Đạo đức an toàn không tiết lộ

Question

3 năm trước, tôi đã thực hiện kiểm toán bảo mật cho một trang web thương mại điện tử lớn. Khi kiểm toán được định dạng trước, tôi đã tìm thấy một số vấn đề bảo mật nghiêm trọng cho phép truy cập vào dữ liệu không thể truy cập được sau khi giao dịch hoàn tất. Trên trang web này có một số rủi ro lớn. Đầu tiên bạn có thể thấy các lệnh đến thông qua hệ thống thời gian thực; tất cả các giao dịch được xử lý thủ công bởi công ty này. Nếu bạn xem giao dịch, bạn có thể thấy tên, địa chỉ và địa chỉ giao hàng. Tôi thấy 2 điểm lạm dụng ở đây, 1 - bạn chỉ có thể chỉnh sửa tàu để giải quyết và gửi lô hàng cho chính mình và 2 - bạn có thể gọi cho người dùng ngay khi đơn hàng được đặt và thực hiện “cấu hình điện thoại” để truy cập đơn giản thông tin cc với kỹ thuật xã hội cơ bản.

Bạn cũng có thể làm việc nhiều hơn một chút với thông tin cc và số id đơn hàng và sau đó chỉ cần khớp với id đơn đặt hàng và thông tin người dùng. Đây là tất cả bằng cách sử dụng các chức năng tiếp xúc trên trang web của họ và sửa đổi một vài giá trị. Có im là mơ hồ vì một lý do.

Giám đốc tiếp thị tại công ty này đã được cảnh báo về những rủi ro này cách đây 3 năm và không làm gì để sửa chúng. Tôi không nghi ngờ nếu tôi có thể tìm thấy những người khác có thể. Trang web này thực hiện 88 nghìn giao dịch mỗi năm và có tất cả các đơn hàng đã từng xử lý vẫn còn trong dữ liệu và có thể truy cập được.

Vì vậy, câu hỏi về đạo đức ... tôi phải làm gì? Công ty của tôi không quan tâm ... vì vậy tôi không thể được giúp đỡ ở đó. Nếu tôi liên lạc với anh chàng tiếp thị, anh ta sẽ chỉ tiếp tục bao gồm mông của anh ấy và những kẻ lừa đảo của đội ngũ phát triển nội bộ không đủ năng lực (phản ứng tổng hợp lạnh). Tôi có liên lạc với ai đó cao hơn không? Tôi có đi quanh công ty của tôi không? Tôi chỉ cần khai thác dữ liệu và bán nó cho một đối thủ cạnh tranh trừ đi thông tin cc? Tôi phải làm gì khi biết điều này? Nó dai dẳng với tôi và tôi không thể để nó đi. Đây chỉ là một trong nhiều trang web mà tôi biết, nhưng sự dễ dàng truy cập và lưu lượng truy cập cao khiến tôi suy nghĩ rất nhiều về điều này.

Answer 1

Có hai trường phái tư duy: tiết lộ trách nhiệm và tiết lộ đầy đủ. Nhưng, nếu bạn đã làm nó vào thời gian công ty của bạn (đánh giá) sau đó tôi nghĩ rằng bạn đang bị ràng buộc chặt chẽ để không tiết lộ công khai.

Answer 2

Apporach thực tế, bạn đã tìm thấy các lỗ hổng bảo mật và cảnh báo chúng. Nếu họ không muốn sửa chúng, đó là công việc của họ.

Có thể giám đốc tiếp thị không phải là người phù hợp để xử lý thông tin này. Bạn có thể thử sử dụng các kỹ năng ngoại giao của bạn và liên hệ với quản lý cấp trên. Nhưng đừng trách ai cả. Bởi vì điều này sẽ phản tác dụng.

Tôi sẽ không bán bất cứ thứ gì cho đối thủ cạnh tranh vì điều đó chắc chắn sẽ mang đến cho bạn rất nhiều rắc rối.

Answer 3

Từ quan điểm khách hàng thông thường, tôi nghĩ mức độ chăm sóc khách hàng trong công ty này sẽ được công khai. Họ thực sự không quan tâm đến bất kỳ lỗ nào có thể tiết lộ dữ liệu cá nhân của khách hàng. Vì vậy, họ thực sự phải bị trừng phạt. Nhưng tiết lộ những lỗ hổng này sẽ không chỉ gây thiệt hại cho họ, mà là khách hàng của họ.

Nếu bạn được thanh toán để kiểm tra bảo mật, bạn có quyền đạo đức không được xuất bản thông tin về nội dung bạn đã tìm thấy hoặc cũng không sử dụng nó theo bất kỳ cách nào. Ai sẽ tin tưởng chuyên gia bảo mật tiết lộ những gì ông đã tìm thấy ngay cả sau nhiều năm? Tôi nghĩ rằng không có gì bạn có thể làm.

Answer 4

Tôi sẽ vạch ra sự cố đầu tiên như trải nghiệm học tập của bạn. Bạn và khách hàng (và quản lý của bạn) đã không làm rõ các giới hạn trách nhiệm của bạn.

Tôi nghĩ câu hỏi thực sự của bạn là "Làm cách nào để ngăn điều này xảy ra lần nữa?"

Answer 5

Tôi đã đối mặt với một similar scenario trong quá khứ. Mặc dù tôi tình cờ gặp lỗ hổng thay vì được trả tiền để thực hiện kiểm tra bút hoặc kiểm tra bảo mật.

Tôi đã nghiêm túc bị cám dỗ để đăng chi tiết lên các tờ báo của chúng tôi và sau đó là danh sách gửi thư đầy đủ (cùng với các liên hệ của chính phủ) khi không có hành động nào sau 2 năm, nhưng quyết định rằng dữ liệu quá nguy hiểm cho những người có khả năng gây hại.

Lựa chọn khó.

Answer 6

Nếu đó là một tổ chức tư nhân và bạn tin rằng bạn đã đáp ứng các điều khoản của hợp đồng với họ, tôi cho rằng bạn đã làm tất cả những gì bạn có thể.

Nếu tuy nhiên đó là một tổ chức nhận tài trợ công bằng bất kỳ cách nào, tôi khuyên bạn nên cho họ thêm một cơ hội và sau đó chuyển sang báo chí (công nghệ).

Answer 7

Tìm đúng người trong công ty.

Nếu không có đúng người có được đối tượng với mức cao nhất bạn có thể và giải thích sự cố trong một vài câu phi kỹ thuật đơn giản.

"Mỗi khách hàng duy nhất đã từng sử dụng thông tin dịch vụ này có thể bị đánh cắp ngay hôm nay, ngay bây giờ, bởi một người bán thông thái. Tôi đặt cơ hội này xảy ra ở% 50 trong năm tới. Nếu/khi điều này xảy ra nó sẽ tốn 5 triệu trong vụ kiện, 1 triệu giờ làm thêm giờ, n triệu trong danh tiếng, n triệu trong tương lai bị mất khách hàng/đơn đặt hàng ".

Điều đó đã làm việc cho tôi trong quá khứ và nếu bạn làm điều đó, bạn sẽ cố gắng hết sức để làm điều đúng.