¿Qué hacer si encuentra una vulnerabilidad en el sitio de un competidor?

37

Mientras trabajaba en un proyecto para mi empresa, necesitaba desarrollar una funcionalidad que permitiera a los usuarios importar / exportar datos hacia / desde el sitio de nuestro competidor. Mientras hacía esto, descubrí una vulnerabilidad de seguridad muy seria que podría, en resumen, ejecutar cualquier script en el sitio web de la competencia.

Mi sentimiento natural es informarles el problema con espíritu de buena voluntad. Explotar el tema para obtener ventaja cruzó mi mente, pero no quiero seguir ese camino.

Entonces mi pregunta es, ¿informaría una vulnerabilidad grave a su competencia directa para ayudarlos? ¿O mantendrás la boca cerrada? ¿Hay una mejor manera de hacerlo, tal vez para obtener al menos alguna ventaja del hecho de que les estoy ayudando informando el problema?

Actualización (aclaración) :

Gracias por todos sus comentarios hasta ahora, lo agradezco. ¿Cambiarían sus respuestas si tuviera que agregar que la competencia en cuestión es un gigante en el mercado (cientos de empleados en varios continentes), y mi empresa solo comenzó hace unas semanas (tres empleados)? No hace falta decir que definitivamente no nos recordarán y, en todo caso, solo se darán cuenta de que su sitio necesita trabajo (es por eso que ingresamos a este mercado en primer lugar).

Este podría ser uno de esos cambios morales versus comerciales, pero agradezco todos los consejos.

business security ethics vulnerabilities usuario17610
fuente
44
Depende de si eres moral o amoral.
dietbuddha
55
Reporte anónimamente desde una dirección de correo electrónico desechable detrás de un proxy sin ningún vínculo con su lugar de trabajo actual.
Trabajo
14
¿Por qué el tamaño de la empresa influye en lo que constituye un comportamiento ético?
JohnFx
66
Hay una pequeña anécdota sobre un tipo que intentó venderle a Pepsi algunos secretos de Coca-Cola ... Pepsi llamó a la policía por él. No importa cuán intensas sean las rivalidades, la competencia siempre debe basarse en prácticas comerciales justas y éticas. Si ustedes son mejores, los vencerán sin importar cuán grandes o arraigados estén. Puede que no suceda durante la noche, pero mira las guerras del navegador. ¡Lento pero seguro, las alternativas le están quitando participación a IE incluso con IE preinstalado!
Chris Thompson
@JohnFx +1: spot on question señor! Incluso podríamos usar el mismo argumento si la situación se invirtiera: "mi compañía es un gigante bien establecido y respetado y la suya es solo una pequeña compañía que probablemente fracasará tarde o temprano de todos modos". Independientemente del tamaño relativo de las empresas, la ética es la misma.
bedwyr

Respuestas:

63

Aunque me encantaría vivir en un mundo donde sería perfectamente seguro enviarles una nota para informarles, sugeriría involucrar primero a su departamento legal. Siendo realistas, es completamente posible que, por bien intencionado que sea su informe de error, alguien en la organización del competidor lo interpretará como "nuestro competidor acaba de pagarle a uno de sus empleados para que piratee nuestro sitio". Esa percepción podría crear problemas legales o de relaciones públicas tanto para usted como para su empresa. Involucrar a su departamento legal en la notificación debería ayudar a proteger a todos de la apariencia de incorrección. Por supuesto, eso crea la posibilidad de que el departamento legal concluya que notificar al competidor crea un riesgo legal inaceptable y le dice que solo se siente en la información. Pero eso'

Justin Cave
fuente
Con toda probabilidad, dirán que lo acepten, pero sabrán cuál es el mejor enfoque para hacerlo sin exponerlo a usted ni a su empresa a un backdraft legal no deseado.
HorusKol
Si el departamento legal dice que no, iría con la idea de correo electrónico anónimo. Y si dicen que sí, ¡asegúrate de que tu nombre esté allí en alguna parte!
Benjol
17
Por supuesto, me imagino que encontrar un "departamento legal" en una compañía de tres será bastante difícil :)
Benjol
@Benjol Cierto, pero definitivamente necesita asesoramiento legal en estos casos. Incluso si no pueden acusarlo de hackear su sitio, aún pueden afirmar que su carta era amenazante y que trató de chantajearlos.
biziclop
99
Me duele estar de acuerdo con esta respuesta. Es un comentario triste sobre la sociedad cuando se necesitan abogados para un informe de error de código.
jdl
30

Esto va a sonar horrible (al menos en comparación con la mayoría de las respuestas aquí) pero, aquí va mi 2 centavos:

¿Por qué deberías hacer algo al respecto?

Lo primero es lo primero, ya tienen empleados que deberían estar haciendo ese tipo de trabajo (encontrar problemas y solucionarlos).

En segundo lugar, la forma en que formuló su pregunta hace que parezca que se trata de una especie de dilema moral. No es. No hiciste nada para causar ese problema en primer lugar.

En tercer lugar, estás compitiendo contra ellos. Debería concentrarse en hacer ** SU producto lo mejor que existe, no el suyo.

Si todavía tiene dudas, regrese a mi punto n. ° 2 y vuelva a leerlo.

Jas
fuente
99
+1 por ser realista. No hagas nada ilegal, claro. ¿Inmoral? En los negocios, no hay moral ni inmoral. La empresa no tiene el concepto de moralidad.
Davor Ždralo
3
@HorusKol: el +1 no va a pagar salarios y costos para la empresa. Sin embargo, ofrecer un producto mejor que su competidor podría.
Jas
44
-1. Este tipo de pensamiento es un ejemplo clásico de la Tragedia de los Comunes. Los agujeros de seguridad son un problema de todos.
Mason Wheeler
66
@Mason Wheeler: La tragedia de los bienes comunes es un dilema que surge de la situación en la que múltiples individuos, actuando de manera independiente y racional consultando sus propios intereses, finalmente agotarán un recurso limitado compartido, incluso cuando está claro que no está en el beneficio de nadie. interés a largo plazo para que esto suceda. No veo cómo esto es aplicable aquí.
user17610
3
Francamente, estoy sorprendido de que sugieras no decirle a tu competidor sobre su error de seguridad. ¿Por qué no presentar un informe de error en forma de comunicado de prensa o correo electrónico promocional? Dicho informe de error debe tener en cuenta la ausencia de dicho error en su producto y las posibles implicaciones para los usuarios.
emory
22

Existe una delgada línea entre la exploración de vulnerabilidades y el espionaje industrial, y dado que está afiliado a su empleador, el competidor puede considerarlo como el último.

Si lo denuncias y hay una pesadilla legal / de relaciones públicas, serás el chivo expiatorio.

Hable con su departamento legal y déjelos manejarlo como mejor le parezca: hay una razón por la que ganan mucho más que los ingenieros.

Uri
fuente
20

Un mecanismo alternativo, aún no sugerido AFAICS, para llevar la información a su competidor sin riesgo para su propia empresa es permitir que una de las diversas compañías de informes de vulnerabilidad conozca la vulnerabilidad, y pedirles que la denuncien a su competidor. Ellos (la compañía de informes de vulnerabilidad) mantendrían su nombre fuera del informe; usted sería anónimo para su competidor. Una de esas compañías es la Iniciativa de Día Cero , ZDI, hay otras.

Jonathan Leffler
fuente
11

Filtra a los medios, de forma anónima, por supuesto, y luego ofrece una migración rápida a los clientes de la competencia. Esto puede parecer un golpe bajo, pero considere esto, no hay nada ilegal o poco ético en lo que está haciendo, además considere que es un perro que se come al mundo de perros en SW y que David va en contra de Goliat y necesitará toda la influencia. Recuerde, no es personal, es estrictamente comercial . Te harían lo mismo en un instante.

(FWIW Espero que esta respuesta sea rechazada, pero está bien porque lo que digo es la verdad, aunque sea dura).

Gaurav
fuente
Me parece bien: les avisas y obtienes ganancias al mismo tiempo. Sin embargo, existe la posibilidad de que se marquen y comiencen a buscar vulnerabilidades en su sitio.
apoorv020
@apoorv Solo significará que te has vuelto lo suficientemente grande como para preocupar al Goliat :-).
Gaurav
No entiendo por qué usar las palabras "fuga" y "anónimo". El OP no hizo nada malo o inmoral
emory
@ apporv020 debe asumir que ellos (y muchos otros) están constantemente pescando sus vulnerabilidades en el sitio 4.
emory
Dado que es una empresa "gigante" en su mercado, algo a considerar es cómo reaccionarán los clientes de su mercado si la vulnerabilidad se informa ampliamente en los medios. ¿Responderían con "Si no puedo confiar en mis datos con << empresa gigante >> debería estar haciendo esto?" La respuesta a eso puede ayudar a determinar qué tan público quiere que sea su informe de vulnerabilidad. Sus acciones pueden afectar la percepción de su mercado en general.
Zusukar
8

¿Qué le gustaría que hicieran si encontraran una vulnerabilidad de seguridad en su software? Esa debería ser la primera pregunta que haga. Si la respuesta es "Realmente agradecería que me lo dijeran", bueno, ¡entonces tienes tu respuesta!

No importa que sean una empresa gigante o una tienda de tres personas, y no importa que usted sea una tienda de tres personas o una empresa gigante. Como se ha dicho, su reputación lo es todo, especialmente en esta pequeña comunidad conocida como software.

Jesse McCulloch
fuente
3
¿No está haciendo lo contrario de lo que la competencia quiere una estrategia comercial normal?
user17610
@ user17610 - Supongo que eso depende de la situación ... no puedo hacer una declaración general y tomar todas tus decisiones con eso. Si su competencia quiere ganar mucho dinero, ¿hará lo contrario?
Jesse McCulloch
No, entonces me aseguraré de que no
ganen montones
2
+1 para "¿qué le gustaría que hicieran si encontraran la vulnerabilidad en su software?"
Craige
-1: Me gustaría que me lo dijeran, ¡porque posteriormente acusarlos de espionaje industrial ayudará a corroer su cuota de mercado! Nunca asumas benevolencia en tu competidor ...
recursion.ninja
8

Si está importando / exportando datos entre sus sistemas y los suyos, su vulnerabilidad de seguridad podría convertirse fácilmente en su vulnerabilidad de seguridad.

Querrás cubrir tu trasero tecnológicamente y legalmente. Asegúrese de que se solucione, pero asegúrese de que su departamento legal tenga una mano en notificarlos.

Ben L
fuente
5

Obviamente, hágales saber.

Si "por la bondad de su corazón" no es una razón suficientemente buena, considere que está implementando esta función como un beneficio para sus propios clientes. Usted está indirectamente protegiendo sus datos al reportar este error.

jdl
fuente
2

Solo hay una opción honorable. Dígales.

Eric King
fuente
0

Personalmente les diría.

Otras personas han señalado los posibles problemas de relaciones públicas / legales, y si después de hablar con una capa o agente de relaciones públicas se le aconseja que no lo informe, TODAVÍA LO INFORMARÉ, pero de forma anónima.

Le está haciendo un favor a sus clientes potenciales, ayudándoles a proteger sus datos.

Dominique McDonnell
fuente
Sí: correo anónimo a seclists.org/fulldisclosure , he he he ...;)
Henrik
@Downvoter, ¿algún comentario sobre por qué?
Dominique McDonnell
0

En principio, estoy totalmente de acuerdo con lo que la mayoría dice aquí: intensifíquelo e infórmelo. Existe un código de honor profesional como en alta mar: si un barco está en problemas, usted ayuda, sin importar a quién pertenezca.

Sin embargo, al leer su actualización, probablemente decidiría no decirles debido al riesgo de que la acción bien intencionada se tome de la manera incorrecta (como el espionaje industrial como dice @Uri), y dar lugar a hostilidades que son mucho más peligrosas para tu tienda de tres hombres de lo que serán para ellos.

Tal vez deje caer una nota anónima; tal vez no hagas nada en absoluto. Si eres David, no tienes que decirle a Goliat que tiene una abeja sentada sobre su espalda.

Pekka 웃
fuente
-1

La naturaleza, a pesar de sus lados duros, tiene sus ocasiones amables. Y los representa sin pensarlo dos veces.

El perro no come perro. Más bien, las personas aburridas pagan por peleas ilegales de perros. Y los abogados cobran el dinero. Incluido de tu jefe. Más de lo que quieres ahora. Pueden drenar felizmente las startups sin parpadear.

También es muy posible que alguien en "competidor" ya lo sepa. Llevar las noticias puede significar más responsabilidades que ser un simple mensajero que pasa. ¿Es eso mejor que hablar con las paredes?

Negocio de seguridad: muchos servidores con grandes agujeros están en línea. Este servidor es otro. Trabajo a tiempo completo para algunos. ¿Has revisado tus propios agujeros? todos ellos ?

Cuida tu paso.

Los datos de los clientes son la obsesión importante.

revs usuario17685
fuente
2
Bien, he leído esta publicación dos veces, y todavía no estoy seguro de qué lado del debate está apoyando ... :)
Cyclops
-1

Dígales. Luego envíe su currículum. Podrían estar contratando. :)

davidhaskins
fuente
18
Prefiero no trabajar para personas que escriben un código tan malo que 15 minutos de inspección conducen al descubrimiento de una vulnerabilidad grave;)
user17610
@ user17610: De acuerdo, una variante ajustada: dígales y vea si lo arreglan. Si no lo arreglan en un tiempo razonable, no les envíe su currículum.
Sharptooth
-1

¡Dígales! Que es lo que hay que hacer. Además, ¿qué le gustaría que hicieran si estuvieras en su lugar?

No se puede valorar la buena voluntad que podría surgir de esto.

KM01
fuente