จะทำอย่างไรถ้าคุณพบช่องโหว่ในเว็บไซต์ของคู่แข่ง


37

ในขณะที่ทำงานในโครงการสำหรับ บริษัท ของฉันฉันจำเป็นต้องสร้างฟังก์ชันการทำงานที่อนุญาตให้ผู้ใช้นำเข้า / ส่งออกข้อมูลไปยัง / จากเว็บไซต์ของคู่แข่งของเรา ในขณะที่ทำสิ่งนี้ฉันค้นพบช่องโหว่ด้านความปลอดภัยที่ร้ายแรงซึ่งอาจกล่าวได้ว่าในสคริปต์ของเว็บไซต์ของคู่แข่ง

ความรู้สึกตามธรรมชาติของฉันคือการรายงานปัญหาให้กับพวกเขาในจิตวิญญาณของความปรารถนาดี การเอารัดเอาเปรียบปัญหาเพื่อให้ได้เปรียบได้ใจ แต่ฉันไม่ต้องการที่จะลงเส้นทางที่

ดังนั้นคำถามของฉันคือคุณจะรายงานช่องโหว่ที่ร้ายแรงต่อการแข่งขันโดยตรงของคุณเพื่อช่วยเหลือพวกเขาหรือไม่? หรือคุณจะปิดปากของคุณ? มีวิธีที่ดีกว่าในการทำสิ่งนี้หรืออาจได้รับประโยชน์จากข้อเท็จจริงที่ว่าฉันช่วยพวกเขาด้วยการรายงานปัญหา

อัปเดต (ชี้แจง) :

ขอบคุณสำหรับคำติชมทั้งหมดของคุณฉันขอขอบคุณ คำตอบของคุณจะเปลี่ยนแปลงหรือไม่ถ้าฉันจะเพิ่มว่าการแข่งขันในคำถามเป็นพฤติกรรมที่สำคัญในตลาด (พนักงานหลายร้อยคนในหลายทวีป) และ บริษัท ของฉันเริ่มต้นเมื่อไม่กี่สัปดาห์ที่ผ่านมา (พนักงานสามคน)? มันไปโดยไม่บอกพวกเขาแน่นอนที่สุดจะไม่จดจำเราและหากมีอะไรเพียงตระหนักว่าเว็บไซต์ของพวกเขาต้องการทำงาน (ซึ่งเป็นเหตุผลที่เราเข้าสู่ตลาดนี้ในตอนแรก)

นี่อาจเป็นหนึ่งในคุณธรรมและการทำธุรกิจ แต่ฉันขอขอบคุณคำแนะนำทั้งหมด


4
ขึ้นอยู่กับว่าคุณเป็นผู้มีคุณธรรมหรือไร้ศีลธรรม
dietbuddha

5
รายงานโดยไม่ระบุชื่อจากที่อยู่อีเมลสำรองจากด้านหลังพร็อกซี่โดยไม่เกี่ยวข้องกับสถานที่ทำงานปัจจุบันของคุณ
งาน

14
เหตุใดขนาดของ บริษัท จึงมีผลต่อพฤติกรรมที่มีจริยธรรม
JohnFx

6
มีเรื่องราวเล็ก ๆ น้อย ๆ เกี่ยวกับผู้ชายคนหนึ่งที่พยายามขายเป๊ปซี่ความลับบางส่วนจากโค้ก ... เป๊ปซี่เรียกตำรวจมาหาเขา ไม่ว่าคู่แข่งจะมีความรุนแรงเพียงใดการแข่งขันควรอยู่บนพื้นฐานของการดำเนินธุรกิจอย่างยุติธรรมและมีจริยธรรม หากพวกคุณเก่งกว่าคุณจะเอาชนะพวกเขาได้ไม่ว่าพวกเขาจะใหญ่หรือยึดมั่นแค่ไหน มันอาจไม่เกิดขึ้นข้ามคืน แต่ดูที่สงครามเบราว์เซอร์ ช้า ๆ แต่ก็มีทางเลือกอื่นที่จะแบ่งส่วนแบ่งจาก IE แม้ว่าจะติดตั้ง IE ไว้แล้วก็ตาม!
Chris Thompson

@JohnFx +1: พบกับคำถามของคุณ! เราสามารถใช้เหตุผลเดียวกันนี้ได้หากสถานการณ์กลับตัว: "บริษัท ของฉันเป็น บริษัท ที่มีชื่อเสียงและเป็นที่ยอมรับและ บริษัท ของพวกเขาเป็นเพียง บริษัท เล็ก ๆ ซึ่งน่าจะล้มเหลวไม่ช้าก็เร็ว" ไม่ว่าขนาดของ บริษัท จะมีขนาดเท่าใดก็ตามจริยธรรมก็เหมือนกัน
bedwyr

คำตอบ:


63

แม้ว่าฉันจะชอบที่จะอยู่ในโลกที่ปลอดภัยอย่างสมบูรณ์แบบเพียงแค่ส่งบันทึกย่อให้พวกเขาทราบ แต่ฉันขอแนะนำให้เกี่ยวข้องกับฝ่ายกฎหมายของคุณก่อน ตามความเป็นจริงเป็นไปได้อย่างสมบูรณ์ว่าอย่างไรก็ตามเจตนาดีที่รายงานข้อผิดพลาดของคุณคือใครบางคนในองค์กรของคู่แข่งจะตีความว่าเป็น "คู่แข่งของเราเพิ่งจ่ายพนักงานคนหนึ่งของพวกเขาเพื่อแฮ็คเว็บไซต์ของเรา" การรับรู้ที่สามารถสร้างปัญหาทางกฎหมายหรือการประชาสัมพันธ์สำหรับทั้งคุณและ บริษัท ของคุณ การมีส่วนร่วมในแผนกกฎหมายของคุณในการแจ้งเตือนจะช่วยป้องกันทุกคนจากการปรากฏตัวที่ไม่เหมาะสม แน่นอนว่าสร้างความเป็นไปได้ที่ฝ่ายกฎหมายสรุปว่าการแจ้งให้คู่แข่งทราบจะสร้างความเสี่ยงทางกฎหมายที่ยอมรับไม่ได้และบอกให้คุณนั่งลงข้อมูล แต่นั่น'


ในทุกโอกาสที่พวกเขาบอกว่าจะไปกับมัน - แต่พวกเขาจะรู้วิธีที่ดีที่สุดที่จะไปเกี่ยวกับเรื่องนี้โดยไม่ต้องเปิดเผยคุณหรือ บริษัท ของคุณเพื่อ backdraft กฎหมายที่ไม่พึงประสงค์
HorusKol

หากฝ่ายกฎหมายบอกว่าไม่ฉันจะไปกับแนวคิดอีเมลที่ไม่ระบุชื่อ และถ้าพวกเขาบอกว่าใช่ให้แน่ใจว่าชื่อของคุณอยู่ที่นั่นที่ไหนสักแห่ง!
Benjol

17
แน่นอนว่าการหา "ฝ่ายกฎหมาย" ใน บริษัท ที่สามเป็นไปได้ยากสวยฉันคิด :)
Benjol

@Benjol True แต่คุณต้องการคำแนะนำทางกฎหมายในกรณีเหล่านี้อย่างแน่นอน แม้ว่าพวกเขาจะไม่สามารถกล่าวหาคุณแฮ็คไซต์ของพวกเขาพวกเขายังสามารถอ้างว่าจดหมายของคุณกำลังคุกคามและคุณพยายามแบล็กเมล์
biziclop

9
มันทำให้ฉันเห็นด้วยกับคำตอบนี้ มันเป็นความเห็นที่น่าเศร้าในสังคมเมื่อนักกฎหมายต้องการรายงานข้อผิดพลาดรหัส
jdl

30

นี่จะฟังดูแย่มาก (อย่างน้อยเมื่อเทียบกับคำตอบส่วนใหญ่ที่นี่) แต่ที่นี่ 2 เซ็นต์ของฉัน:

ทำไมคุณต้องทำอะไรเกี่ยวกับเรื่องนี้?

สิ่งแรกคือพวกเขามีพนักงานที่ควรทำงานประเภทนั้นอยู่แล้ว (ค้นหาปัญหาและแก้ไขปัญหา)

ประการที่สองวิธีที่คุณสร้างคำถามของคุณทำให้ดูเหมือนว่านี่เป็นประเด็นขัดแย้งทางศีลธรรม มันไม่ใช่. คุณไม่ได้ทำอะไรเพื่อทำให้เกิดปัญหานั้นตั้งแต่แรก

ประการที่สามคุณแข่งขันกับพวกเขา คุณควรให้ความสำคัญกับการทำให้ผลิตภัณฑ์ของคุณดีที่สุดไม่ใช่ของพวกเขา

หากคุณยังสงสัยอยู่ให้กลับไปที่ประเด็นของฉันข้อ 2 แล้วอ่านใหม่


9
+1 สำหรับความสมจริง อย่าทำอะไรผิดกฎหมายอย่างแน่นอน ผิดศีลธรรม? ในธุรกิจไม่มีคุณธรรมหรือผิดศีลธรรม บริษัท ไม่มีสิ่งใดเป็นแนวคิดเรื่องคุณธรรม
Davor Ždralo

3
@HorusKol - +1 จะไม่จ่ายเงินเดือนและค่าใช้จ่ายสำหรับ บริษัท การนำเสนอผลิตภัณฑ์ที่ดีกว่าคู่แข่งของคุณอย่างไรก็ตามอาจ
Jas

4
-1 การคิดแบบนี้เป็นตัวอย่างคลาสสิกของโศกนาฏกรรมของสาธารณะ ช่องโหว่ด้านความปลอดภัยเป็นปัญหาของทุกคน
Mason Wheeler

6
@Mason Wheeler: โศกนาฏกรรมของคอมมอนส์เป็นภาวะที่กลืนไม่เข้าคายไม่ออกที่เกิดขึ้นจากสถานการณ์ที่หลายคนทำหน้าที่อย่างอิสระและมีเหตุผลให้คำปรึกษาผลประโยชน์ของตัวเองในท้ายที่สุดจะทำให้หมดสิ้นลงในที่สุดทรัพยากรที่ใช้ร่วมกัน จำกัด แม้ว่ามันจะไม่ชัดเจน ดอกเบี้ยระยะยาวสำหรับสิ่งนี้จะเกิดขึ้น ฉันไม่เห็นว่าสิ่งนี้ใช้ได้อย่างไรที่นี่
user17610

3
ตรงไปตรงมาฉันตกใจที่คุณไม่แนะนำให้บอกคู่แข่งของคุณเกี่ยวกับข้อผิดพลาดด้านความปลอดภัย ทำไมไม่ยื่นรายงานข้อผิดพลาดในรูปแบบของข่าวประชาสัมพันธ์หรืออีเมลส่งเสริมการขาย รายงานข้อผิดพลาดดังกล่าวควรสังเกตว่าไม่มีข้อบกพร่องดังกล่าวในผลิตภัณฑ์ของคุณและความเป็นไปได้ที่จะเกิดขึ้นกับผู้ใช้
emory

22

มีเส้นบาง ๆ ระหว่างการสำรวจช่องโหว่และการจารกรรมทางอุตสาหกรรมและเนื่องจากคุณเป็นพันธมิตรกับนายจ้างของคุณผู้แข่งขันจึงสามารถพิจารณาได้ในภายหลัง

หากคุณรายงานและมีฝันร้ายทางกฎหมาย / การประชาสัมพันธ์คุณจะเป็นแพะรับบาป

พูดคุยกับแผนกกฎหมายของคุณและให้พวกเขาจัดการตามที่เห็นสมควร - มีเหตุผลที่พวกเขาทำมากกว่าวิศวกร


20

กลไกทางเลือกที่ยังไม่ได้แนะนำ AFAICS ในการรับข้อมูลให้กับคู่แข่งของคุณโดยไม่ต้องเสี่ยงกับ บริษัท ของคุณคือการให้ บริษัท รายงานช่องโหว่หลายแห่งทราบเกี่ยวกับช่องโหว่ดังกล่าวและขอให้พวกเขารายงานต่อคู่แข่งของคุณ พวกเขา (บริษัท รายงานช่องโหว่) จะไม่เปิดเผยชื่อของคุณในรายงาน - คุณจะไม่เปิดเผยชื่อคู่แข่งของคุณ หนึ่งใน บริษัท ดังกล่าวคือZero Day Initiative , ZDI - มีอีกหลาย บริษัท


11

รั่วไหลไปยังสื่อแน่นอนโดยไม่ระบุชื่อจากนั้นนำเสนอการโยกย้ายอย่างรวดเร็วให้กับลูกค้าของคู่แข่ง สิ่งนี้อาจดูเหมือนว่าเป็นเรื่องไม่ดีนัก แต่ให้พิจารณาสิ่งนี้ไม่มีอะไรผิดกฎหมายหรือผิดจรรยาบรรณเกี่ยวกับสิ่งที่คุณกำลังทำอยู่พิจารณาต่อไปว่ามันเป็นสุนัขที่กินโลกของสุนัขในทิศตะวันตกเฉียงเหนือ โปรดจำไว้ว่ามันไม่ได้เป็นส่วนบุคคลอย่างเคร่งครัดธุรกิจ พวกเขาจะทำเช่นเดียวกันกับคุณในการเต้นของหัวใจ

(FWIW ฉันคาดหวังคำตอบนี้อย่างเต็มที่ว่าจะลงคะแนน แต่ก็ไม่เป็นไรเพราะสิ่งที่ฉันพูดคือความจริงแม้ว่าจะเป็นคำที่รุนแรงก็ตาม)


ดูเหมือนว่าดีกับฉัน: คุณแจ้งให้พวกเขาและทำกำไรในเวลาเดียวกัน อย่างไรก็ตามมีโอกาสที่พวกเขาจะถูกติ๊กและเริ่มหาช่องโหว่ในไซต์ของคุณ
apoorv020

@apoorv มันจะหมายความว่าคุณมีขนาดใหญ่พอที่จะกังวลโกลิอัท :-)
Gaurav

ฉันไม่เข้าใจว่าทำไมใช้คำว่า "รั่วไหล" และ "ไม่ระบุชื่อ" OP ไม่ได้ทำอะไรผิดหรือผิดศีลธรรม
เอมอรี

@ apporv020 คุณควรถือว่าพวกเขา (และกลุ่มอื่น ๆ ทั้งหมด) r ทำการประมงช่องโหว่ของเว็บไซต์ 4 อย่างต่อเนื่อง
emory

เนื่องจากเป็น บริษัท "behemoth" ในตลาดของคุณสิ่งที่ต้องพิจารณาคือลูกค้าของตลาดของคุณจะตอบสนองอย่างไรหากมีการรายงานช่องโหว่ในสื่ออย่างกว้างขวาง พวกเขาจะตอบกลับด้วยหรือไม่หากฉันไม่เชื่อถือข้อมูลของฉันกับ บริษัท << behemoth company ฉันควรทำสิ่งนี้ทั้งหมดหรือไม่ คำตอบที่สามารถช่วยในการกำหนดว่าคุณต้องการให้รายงานความเสี่ยงของคุณเป็นแบบสาธารณะอย่างไร การกระทำของคุณอาจส่งผลกระทบต่อการรับรู้ของตลาดโดยรวม
Zusukar

8

คุณต้องการให้พวกเขาทำอะไรหากพบว่ามีช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์ของคุณ นั่นควรเป็นคำถามแรกที่คุณถาม หากคำตอบคือ "ฉันจะขอบคุณถ้าพวกเขาบอกฉันว่า" ดีแล้วคุณมีคำตอบ!

ไม่สำคัญว่าพวกเขาจะเป็น บริษัท ยักษ์ใหญ่หรือร้านค้าแบบสามคนและไม่สำคัญว่าคุณจะเป็นร้านค้าแบบสามคนหรือ บริษัท ยักษ์ใหญ่ ดังที่ได้กล่าวไว้ชื่อเสียงของคุณคือทุกสิ่งโดยเฉพาะในชุมชนเล็ก ๆ ที่รู้จักกันในชื่อซอฟต์แวร์


3
ไม่ได้ทำในสิ่งที่ตรงกันข้ามกับการแข่งขันที่ต้องการกลยุทธ์ทางธุรกิจปกติหรือไม่?
user17610

@ user17610 - ฉันเดาว่าขึ้นอยู่กับสถานการณ์ ... ไม่สามารถทำรายงานแบบครอบคลุมและทำการตัดสินใจทั้งหมดของคุณได้ หากการแข่งขันของคุณต้องการสร้างรายได้จำนวนมากคุณจะทำตรงกันข้าม
Jesse McCulloch

ไม่ฉันจะตรวจสอบให้แน่ใจว่าพวกเขาไม่ได้ทำเงินจำนวนมาก;)
user17610

2
+1 สำหรับ "คุณต้องการให้พวกเขาทำอะไรหากพวกเขาพบช่องโหว่ในซอฟต์แวร์ของคุณ"
Craige

-1: ฉันต้องการให้พวกเขาบอกฉันเพราะการกล่าวหาพวกเขาในเรื่องการจารกรรมทางอุตสาหกรรมจะช่วยทำลายส่วนแบ่งการตลาดของพวกเขา! อย่าถือว่าความเมตตากรุณาในคู่แข่งของคุณ ...
recursion.ninja

8

หากคุณกำลังนำเข้า / ส่งออกข้อมูลระหว่างระบบและของคุณเองช่องโหว่ด้านความปลอดภัยอาจกลายเป็นช่องโหว่ด้านความปลอดภัยของคุณได้อย่างง่ายดาย

คุณจะต้องครอบคลุมก้นของคุณด้วยเทคโนโลยีและถูกกฎหมาย ตรวจสอบให้แน่ใจว่าได้รับการแก้ไขแล้ว แต่ให้แน่ใจว่าฝ่ายกฎหมายของคุณมีมือแจ้งให้ทราบ


5

เห็นได้ชัดว่าให้พวกเขารู้

หาก "ออกจากความดีในหัวใจของคุณ" ไม่ได้เป็นเหตุผลที่ดีพอให้พิจารณาว่าคุณกำลังใช้คุณสมบัตินี้เพื่อประโยชน์ของลูกค้าของคุณเอง คุณกำลังปกป้องข้อมูลของพวกเขาทางอ้อมโดยการรายงานข้อผิดพลาดนี้



0

ส่วนตัวฉันจะบอกพวกเขา

คนอื่น ๆ ได้ชี้ให้เห็นถึงปัญหาด้าน PR / กฎหมายที่เป็นไปได้และหากหลังจากที่ได้พูดคุยกับเลเยอร์หรือตัวแทน PR คุณควรที่จะไม่รายงานเรื่องนั้นฉันจะรายงานเรื่องนี้ต่อไป

มันทำให้ลูกค้าของคุณเป็นที่โปรดปรานด้วยการช่วยปกป้องข้อมูลของพวกเขา


Yup: อีเมลที่ไม่ระบุชื่อไปที่seclists.org/fulldisclosureเขาเขา ... ;)
Henrik

@Downvoter ความคิดเห็นใด ๆ ว่าเป็นเพราะเหตุใด
Dominique McDonnell

0

โดยหลักการแล้วฉันเห็นด้วยอย่างยิ่งกับสิ่งที่พูดมากที่สุด: ก้าวขึ้นและรายงาน มีเกียรติอย่างมืออาชีพเช่นในทะเล: หากเรือมีปัญหาคุณช่วยได้ไม่ว่าจะเป็นใครก็ตาม

การอ่านการอัปเดตของคุณอย่างไรก็ตามฉันอาจตัดสินใจบอกพวกเขาเนื่องจากความเสี่ยงที่การกระทำที่เจตนาดีอาจผิดไป (เป็นจารกรรมอุตสาหกรรมตามที่ @Uri พูด) และนำไปสู่การสู้รบที่อันตรายกว่า ร้านค้าสามคนของคุณมากกว่าที่พวกเขาจะเป็นพวกเขา

อาจวางบันทึกย่อที่ไม่ระบุชื่อ อาจจะไม่ทำอะไรเลย หากคุณเป็นเดวิดคุณไม่จำเป็นต้องบอกโกลิอัทว่าเขามีผึ้งตัวหนึ่งกำลังนั่งอยู่บนหลังของเขา


-1

ธรรมชาติแม้จะมีด้านที่รุนแรงมีโอกาสที่ใจดี และทำหน้าที่ออกมาโดยไม่ต้องคิดสองครั้ง

สุนัขไม่กินสุนัข คนที่เบื่อจะจ่ายเงินเพื่อต่อสู้กับสุนัขที่ผิดกฎหมาย และทนายความเก็บเงิน รวมถึงจากบอสของคุณ มากกว่าที่คุณต้องการตอนนี้ พวกเขาสามารถระบาย startups อย่างมีความสุขโดยไม่กระพริบ

เป็นไปได้มากที่บางคนใน "คู่แข่ง" ก็รู้อยู่แล้ว การนำเสนอข่าวอาจหมายถึงความรับผิดชอบมากกว่าการเป็นผู้ส่งสารผ่านอย่างง่าย มันดีกว่าคุยกับกำแพงเหรอ?

ธุรกิจด้านความปลอดภัย: เซิร์ฟเวอร์จำนวนมากที่มีช่องโหว่ขนาดใหญ่กำลังออนไลน์อยู่ เซิร์ฟเวอร์นี้เป็นอีกเซิร์ฟเวอร์หนึ่ง งานประจำสำหรับบางคน คุณได้ตรวจสอบหลุมของคุณเอง? ทั้งหมดนั้น ?

ดูขั้นตอนของคุณ

ข้อมูลลูกค้าเป็นสิ่งที่สำคัญมาก


2
โอเคฉันได้อ่านโพสต์นี้สองครั้ง - และฉันก็ยังไม่แน่ใจว่าจะสนับสนุนด้านใดของการอภิปราย ... :)
Cyclops

-1

บอกพวกเขา. จากนั้นส่งประวัติย่อของคุณ พวกเขาอาจจะจ้าง :)


18
ฉันต้องการที่จะไม่ทำงานสำหรับคนที่เขียนรหัสไม่ดีเช่นนั้นการตรวจสอบ 15 นาทีนำไปสู่การค้นพบช่องโหว่ที่ร้ายแรง;)
user17610

@ user17610: ตกลงตัวแปรที่ปรับแล้ว: บอกพวกเขาและดูว่าพวกเขาแก้ไขหรือไม่ หากพวกเขาไม่สามารถแก้ไขได้ในเวลาที่เหมาะสมอย่าส่งประวัติส่วนตัวของคุณไปให้พวกเขา
sharptooth

-1

บอกพวกเขา! มันเป็นสิ่งที่ถูกต้องที่จะทำ นอกจากนี้สิ่งที่ต้องการให้พวกเขาทำถ้าคุณอยู่ในจุดของพวกเขา?

คุณไม่สามารถให้คุณค่ากับความปรารถนาดีที่จะเกิดขึ้นได้

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.