Що робити, якщо ви виявите вразливість на сайті конкурента?

Працюючи над проектом для своєї компанії, мені потрібно було створити функціонал, який дозволяє користувачам імпортувати / експортувати дані до / з сайту нашого конкурента. Роблячи це, я виявив дуже серйозний подвиг безпеки, який, коротше кажучи, може виконувати будь-який сценарій на веб-сайті конкурента.

Моє природне почуття - повідомити про це питання в дусі доброї волі. Експлуатуючи проблему, щоб отримати перевагу, перехрестилося мені, але я не хочу йти цим шляхом.

Отже, моє запитання полягає в тому, чи не могли б ви повідомити про серйозну вразливість до прямої конкуренції, щоб допомогти їм? Або ти б закрив рот? Чи є кращий спосіб зробити це, можливо, отримати хоч якусь перевагу від того, що я їм допомагаю, повідомляючи про проблему?

Оновлення (уточнення) :

Дякую за всі ваші відгуки поки що, я ціную це. Чи змінились би ваші відповіді, якби додати, що йдеться про конкуренцію - це гемот на ринку (сотні працівників на кількох континентах), і моя компанія розпочала роботу лише кілька тижнів тому (три співробітники)? Само собою зрозуміло, що вони, безумовно, не пам’ятатимуть нас, і якщо що, тільки зрозуміють, що їхньому сайту потрібна робота (саме тому ми вперше вийшли на цей ринок).

Це може бути однією з тих моральних і бізнес-підкидків, але я ціную всі поради.

Хоча я хотів би жити у світі, де було б абсолютно безпечно просто залишити їм записку, щоб повідомити їх, я б запропонував спочатку залучити ваш юридичний відділ. Реально, цілком можливо, що як би добровільний ваш звіт про помилку, хтось із організації конкурента трактує це як "наш конкурент просто заплатив одному зі своїх співробітників за злом нашого сайту". Таке сприйняття може створити юридичні та PR-проблеми як для вас, так і для вашої компанії. Залучення вашого юридичного департаменту до сповіщення повинно допомогти захистити всіх від появи недоречності. Звичайно, це створює можливість того, що юридичний департамент приходить до висновку, що сповіщення конкурента створює неприйнятний юридичний ризик і говорить вам просто посидіти на інформації. Але це'

Це буде звучати жахливо (принаймні, порівняно з більшістю відповідей тут), але ось мої 2 копійки:

Навіщо робити щось з цього приводу?

По-перше, по-перше, у них вже є працівники, які повинні виконувати таку роботу (пошук проблем та їх усунення).

По-друге, те, як ви сформували своє запитання, звучить так, ніби це якась моральна дилема. Це не. Ви нічого не зробили, щоб викликати цю проблему.

По-третє, ви змагаєтесь проти них. Вам слід зосередитись на тому, щоб зробити ** СВОЙ продукт найкращим, а не їхнім.

Якщо ви все ще сумніваєтеся, поверніться до моєї точки № 2 і перечитайте її.

Існує тонка грань між вивченням вразливих місць та промисловим шпигунством, і оскільки ви пов'язані зі своїм роботодавцем, конкурент може вважати це останнім.

Якщо ви повідомляєте про це і існує закордонний / PR-кошмар, ви будете козлом відпущення.

Порадьтеся зі своїм юридичним департаментом і дозвольте їм впоратись із тим, як вони вважають за потрібне - є причина, що вони роблять більше, ніж інженери.

Альтернативний механізм, який ще не запропоновано AFAICS, щодо отримання інформації своєму конкуренту без ризику для вашої власної компанії, - повідомити одну з різних компаній, що звітують про вразливість, про вразливість - і попросити їх повідомити про це вашому конкуренту. Вони (компанія, яка повідомляє про вразливі місця) не дозволять вашому імені залишатись у звіті - ви будете анонімними для свого конкурента. Однією з таких компаній є Zero Day Initiative , ZDI - є ряд інших.

Пропустіть його до ЗМІ, звичайно, анонімно, а потім запропонуйте швидку міграцію клієнтам конкурента. Це може здатися невисоким ударом, але врахуйте це, немає нічого протизаконного або неетичного у тому, що ви робите. Далі вважайте, що це собака, що їсть собаку у СЗ, і як Девід, ідучи проти Голіафа, вам знадобиться всі важелі. Пам'ятайте, це не особисте, це суворо ділове . Вони зробили б те ж саме з тобою.

(FWIW я повністю очікую, що ця відповідь буде занесена голосом, але це нормально, тому що я говорю - це правда, хоч і сувора.)

Що б ви хотіли, щоб вони зробили, якщо вони знайшли вразливість безпеки у вашому програмному забезпеченні? Це має бути перше питання, яке ви задаєте. Якщо відповідь - я б дуже вдячний, якби вони мені сказали - ну, то ви маєте свою відповідь!

Не має значення, що це гігантська компанія чи магазин для трьох осіб, і не важливо, що ви магазин для трьох людей або гігантська компанія. Як було сказано, ваша репутація - це все, особливо в цій невеликій спільноті, відомій як програмне забезпечення.

Якщо ви імпортуєте / експортуєте дані між своїми системами та вашими власними, їх вразливість безпеки може легко стати вашою вразливістю безпеки.

Ви хочете прикрити свій задник технологічно та юридично. Переконайтеся, що це виправлено, але переконайтеся, що ваш юридичний департамент підтримує їхнє повідомлення.

Очевидно, дайте їм знати.

Якщо "з доброго серця" не є достатньо вагомою причиною, вважайте, що ви реалізуєте цю функцію як користь для власних клієнтів. Ви опосередковано захищаєте їх дані, повідомляючи про цю помилку.

Є лише один почесний вибір. Скажіть їм.

Особисто я б сказав їм.

Інші люди вказали на можливі проблеми PR / Legal, і якщо після розмови з шаром або PR-агентом вам рекомендують не повідомляти про це, Я БУДУ ЗРОБИТИ ЗВІТ про це, але анонімно.

Це робить вашим потенційним клієнтам послугу, допомагаючи захистити свої дані.

В принципі, я повністю згоден з тим, що більшість з них тут говорять: Підсиліть і повідомте про це. Існує професійний кодекс честі, як на морі: якщо корабель в біді, ви допомагаєте, незалежно від того, кому він належить.

Однак, читаючи ваше оновлення, я, мабуть, вирішив би не говорити їм через ризик того, що цілеспрямовані дії можуть бути здійснені неправильним шляхом (як промисловий шпигунство, як говорить @Uri), і призвести до бойових дій, набагато небезпечніших для ваш магазин для трьох людей, ніж вони коли-небудь їм будуть.

Можливо, скиньте анонімну записку; можливо, взагалі нічого не робити. Якщо ти Давид, не потрібно говорити Голіафу, що у нього на спині сидить бджола.

Природа, незважаючи на суворі сторони, має свої добрі події. І виконує їх, не думаючи двічі.

Собака не їсть собаку. Швидше за нудьгу люди платять за незаконні бійки з собаками. І юристи збирають гроші. У тому числі від вашого шефа. Більше, ніж зараз хочеш. Вони можуть радісно зливати стартапи, не моргаючи.

Також дуже можливо, хтось із "конкурентів" вже знає. Донесення новин може означати більше відповідальності, ніж бути простим месенджером. Це краще, ніж розмовляти зі стінами?

Безпечний бізнес: Багато серверів з великими дірками є в Інтернеті. цей сервер - ще один. Повна робота для деяких. Ви перевірили власні дірки? усі ?

Дивіться під ноги.

Дані клієнтів - важлива одержимість.

Скажіть їм. Потім надішліть своє резюме. Вони, можливо, наймуть. :)

Скажіть їм! Це є правильним , що потрібно зробити. Крім того, що б вони хотіли зробити, якби ви опинилися на їх місці?

Ви не можете оцінювати добру волю, яка може вийти з цього.