จะทำอย่างไรถ้าคุณพบช่องโหว่ในเว็บไซต์ของคู่แข่ง

ในขณะที่ทำงานในโครงการสำหรับ บริษัท ของฉันฉันจำเป็นต้องสร้างฟังก์ชันการทำงานที่อนุญาตให้ผู้ใช้นำเข้า / ส่งออกข้อมูลไปยัง / จากเว็บไซต์ของคู่แข่งของเรา ในขณะที่ทำสิ่งนี้ฉันค้นพบช่องโหว่ด้านความปลอดภัยที่ร้ายแรงซึ่งอาจกล่าวได้ว่าในสคริปต์ของเว็บไซต์ของคู่แข่ง

ความรู้สึกตามธรรมชาติของฉันคือการรายงานปัญหาให้กับพวกเขาในจิตวิญญาณของความปรารถนาดี การเอารัดเอาเปรียบปัญหาเพื่อให้ได้เปรียบได้ใจ แต่ฉันไม่ต้องการที่จะลงเส้นทางที่

ดังนั้นคำถามของฉันคือคุณจะรายงานช่องโหว่ที่ร้ายแรงต่อการแข่งขันโดยตรงของคุณเพื่อช่วยเหลือพวกเขาหรือไม่? หรือคุณจะปิดปากของคุณ? มีวิธีที่ดีกว่าในการทำสิ่งนี้หรืออาจได้รับประโยชน์จากข้อเท็จจริงที่ว่าฉันช่วยพวกเขาด้วยการรายงานปัญหา

อัปเดต (ชี้แจง) :

ขอบคุณสำหรับคำติชมทั้งหมดของคุณฉันขอขอบคุณ คำตอบของคุณจะเปลี่ยนแปลงหรือไม่ถ้าฉันจะเพิ่มว่าการแข่งขันในคำถามเป็นพฤติกรรมที่สำคัญในตลาด (พนักงานหลายร้อยคนในหลายทวีป) และ บริษัท ของฉันเริ่มต้นเมื่อไม่กี่สัปดาห์ที่ผ่านมา (พนักงานสามคน)? มันไปโดยไม่บอกพวกเขาแน่นอนที่สุดจะไม่จดจำเราและหากมีอะไรเพียงตระหนักว่าเว็บไซต์ของพวกเขาต้องการทำงาน (ซึ่งเป็นเหตุผลที่เราเข้าสู่ตลาดนี้ในตอนแรก)

นี่อาจเป็นหนึ่งในคุณธรรมและการทำธุรกิจ แต่ฉันขอขอบคุณคำแนะนำทั้งหมด

แม้ว่าฉันจะชอบที่จะอยู่ในโลกที่ปลอดภัยอย่างสมบูรณ์แบบเพียงแค่ส่งบันทึกย่อให้พวกเขาทราบ แต่ฉันขอแนะนำให้เกี่ยวข้องกับฝ่ายกฎหมายของคุณก่อน ตามความเป็นจริงเป็นไปได้อย่างสมบูรณ์ว่าอย่างไรก็ตามเจตนาดีที่รายงานข้อผิดพลาดของคุณคือใครบางคนในองค์กรของคู่แข่งจะตีความว่าเป็น "คู่แข่งของเราเพิ่งจ่ายพนักงานคนหนึ่งของพวกเขาเพื่อแฮ็คเว็บไซต์ของเรา" การรับรู้ที่สามารถสร้างปัญหาทางกฎหมายหรือการประชาสัมพันธ์สำหรับทั้งคุณและ บริษัท ของคุณ การมีส่วนร่วมในแผนกกฎหมายของคุณในการแจ้งเตือนจะช่วยป้องกันทุกคนจากการปรากฏตัวที่ไม่เหมาะสม แน่นอนว่าสร้างความเป็นไปได้ที่ฝ่ายกฎหมายสรุปว่าการแจ้งให้คู่แข่งทราบจะสร้างความเสี่ยงทางกฎหมายที่ยอมรับไม่ได้และบอกให้คุณนั่งลงข้อมูล แต่นั่น'

นี่จะฟังดูแย่มาก (อย่างน้อยเมื่อเทียบกับคำตอบส่วนใหญ่ที่นี่) แต่ที่นี่ 2 เซ็นต์ของฉัน:

ทำไมคุณต้องทำอะไรเกี่ยวกับเรื่องนี้?

สิ่งแรกคือพวกเขามีพนักงานที่ควรทำงานประเภทนั้นอยู่แล้ว (ค้นหาปัญหาและแก้ไขปัญหา)

ประการที่สองวิธีที่คุณสร้างคำถามของคุณทำให้ดูเหมือนว่านี่เป็นประเด็นขัดแย้งทางศีลธรรม มันไม่ใช่. คุณไม่ได้ทำอะไรเพื่อทำให้เกิดปัญหานั้นตั้งแต่แรก

ประการที่สามคุณแข่งขันกับพวกเขา คุณควรให้ความสำคัญกับการทำให้ผลิตภัณฑ์ของคุณดีที่สุดไม่ใช่ของพวกเขา

หากคุณยังสงสัยอยู่ให้กลับไปที่ประเด็นของฉันข้อ 2 แล้วอ่านใหม่

มีเส้นบาง ๆ ระหว่างการสำรวจช่องโหว่และการจารกรรมทางอุตสาหกรรมและเนื่องจากคุณเป็นพันธมิตรกับนายจ้างของคุณผู้แข่งขันจึงสามารถพิจารณาได้ในภายหลัง

หากคุณรายงานและมีฝันร้ายทางกฎหมาย / การประชาสัมพันธ์คุณจะเป็นแพะรับบาป

พูดคุยกับแผนกกฎหมายของคุณและให้พวกเขาจัดการตามที่เห็นสมควร - มีเหตุผลที่พวกเขาทำมากกว่าวิศวกร

กลไกทางเลือกที่ยังไม่ได้แนะนำ AFAICS ในการรับข้อมูลให้กับคู่แข่งของคุณโดยไม่ต้องเสี่ยงกับ บริษัท ของคุณคือการให้ บริษัท รายงานช่องโหว่หลายแห่งทราบเกี่ยวกับช่องโหว่ดังกล่าวและขอให้พวกเขารายงานต่อคู่แข่งของคุณ พวกเขา (บริษัท รายงานช่องโหว่) จะไม่เปิดเผยชื่อของคุณในรายงาน - คุณจะไม่เปิดเผยชื่อคู่แข่งของคุณ หนึ่งใน บริษัท ดังกล่าวคือZero Day Initiative , ZDI - มีอีกหลาย บริษัท

รั่วไหลไปยังสื่อแน่นอนโดยไม่ระบุชื่อจากนั้นนำเสนอการโยกย้ายอย่างรวดเร็วให้กับลูกค้าของคู่แข่ง สิ่งนี้อาจดูเหมือนว่าเป็นเรื่องไม่ดีนัก แต่ให้พิจารณาสิ่งนี้ไม่มีอะไรผิดกฎหมายหรือผิดจรรยาบรรณเกี่ยวกับสิ่งที่คุณกำลังทำอยู่พิจารณาต่อไปว่ามันเป็นสุนัขที่กินโลกของสุนัขในทิศตะวันตกเฉียงเหนือ โปรดจำไว้ว่ามันไม่ได้เป็นส่วนบุคคลอย่างเคร่งครัดธุรกิจ พวกเขาจะทำเช่นเดียวกันกับคุณในการเต้นของหัวใจ

(FWIW ฉันคาดหวังคำตอบนี้อย่างเต็มที่ว่าจะลงคะแนน แต่ก็ไม่เป็นไรเพราะสิ่งที่ฉันพูดคือความจริงแม้ว่าจะเป็นคำที่รุนแรงก็ตาม)

คุณต้องการให้พวกเขาทำอะไรหากพบว่ามีช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์ของคุณ นั่นควรเป็นคำถามแรกที่คุณถาม หากคำตอบคือ "ฉันจะขอบคุณถ้าพวกเขาบอกฉันว่า" ดีแล้วคุณมีคำตอบ!

ไม่สำคัญว่าพวกเขาจะเป็น บริษัท ยักษ์ใหญ่หรือร้านค้าแบบสามคนและไม่สำคัญว่าคุณจะเป็นร้านค้าแบบสามคนหรือ บริษัท ยักษ์ใหญ่ ดังที่ได้กล่าวไว้ชื่อเสียงของคุณคือทุกสิ่งโดยเฉพาะในชุมชนเล็ก ๆ ที่รู้จักกันในชื่อซอฟต์แวร์

หากคุณกำลังนำเข้า / ส่งออกข้อมูลระหว่างระบบและของคุณเองช่องโหว่ด้านความปลอดภัยอาจกลายเป็นช่องโหว่ด้านความปลอดภัยของคุณได้อย่างง่ายดาย

คุณจะต้องครอบคลุมก้นของคุณด้วยเทคโนโลยีและถูกกฎหมาย ตรวจสอบให้แน่ใจว่าได้รับการแก้ไขแล้ว แต่ให้แน่ใจว่าฝ่ายกฎหมายของคุณมีมือแจ้งให้ทราบ

เห็นได้ชัดว่าให้พวกเขารู้

หาก "ออกจากความดีในหัวใจของคุณ" ไม่ได้เป็นเหตุผลที่ดีพอให้พิจารณาว่าคุณกำลังใช้คุณสมบัตินี้เพื่อประโยชน์ของลูกค้าของคุณเอง คุณกำลังปกป้องข้อมูลของพวกเขาทางอ้อมโดยการรายงานข้อผิดพลาดนี้

มีเพียงหนึ่งทางเลือกที่มีเกียรติ บอกพวกเขา.

ส่วนตัวฉันจะบอกพวกเขา

คนอื่น ๆ ได้ชี้ให้เห็นถึงปัญหาด้าน PR / กฎหมายที่เป็นไปได้และหากหลังจากที่ได้พูดคุยกับเลเยอร์หรือตัวแทน PR คุณควรที่จะไม่รายงานเรื่องนั้นฉันจะรายงานเรื่องนี้ต่อไป

มันทำให้ลูกค้าของคุณเป็นที่โปรดปรานด้วยการช่วยปกป้องข้อมูลของพวกเขา

โดยหลักการแล้วฉันเห็นด้วยอย่างยิ่งกับสิ่งที่พูดมากที่สุด: ก้าวขึ้นและรายงาน มีเกียรติอย่างมืออาชีพเช่นในทะเล: หากเรือมีปัญหาคุณช่วยได้ไม่ว่าจะเป็นใครก็ตาม

การอ่านการอัปเดตของคุณอย่างไรก็ตามฉันอาจตัดสินใจบอกพวกเขาเนื่องจากความเสี่ยงที่การกระทำที่เจตนาดีอาจผิดไป (เป็นจารกรรมอุตสาหกรรมตามที่ @Uri พูด) และนำไปสู่การสู้รบที่อันตรายกว่า ร้านค้าสามคนของคุณมากกว่าที่พวกเขาจะเป็นพวกเขา

อาจวางบันทึกย่อที่ไม่ระบุชื่อ อาจจะไม่ทำอะไรเลย หากคุณเป็นเดวิดคุณไม่จำเป็นต้องบอกโกลิอัทว่าเขามีผึ้งตัวหนึ่งกำลังนั่งอยู่บนหลังของเขา

ธรรมชาติแม้จะมีด้านที่รุนแรงมีโอกาสที่ใจดี และทำหน้าที่ออกมาโดยไม่ต้องคิดสองครั้ง

สุนัขไม่กินสุนัข คนที่เบื่อจะจ่ายเงินเพื่อต่อสู้กับสุนัขที่ผิดกฎหมาย และทนายความเก็บเงิน รวมถึงจากบอสของคุณ มากกว่าที่คุณต้องการตอนนี้ พวกเขาสามารถระบาย startups อย่างมีความสุขโดยไม่กระพริบ

เป็นไปได้มากที่บางคนใน "คู่แข่ง" ก็รู้อยู่แล้ว การนำเสนอข่าวอาจหมายถึงความรับผิดชอบมากกว่าการเป็นผู้ส่งสารผ่านอย่างง่าย มันดีกว่าคุยกับกำแพงเหรอ?

ธุรกิจด้านความปลอดภัย: เซิร์ฟเวอร์จำนวนมากที่มีช่องโหว่ขนาดใหญ่กำลังออนไลน์อยู่ เซิร์ฟเวอร์นี้เป็นอีกเซิร์ฟเวอร์หนึ่ง งานประจำสำหรับบางคน คุณได้ตรวจสอบหลุมของคุณเอง? ทั้งหมดนั้น ?

ดูขั้นตอนของคุณ

ข้อมูลลูกค้าเป็นสิ่งที่สำคัญมาก

บอกพวกเขา. จากนั้นส่งประวัติย่อของคุณ พวกเขาอาจจะจ้าง :)

บอกพวกเขา! มันเป็นสิ่งที่ถูกต้องที่จะทำ นอกจากนี้สิ่งที่ต้องการให้พวกเขาทำถ้าคุณอยู่ในจุดของพวกเขา?

คุณไม่สามารถให้คุณค่ากับความปรารถนาดีที่จะเกิดขึ้นได้