No divulgación de ética de seguridad

Question

Hace 3 años Hice una auditoría de seguridad para un gran sitio web de comercio electrónico. Cuando se preparó la auditoría, encontré varios problemas de seguridad graves que permiten el acceso a datos que no deberían ser accesibles después de que se complete una transacción. En este sitio hay varios riesgos importantes. Primero, puede ver los pedidos que llegan a través del sistema en tiempo real; todas las transacciones son procesadas manualmente por esta compañía. Si ve una transacción, puede ver el nombre, la dirección y el destino del envío. Veo 2 puntos de abuso aquí, 1 - simplemente puede editar el envío a la dirección y enviar el envío a usted mismo, y 2 - puede llamar al usuario directamente a medida que se realizó el pedido y hacer una "conformación telefónica" para obtener acceso simplemente a la información de cc con ingeniería social básica.

También puede con un poco más de trabajo volcar la información del cc y los números de identificación de la orden y luego simplemente hacer coincidir la identificación del pedido y la información del usuario. Esto es todo mediante el uso de funciones expuestas en su sitio y la modificación de un par de valores. Sí, soy vago por una razón.

El director de marketing de esta empresa fue advertido sobre estos riesgos hace 3 años y no ha hecho nada para corregirlos. No dudo si puedo encontrar que otros pueden. Este sitio realiza 88,000 transacciones por año y tiene todos los pedidos procesados ​​aún en datos y accesibles.

Entonces la pregunta ética ... ¿qué hago? A mi compañía no le importa ... así que no puedo obtener ayuda allí. Si me pongo en contacto con el agente de marketing, él continuará cubriendo su trasero y los culos de su incompetente equipo de desarrollo interno (fusión en frío). ¿Me pongo en contacto con alguien más arriba? ¿Voy por mi compañía? ¿Acabo de extraer los datos y venderlos a un competidor menos la información del cc? ¿Qué hago al saber esto? Me molesta y no puedo dejarlo ir. Este es solo uno de los muchos sitios que conozco, pero la facilidad de acceso y el alto tráfico me hacen reflexionar mucho sobre esto.

Answer 1

Hay dos escuelas de pensamiento: divulgación responsable y divulgación completa. Pero, si lo hizo en el tiempo de su empresa (la evaluación), entonces creo que está estrictamente obligado a no divulgar públicamente.

Answer 2

El apporach práctico, usted ha encontrado los agujeros de seguridad y los ha advertido. Si no quieren arreglarlos, ese es asunto de ellos.

Quizás el director de marketing no sea la persona adecuada para tratar con esta información. Puede intentar usar sus habilidades diplomáticas y contactar a la alta gerencia. Pero no culpes a nadie. Porque esto será contraproducente.

No vendería nada a un competidor porque eso ciertamente le daría muchos problemas.

Answer 3

Desde el punto de vista del cliente habitual, creo que el grado de atención al cliente en esta empresa debería hacerse público. Realmente no les importan los agujeros que puedan revelar datos privados de los clientes. Entonces, realmente deben ser castigados. Pero revelar los agujeros dañará no solo a ellos, sino a sus clientes.

Si le pagaron por una auditoría de seguridad, tiene el derecho ético de publicar información sobre algo que haya encontrado ni de utilizarlo de ninguna manera. ¿Quién va a confiar en que el experto en seguridad le revelará lo que descubrió incluso años después? Creo que no hay nada que puedas hacer.

Answer 4

Anotamos el primer incidente como su experiencia de aprendizaje. Usted y el cliente (y su administración) no han aclarado los límites de su responsabilidad.

Creo que su verdadera pregunta es "¿Cómo puedo evitar que esto suceda nuevamente?"

Answer 5

Me he enfrentado a similar scenario en el pasado. Aunque tropecé con el agujero en lugar de que me pagaran para realizar una prueba de lápiz o una auditoría de seguridad.

Estuve seriamente tentado de publicar detalles en nuestros periódicos estatales y luego en la lista de correo completa (junto con los contactos gubernamentales) cuando no se tomaron medidas después de 2 años, pero decidí que los datos eran demasiado arriesgados para exponer a personas (potencialmente) maliciosas.

Sin embargo, opción difícil.

Answer 6

Si se trata de una organización privada y cree que ha cumplido los términos de su contrato con ellos, diría que ha hecho todo lo posible.

Sin embargo, si se trata de una organización que recibe financiación pública de alguna manera, sugiero darles una oportunidad más y luego ir a la (tecnología) de prensa.

Answer 7

Encuentra la persona adecuada dentro de la empresa.

Si no hay una persona adecuada para obtener una audiencia con el más alto posible y explicar el problema en unas simples oraciones no técnicas.

"Todos los clientes que alguna vez han utilizado esta información de servicios pueden ser robados hoy, en este momento, por una persona semi informada. Pondré la posibilidad de que esto ocurra en% 50 el próximo año. Si esto sucede costará 5mil en juicios, 1mil en horas extras, n millones en reputación, n millones en futuros clientes/pedidos perdidos ".

Eso me ha funcionado en el pasado y, si lo hace, habrá hecho todo lo posible para hacer lo correcto.