Етична суперечка щодо нерозголошення безпеки [закрито]

Три роки тому я робив аудит безпеки для великого веб-сайту електронної комерції. Коли був проведений аудит, я виявив кілька серйозних проблем із безпекою, які дозволяють отримати доступ до даних, які не повинні бути доступними після завершення транзакції. На цьому сайті є кілька основних ризиків. По-перше, ви можете бачити замовлення, що надходять через систему в режимі реального часу; всі транзакції обробляються вручну цією компанією. Якщо ви переглядаєте транзакцію, ви можете побачити ім'я, адресу та місце доставки. Тут я бачу два пункти зловживання, 1 - ви можете просто відредагувати адресу та адресу відправлення до себе, а також 2 - ви можете зателефонувати користувачу правильно, як було зроблено замовлення, і зробити «підтвердження телефону», щоб отримати доступ просто до інформації про кредитну карту з базовою соціальною інженерією.

Ви також можете, трохи більше попрацювавши, скинути інформацію про ЦС та ідентифікаційні номери замовлення, а потім просто зіставити ідентифікатор замовлення та інформацію про користувача.

Це все за допомогою використання відкритих функцій на їхньому сайті та зміни кількох значень. Так, мені неясна причина.

Директор з маркетингу цієї компанії був попереджений про ці ризики три роки тому, і нічого не зробив, щоб їх виправити. Я не сумніваюся, що якщо я можу це знайти, можуть і інші. Цей сайт здійснює 88K транзакцій на рік і має всі замовлення, які коли-небудь обробляються, все ще зберігаються в даних і доступні.

Отже, етичне питання ... що мені робити? Моя компанія не хвилює ... тому я не можу отримати там допомогу. Якщо я зв’яжусь із маркетинговим хлопцем, він просто продовжить висвітлювати свою дупу та осли їх некомпетентної команди внутрішнього розвитку (холодний синтез). Я можу зв’язатися з ким-небудь вище? Я обходжу свою компанію? Чи я просто видобуваю дані та продаю їх конкуренту за вирахуванням інформації про CC? Що я роблю, знаючи це? Мене це нудить, і я не можу його відпустити. Це лише один із багатьох сайтів, про які я знаю, але простота доступу та великий трафік змушують багато роздумувати над цим.

Був час, коли я запропонував би вжити героїчних заходів для вирішення ситуації. Я з тих пір навчився краще - ви не можете змусити когось діяти в своїх інтересах. Це часто має для вас ненавмисні наслідки, які, ймовірно, будуть неприємними.

Подумайте про це ... ви

• Повідомте компанію за допомогою аудиторського звіту
• Поінформувало керівництво

Тож, якщо ви вдома зателефонуєте генеральному директору, ви закінчилися навколо свого керівництва і створили ситуацію, коли внутрішні люди, які займаються справою CYA, зроблять вас лиходієм. Генеральний директор вислухає свій некомпетентний персонал більше, ніж випадковий консультант, який робив аудит 3 роки тому.

Моя порада: заходьте пиво чи що завгодно, і ніколи більше не відвідуйте веб-сайт.

По-перше - ви не продаєте те, що знаєте, це, безумовно, неетично і може бути незаконно :)

Моєю другою порадою було б поїхати до боса з маркетингу Гая, аж до генерального директора цієї компанії. Якщо ви працюєте в аудиторській групі, їм не байдуже, що компанія робить з інформацією, тільки що вони повинні продати послугу в першу чергу.

По-третє, якщо це дійсно така велика угода, ви, можливо, зможете розпочати анонімну (або неанонімну) маркетингову / бойкотну кампанію щодо незахищеності сайту, фактично не порушуючи їх.

Але краще, ніж просити купу сисадмінів, було б поспілкуватися з поважним юристом :)

Вас взяли на роботу для проведення аудиту, тому ваш обов’язок - клієнт повідомити їх про результати аудиту. Що вони з цим роблять - це їхня справа. Вони вирішили ризики проти вартості змін. Не ти. Якщо у них є масштабні питання безпеки, і ви отримаєте повістку в суд, ви отримаєте свідчення про результати аудиту (3 роки тому). Це все, що стосується ваших зобов’язань.

У мене є новини для вас. Переважна більшість компаній на певному або іншому рівні обробляє дані клієнтів небезпечно. Скільки DBA мають повний доступ до всіх даних клієнтів? Дуже мало компаній управляє Oracle Vault.

"Я просто видобуваю дані та продаю їх конкуренту за вирахуванням інформації про CC?"

Тільки якщо ви хочете потрапити до в'язниці.

Ви можете опинитися по-справжньому тонкому льоду, якщо щось розкриєте. Ви можете зіткнутися з цим через справжні проблеми.

Існує причина, коли компанії мають жорсткі домовленості між собою, коли проводиться пенітенція. Компанії, що перебуває на перешкодах, потрібен весь захист, який вони можуть отримати. Розкривати інформацію, яку ви не маєте, не зможете, і ви будете подані до суду або притягнення до відповідальності.

Скажімо, ви йдете до начальника маркетингового хлопця. Бос стискає маркетингового хлопця. Хлопець з маркетингу починає прикривати попку. Він може переконати начальника, що для того, щоб ви мали цю інформацію, ви повинні зробити щось незаконне чи подібне. Навіть якщо ви зрештою виграєте, ви, можливо, будете тривалий час в суді.

Якщо вони не хочуть сприймати це серйозно при першому підході, тиск на них серйозно сприйме, швидше за все, у вас виникнуть проблеми.

Заради цього кинь його.

EDIT: Крім того, якщо оригінальна угода про аудит безпеки включає конкретних людей, яких ви можете лише повідомити, інформування інших в тій же компанії, яка не включена в угоду, може спричинити проблеми.

Наскільки я бачу, ви зробили свою роботу. Ви провели аудит та передали результати відповідній особі, яка перебуває у владі. Моя порада - просто відмовитися від цього, нічого більшого ви насправді не можете зробити. Звичайно, дилема полягає в тому, що невинні клієнти можуть піддаватися постійним недолікам безпеки, але це насправді не ваша проблема? Ви не можете брати на себе відповідальність за будь-яку її частину поза межами своєї роботи.

Ви точно не просочуєте цю інформацію, і звичайно не продаєте її стороннім особам.

Щось тут я не розумію ... три роки тому? Якщо ви робили аудит 3 роки тому, як це все ще залишається на увазі? Ви відчуваєте це погано з цього приводу, або незахищена компанія все ще підписує вашу компанію на послуги безпеки / аудиту?

Це важливе питання, адже якщо ви не працювали з цією компанією вже 3 роки, то моя чітка порада - це піти. Здавалося б, дуже дивно, якщо ви знову з’явитесь через 3 роки і почнете критикувати. Якщо це було 3 роки тому, то тоді у вас був шанс, і ви цього не взяли. Тепер піди.

Якщо ваша компанія все ще веде справу з незахищеною компанією , то я б запропонував сильно озброїти свого власного начальника, щоб вони разом надсилали їм лист. Ваш шеф не сподобається цьому; але для вас це набагато краще, якщо лист надходить від вашої компанії, а не від вас самих. Надішліть його кур’єром начальнику відділу маркетингу (CEO). Будьте ввічливими, тримайте їх розпливчастими і здебільшого висвітлюючи свої власні компанії **, і натякайте на те, що рішення щодо безпеки менеджерів з маркетингу були настільки далеко поза прийнятими галузевими стандартами, що ви відчували себе змушеними переходити його над головою. Ваша мета полягає не в тому, щоб розповісти все, ваша мета - прикрити власні компанії **, а інший генеральний директор розігратися досить, щоб попросити копію вашого оригінального звіту.

Перехід на керівника відділу маркетингу - це найсильніший крок, який я можу будь-яким чином рекомендувати. І це справді досить сильно, і небажано. Вас найняли для надання експертної думки з одного аспекту; не вести свій бізнес.

У дещо сумній примітці на сайті: Не рідкість бачити неетичних або просто некомпетентних ділових людей. Іноді вони можуть найняти аудиторів безпеки без наміру ніколи використовувати результати; з наміром лише сказати, що вони пройшли аудит відомої охоронної компанії X. Це, звичайно, сумно і образливо - але це реально, і вам доведеться звикнути, якщо ви хочете працювати в аудиті безпеки.

З іншого боку, ви повинні врахувати свою відповідальність за неналежне інформування клієнта про ризики. Ви повинні врахувати, яке покриття помилок та недоліків має ваша компанія. Ви кажете, що вашій компанії це не байдуже, але я обділяю, що якщо їх позовуть клієнт, викликаний позовом проти когось із своїх клієнтів, це приверне увагу кожного.

3 роки тому ви зробили роботу, за яку вам імовірно заплатили. Якщо ви виконали всі необхідні кроки від виконання цієї роботи, то ваша робота виконана. Над. Готово.

У мене є серйозні проблеми з розумінням того, чому у вас було 3 роки, щоб зробити щось з цього питання, а цього не зробили. Це не звучить для мене, як у вас є етичні проблеми. Насправді саме ваше згадування про можливу продаж інформації підказує мені, що у вас цілком можуть бути різні мотиви. Принаймні, я вважаю вашу позицію дуже сумнівною.

Оскільки ви досі нічого не робили, якщо ви взагалі починаєте вживати будь-які дії, ви, можливо, піддаєтеся можливим судовим позовам. Закони відрізняються від місця до місця, але там, де я є, якщо хтось став жертвою крадіжки даних через описані вами механізми, і ви тільки зараз вживаєте заходів, ви насправді є знаючим учасником через попередню бездіяльність. Єдиний безпечний для вас особисто курс - це скинути його.

Якщо ви займаєтесь "аудитами безпеки", видобуток інформації та продаж її не виникає. Чорт, той факт, що ви навіть задасте це питання, викликає у мене питання про вашу етику, і, безумовно, у мене виникне питання про те, чи не будете ви правильні для моєї команди безпеки.

Сказавши це, ви зробили свою роботу. Вас прийняли на роботу для перевірки безпеки, і ви зробили це. Чи письмово було відомо про результати дослідження компанії? Як уже говорили інші, ви не можете змусити компанію закривати лазівки в безпеці. Етичне запитання вивчається з цього аудиту та рухаємось далі.

Якщо ви стурбовані тим, як правильно виконувати свою роботу, ви зробили свою роботу. Тільки тому, що ніхто не діє на ваші рекомендації, не відображається на вас.

Однак якщо ви по праву занепокоєні тим, що їхні клієнти стають жертвами посвідчення особи або крадіжки кредитної картки, я б сказав звернутися до відділу зі скарг FTC . (Якщо припустити, що ви перебуваєте в США. Якщо ні, то, можливо, у вашій країні є аналогічний урядовий департамент.)

Я провів декілька семестрів з етики, і це справді важке, важке питання.

Просити тут відповідь "Що мені робити", це ніколи не отримає від вас "правильної" відповіді, все, що ви отримаєте, - це відповіді, які або повторно застосовують, або суперечать тим, що ваші особисті почуття щодо питання.

Крім того, на всі відповіді, які ви отримаєте тут, будуть сильно впливати минулі дії чи рішення людей, де вони живуть, де вони виросли, їхні місцеві закони та звичаї. Тож навіть якщо вони опинилися в тій же ситуації, в якій ви були, їх досвід може бути зовсім іншим.

Коротка відповідь: Вам потрібно зробити те, що ви вважаєте правильним. Зрозуміло, ви вважаєте, що бездіяльність - це не правильно. Якби ви цього не зробили, ви б цього не запитували.

Я особисто не погоджуюся з усіма, хто каже "Кинь" або "Ти зробив свою роботу". Це, мабуть, є популярною думкою, коли на ServerFault з'явилася етика. І це неправильна відповідь, це просто не моя відповідь.