3 năm trước, tôi đã thực hiện kiểm toán bảo mật cho một trang web thương mại điện tử lớn. Khi kiểm toán được định dạng trước, tôi đã tìm thấy một số vấn đề bảo mật nghiêm trọng cho phép truy cập vào dữ liệu không thể truy cập được sau khi giao dịch hoàn tất. Trên trang web này có một số rủi ro lớn. Đầu tiên bạn có thể thấy các lệnh đến thông qua hệ thống thời gian thực; tất cả các giao dịch được xử lý thủ công bởi công ty này. Nếu bạn xem giao dịch, bạn có thể thấy tên, địa chỉ và địa chỉ giao hàng. Tôi thấy 2 điểm lạm dụng ở đây, 1 - bạn chỉ có thể chỉnh sửa tàu để giải quyết và gửi lô hàng cho chính mình và 2 - bạn có thể gọi cho người dùng ngay khi đơn hàng được đặt và thực hiện “cấu hình điện thoại” để truy cập đơn giản thông tin cc với kỹ thuật xã hội cơ bản.Đạo đức an toàn không tiết lộ
Bạn cũng có thể làm việc nhiều hơn một chút với thông tin cc và số id đơn hàng và sau đó chỉ cần khớp với id đơn đặt hàng và thông tin người dùng. Đây là tất cả bằng cách sử dụng các chức năng tiếp xúc trên trang web của họ và sửa đổi một vài giá trị. Có im là mơ hồ vì một lý do.
Giám đốc tiếp thị tại công ty này đã được cảnh báo về những rủi ro này cách đây 3 năm và không làm gì để sửa chúng. Tôi không nghi ngờ nếu tôi có thể tìm thấy những người khác có thể. Trang web này thực hiện 88 nghìn giao dịch mỗi năm và có tất cả các đơn hàng đã từng xử lý vẫn còn trong dữ liệu và có thể truy cập được.
Vì vậy, câu hỏi về đạo đức ... tôi phải làm gì? Công ty của tôi không quan tâm ... vì vậy tôi không thể được giúp đỡ ở đó. Nếu tôi liên lạc với anh chàng tiếp thị, anh ta sẽ chỉ tiếp tục bao gồm mông của anh ấy và những kẻ lừa đảo của đội ngũ phát triển nội bộ không đủ năng lực (phản ứng tổng hợp lạnh). Tôi có liên lạc với ai đó cao hơn không? Tôi có đi quanh công ty của tôi không? Tôi chỉ cần khai thác dữ liệu và bán nó cho một đối thủ cạnh tranh trừ đi thông tin cc? Tôi phải làm gì khi biết điều này? Nó dai dẳng với tôi và tôi không thể để nó đi. Đây chỉ là một trong nhiều trang web mà tôi biết, nhưng sự dễ dàng truy cập và lưu lượng truy cập cao khiến tôi suy nghĩ rất nhiều về điều này.
Tôi đang bỏ phiếu để đóng câu hỏi này là không có chủ đề bởi vì đó là về lập trình viên chứ không phải là lập trình. – gunr2171