Вопрос: Этическое затруднение в отношении нераскрытия безопасности [закрыто]


Три года назад я провела аудит безопасности на большом веб-сайте электронной торговли. Когда аудит был выполнен, я обнаружил несколько серьезных проблем безопасности, которые позволяют получить доступ к данным, которые не должны быть доступны после завершения транзакции. На этом сайте есть несколько основных рисков. Во-первых, вы можете видеть заказы, поступающие через систему в реальном времени; все транзакции обрабатываются вручную этой компанией. Если вы просматриваете транзакцию, вы можете увидеть имя, адрес и место доставки. Здесь я вижу два пункта о злоупотреблениях: 1 - вы можете просто отредактировать судно для адресации и отправить отправленную вам информацию, а 2 - вы можете позвонить пользователю в порядке, когда заказ был помещен, и сделать «подтверждение телефона», чтобы получить доступ просто к информации кредитной карты с базовой социальной инженерией.

Вы также можете, с небольшой дополнительной работой, сбросить идентификационные данные CC и номера заказа, а затем просто сопоставить идентификатор заказа и информацию о пользователе.

Это все, используя открытые функции на своем сайте и изменяя пару значений. Да, я неясна по какой-то причине.

Директор по маркетингу этой компании был предупрежден об этих рисках три года назад и ничего не сделал для их исправления. Я не сомневаюсь, что если я смогу найти это, другие могут. Этот сайт выполняет 88 тыс. Транзакций в год и имеет все заказы, которые когда-либо обрабатывались и доступны.

Итак, этический вопрос ... что мне делать? Моя компания не заботится ... поэтому я не могу получить помощь там. Если я свяжусь с маркетологом, он просто продолжит прикрывать свою задницу и задницы их некомпетентной команды внутреннего развития (холодный синтез). Я могу связаться с кем-то выше? Я обойду свою компанию? Я просто использую данные и продаю их конкуренту за вычетом информации CC? Что я знаю об этом? Это придирается ко мне, и я не могу допустить этого. Это только один из многих сайтов, о которых я знаю, но легкость доступа и высокий трафик заставляют меня задуматься над этим.


13
2017-09-29 06:41


Источник


The marketing director at this company was warned about these risks three years ago er ... не в этой компании есть технический директор или ИТ-директор, о которых следует сообщить? Директор по маркетингу не должен быть ответственным за ИТ. - Powerlord
Этот вопрос не соответствует теме в текущих правилах актуальности. - HopelessN00b


Ответы:


Было время, когда я предлагаю принять героические меры для разрешения ситуации. С тех пор я учился лучше - вы не можете заставить кого-то действовать в своих собственных интересах. Для этого часто возникают непреднамеренные последствия, которые могут быть неприятными.

Подумайте об этом ... вы

  • Информировал компанию через ваш аудиторский отчет
  • Сообщили своему руководству

Поэтому, если вы идете и звоните генеральному директору дома, вы теперь закончили свое управление и создали ситуацию, когда внутренние люди, которые делают CYA, собираются сделать вас злодеем. Генеральный директор будет слушать своего некомпетентного персонала больше, чем случайный консультант, который провел аудит 3 года назад.

Мой совет: пойдите, выпейте пиво или что хотите, и никогда больше не посещайте сайт.


15
2017-09-29 09:24



+1 "не может заставить кого-то действовать в своих собственных интересах". - pjc50
Но это не их наилучшего интереса или только косвенно. Это лучший интерес для своих клиентов. - wfaulk
@wfaulk: Это может быть правдой, но это также не бизнес консультанта, который был принесен много лет назад. К сожалению, мир полон людей, которые являются неумелыми, невежественными или плохими актерами. У нас нет индивидуальной ответственности за решение каждой проблемы - ИТ-специалисты не являются супергероями. - duffbeer703


Во-первых - вы не продаете то, что знаете, это безусловно неэтично, и может быть незаконным :)

Моим вторым советом было бы пойти к начальнику Marketing Guy, вплоть до генерального директора этой компании. Если вы работаете в аудиторской группе, им все равно, что компания делает с информацией, просто чтобы они продали услугу в первую очередь.

В-третьих, если это действительно это вы можете начать анонимную (или не анонимную) кампанию по маркетингу / бойкоту в отношении неуверенности сайта без на самом деле компрометируя их.

Но лучше, чем попросить группу сисадминов, было бы поговорить с уважаемым адвокатом :)


8
2017-09-29 06:52



+1 для контакта с адвокатом. - Dennis Williamson


Вы были наняты для проведения аудита, поэтому ваша обязанность заключается в том, чтобы клиент информировал их о результатах аудита. То, что они делают с этим, - это их бизнес. Они решили риск и стоимость изменений. Не вы. Если у них есть серьезная проблема с безопасностью, и вы получаете повестку, вы можете дать показания о результатах аудита (3 года назад). Это все, что касается ваших обязательств.

У меня есть новости для вас. Подавляющее большинство компаний обрабатывают данные клиентов небезопасно, на том или ином уровне. Сколько DBA имеет полный доступ ко всем данным клиента? Очень немногие компании используют Oracle Vault.

«Я просто использую данные и продаю их конкуренту за вычетом информации CC?»

Только если вы хотите отправиться в тюрьму.


7
2017-09-29 12:00



Это точно. Каждая компания будет проводить анализ затрат и выгод по любой проблеме, которая представлена, и иногда они предпочитают подметать проблемы под ковриком и надеяться, что они останутся незамеченными. Вы сделали свою часть. - Ed Leighton-Dick


Вы можете быть на самом тонком льду, если вы раскрываете что-либо. Вы можете столкнуться с настоящей проблемой.

Существует причина для компаний, имеющих строгие соглашения между собой, когда пентестинг заключен. Пентеристической компании нужна вся защита, которую они могут получить. Раскрытие информации, которую вы не можете, может получить, и вы получите иск или привлечены к ответственности.

Допустим, вы идете к боссу маркетолога. Босс зажимает маркетолога. Парень маркетинга начинает прикрывать свою задницу. Он может убедить начальника, что для того, чтобы вы получили эту информацию, вы, должно быть, сделали что-то незаконное или подобное. Даже если вы в конечном итоге выиграете, вы можете быть в суде надолго.

Если они не хотят воспринимать это всерьез при первом подходе, давление на них, чтобы воспринимать это всерьез, скорее всего, вызовет у вас проблемы.

Ради вас, капля его.

EDIT: Кроме того, если исходное соглашение для аудита безопасности включает конкретных людей, которые вы можете сообщить, информируя других в одна и та же компания, не включенная в соглашение, может вызвать у вас проблемы.


6
2017-09-29 07:30



хорошие моменты. Аналогичным образом, показывая, что вы осознаете проблемы спустя годы, действительно открывает вам некоторые неудобные вопросы, если дискуссия перейдет в юридические и деловые сферы. Вряд ли часть соглашения заключалась в том, что вы будете «проверять их» на долгие годы. - damorg


Насколько я вижу, вы сделали свою работу. Вы провели аудит и передали результаты соответствующему лицу, имеющему полномочия. Мой совет - просто отступить от него, вы больше ничего не сможете сделать. Конечно, дилемма заключается в том, что невинные клиенты могут быть подвержены постоянным недостаткам безопасности, но на самом деле это не ваша проблема? Вы не можете брать на себя ответственность за какую-либо ее часть за пределы своей работы.


6
2017-09-29 08:29





Вы, конечно, не просачиваете эту информацию, и вы, конечно же, не продаете ее посторонним.

Здесь есть что-то Я не понимаю ... три года назад? Если вы провели аудит 3 года назад, почему это все еще на уме? Чувствуете ли вы это плохо, или небезопасная компания по-прежнему заключает контракт с вашей компанией на службы безопасности / аудита?

Это важный вопрос, потому что, если у вас нет бизнеса с этой компанией уже 3 года, тогда мой четкий совет уходит. Казалось бы, очень странно, если вы снова появляетесь через 3 года и начинаете критиковать. Если это было 3 года назад, тогда у вас был шанс тогда, и вы не приняли его. Теперь уходи.

Если ваша компания все еще ведет бизнес с небезопасной компанией, тогда я бы предложил поднять собственного босса, отправив им письмо вместе. Вашему боссу это не понравится; но для вас гораздо лучше, если письмо приходит от вас, а не от вас. Отправьте его курьером руководителю маркетинговых менеджеров (CEO). Держите его вежливым, держите его неопределенным и в основном охватывайте свои собственные компании **, и ссылайтесь на решения по безопасности для менеджеров по маркетингу, которые до сих пор находятся за пределами общепринятых отраслевых стандартов, которые вы чувствовали необходимость пережить его голову. Ваша цель не в том, чтобы рассказать все, ваша цель состоит в том, чтобы покрыть ваши собственные компании **, и заставить другого генерального директора затрепетать, чтобы попросить копию вашего первоначального отчета.

Переход руководителя маркетинговых менеджеров - самый сильный шаг Я могу в любом случае рекомендовать. И это действительно довольно сильное и нежелательное. Вы были наняты для предоставления экспертного заключения по одному аспекту; а не для ведения бизнеса.

На несколько грустном примечании: не редкость видеть неэтичных или просто некомпетентных деловых людей. Иногда они могут нанимать аудиторов безопасности без намерения когда-либо использовать результаты; с намерением сказать, что они были проверены известной компанией безопасности X. Это, конечно, печально и оскорбительно, но это реально, и вам придется привыкнуть к нему, если вы хотите работать в аудите безопасности.


6
2017-09-29 09:34





С другой стороны, вы должны учитывать свою ответственность за неспособность информировать клиента о рисках. Вы должны учитывать, какие виды ошибок и ошибок покрывает ваша компания. Вы говорите, что вашей компании все равно, но я готов поспорить, что если они будут предъявлены иск со стороны клиента, вызванного одним противником их противником, это привлечет всеобщее внимание.


3
2017-09-29 08:05