถูกลูกค้าฟ้องเรียกค่าเสียหายจากหนึ่งในลูกค้าของพวกเขามันจะได้รับความสนใจจากทุกคน

— หยุดชั่วคราวจนกว่าจะมีประกาศ
แหล่งที่มา

3

3 ปีที่แล้วคุณทำงานที่คุณได้รับค่าจ้าง หากคุณทำตามขั้นตอนทั้งหมดที่คุณต้องการในการทำงานของงานนั้นงานของคุณจะเสร็จสิ้น เกิน. เสร็จ

ฉันมีปัญหาร้ายแรงในการทำความเข้าใจว่าทำไมคุณมีเวลา 3 ปีในการทำสิ่งนี้และยังไม่ได้ นี่ฟังดูไม่เหมือนฉันว่าคุณกำลังมีปัญหาด้านจริยธรรม ในความเป็นจริงการพูดถึงอย่างมากของคุณเกี่ยวกับการขายข้อมูลแนะนำให้ฉันว่าคุณอาจมีแรงจูงใจที่แตกต่างกันมาก อย่างน้อยที่สุดฉันก็พบว่าตำแหน่งของคุณน่าสงสัยอย่างมาก

ในขณะที่คุณไม่ได้ทำอะไรเลยจนถึงตอนนี้ถ้าคุณเริ่มดำเนินการใด ๆ คุณอาจเปิดเผยตัวเองถึงการดำเนินคดีตามกฎหมาย กฎหมายแตกต่างกันไปในแต่ละสถานที่ แต่ฉันอยู่ที่ไหนถ้าใครบางคนตกเป็นเหยื่อของการขโมยข้อมูลผ่านกลไกที่คุณอธิบายและตอนนี้คุณก็แค่ดำเนินการตามความจริง หลักสูตรเดียวที่ปลอดภัยสำหรับคุณเป็นการส่วนตัว

— John Gardeniers
แหล่งที่มา

1

หากคุณอยู่ในธุรกิจของ "การตรวจสอบความปลอดภัย" การขุดข้อมูลและการขายมันเป็นไปไม่ได้ นรกความจริงที่ว่าคุณจะถามคำถามฉันสงสัยเกี่ยวกับจริยธรรมของคุณและฉันจะถามฉันอย่างแน่นอนว่าคุณเหมาะสมกับทีมรักษาความปลอดภัยหรือไม่

ต้องบอกว่าคุณทำงานของคุณ คุณถูกจ้างให้ทำการตรวจสอบความปลอดภัยและคุณได้ บริษัท ตระหนักถึงสิ่งที่ค้นพบเป็นลายลักษณ์อักษรหรือไม่? อย่างที่คนอื่นพูดคุณไม่สามารถบังคับให้ บริษัท ปิดช่องโหว่ความปลอดภัยได้ คำถามเชิงจริยธรรมคือเรียนรู้จากการตรวจสอบนี้และเดินหน้าต่อไป

— GregD
แหล่งที่มา

1

หากคุณกังวลเกี่ยวกับการทำงานของคุณอย่างถูกต้องแสดงว่าคุณได้ทำงานของคุณแล้ว เพียงเพราะไม่มีใครทำตามคำแนะนำของคุณไม่ได้สะท้อนถึงคุณ

แต่ถ้าคุณมีความกังวลเกี่ยวกับการถูกต้องตามกฎหมายของลูกค้าเป็นผู้ที่ตกเป็นเหยื่อของตัวตนหรือถูกขโมยบัตรเครดิตของผมว่าจะติดต่อFTC บ่นแผนก (สมมติว่าคุณอยู่ในสหรัฐฯหากไม่ใช่ประเทศของคุณอาจมีแผนกรัฐบาลที่คล้ายคลึงกัน)

— wfaulk
แหล่งที่มา

1

ฉันได้ทำไปสองสามภาคเรียนในจริยธรรมและมันเป็นคำถามที่ยากและเหนียว

การขอคำตอบที่ "ฉันควรทำอย่างไร" ที่นี่ไม่เคยได้คำตอบ "ถูกต้อง" สิ่งที่คุณจะได้รับคือคำตอบที่บังคับใช้อีกครั้งหรือต่อต้านความรู้สึกส่วนตัวของคุณในประเด็นนี้

นอกจากนี้คำตอบทั้งหมดที่คุณได้รับที่นี่จะได้รับอิทธิพลอย่างมากจากการกระทำหรือการตัดสินใจที่ผ่านมาของผู้คนที่พวกเขาอาศัยอยู่ที่ไหนพวกเขาเติบโตขึ้นมากฎหมายและขนบธรรมเนียมของท้องถิ่น ดังนั้นแม้ว่าพวกเขาจะเคยอยู่ในสถานการณ์เดียวกันกับคุณประสบการณ์ของพวกเขาอาจแตกต่างไปจากเดิมอย่างสิ้นเชิง

คำตอบสั้น ๆ คือ: คุณต้องทำสิ่งที่คุณเชื่อว่าถูกต้อง เห็นได้ชัดว่าคุณเชื่อว่าการอยู่เฉยไม่ใช่สิ่งที่ถูกต้อง หากคุณไม่ทำคุณจะไม่ถามคำถามนี้

โดยส่วนตัวแล้วฉันไม่เห็นด้วยกับทุกคนที่พูดว่า "วาง" หรือ "คุณทำงานของคุณเสร็จแล้ว" นั่นเป็นความเห็นที่ได้รับความนิยมเมื่อใดก็ตามที่จรรยาบรรณถูกตัดทอนลงใน ServerFault และไม่ใช่คำตอบที่ผิดมันไม่ใช่คำตอบของฉัน

— มาร์คเฮนเดอร์สัน
แหล่งที่มา

คำถามพื้นฐานที่นี่เป็นหนึ่งในขอบเขต หากเพื่อนบ้านของคุณสร้างรั้วที่อยู่ในดินแดนของเพื่อนบ้านอื่นคุณเรียกการบังคับใช้รหัสหรือตำรวจหรือไม่

— duffbeer703