Quandry đạo đức về không tiết lộ an ninh [đóng]

Ba năm trước tôi đã làm một kiểm toán bảo mật cho một trang web thương mại điện tử lớn. Khi kiểm toán được thực hiện, tôi đã tìm thấy một số vấn đề bảo mật nghiêm trọng cho phép truy cập vào dữ liệu không thể truy cập được sau khi giao dịch được hoàn thành. Trên trang web này có một số rủi ro lớn. Đầu tiên, bạn có thể thấy các đơn đặt hàng đến qua hệ thống theo thời gian thực; tất cả các giao dịch được xử lý thủ công bởi công ty này. Nếu bạn xem một giao dịch, bạn có thể thấy tên, địa chỉ và địa điểm giao hàng. Tôi thấy có hai điểm lạm dụng ở đây, 1 - bạn chỉ cần chỉnh sửa tàu để giải quyết và gửi lô hàng cho chính mình và 2 - bạn có thể gọi cho người dùng ngay khi đơn hàng được đặt và thực hiện xác nhận điện thoại của Khăn để truy cập đơn giản đến thông tin thẻ tín dụng với kỹ thuật xã hội cơ bản.

Bạn cũng có thể, với một chút công việc hơn, kết xuất thông tin CC và số ID đơn hàng và sau đó chỉ cần khớp với ID đơn hàng và thông tin người dùng.

Đây là tất cả bằng cách sử dụng các chức năng được hiển thị trên trang web của họ và sửa đổi một vài giá trị. Vâng, tôi đang mơ hồ vì một lý do.

Giám đốc tiếp thị tại công ty này đã được cảnh báo về những rủi ro này ba năm trước và không làm gì để sửa chúng. Tôi không nghi ngờ rằng nếu tôi có thể tìm thấy cái này thì người khác có thể. Trang web này thực hiện 88K giao dịch mỗi năm và có tất cả các đơn đặt hàng đã được xử lý vẫn còn trong dữ liệu và có thể truy cập được.

Vậy câu hỏi đạo đức làm gì? Công ty của tôi không quan tâm đến vấn đề vì vậy tôi không thể nhận trợ giúp ở đó. Nếu tôi liên lạc với anh chàng tiếp thị, anh ta sẽ tiếp tục che mông và lừa của nhóm phát triển nội bộ bất tài của họ (hợp nhất lạnh). Tôi có liên lạc với ai đó cao hơn không? Tôi có đi vòng quanh công ty của tôi không? Tôi có chỉ khai thác dữ liệu và bán cho đối thủ trừ thông tin CC không? Tôi phải làm gì khi biết điều này? Nó cằn nhằn tôi và tôi không thể để nó đi. Đây chỉ là một trong nhiều trang web tôi biết, nhưng sự dễ dàng truy cập và lưu lượng truy cập cao khiến tôi suy ngẫm rất nhiều về điều này.

Đã có lúc tôi đề nghị thực hiện các biện pháp anh hùng để giải quyết tình hình. Tôi đã học được tốt hơn - bạn không thể ép buộc ai đó hành động vì lợi ích tốt nhất của riêng họ. Làm như vậy thường có những hậu quả không lường trước cho bạn có khả năng gây khó chịu.

Hãy suy nghĩ về nó ... bạn

• Thông báo cho công ty thông qua báo cáo kiểm toán của bạn
• Thông báo cho quản lý của bạn

Vì vậy, nếu bạn đi và gọi cho giám đốc điều hành tại nhà, bạn đã thực hiện một cuộc điều hành xung quanh quản lý của mình và tạo ra một tình huống trong đó những người nội bộ đang làm điều CYA sẽ biến bạn thành kẻ xấu. Giám đốc điều hành sẽ lắng nghe nhân viên bất tài của mình hơn là một nhà tư vấn ngẫu nhiên đã thực hiện kiểm toán 3 năm trước.

Lời khuyên của tôi: hãy đi uống bia hoặc bất cứ điều gì bạn muốn làm và không bao giờ truy cập trang web nữa.

Đầu tiên - bạn không bán những gì bạn biết, điều đó chắc chắn là phi đạo đức và có thể là bất hợp pháp :)

Lời khuyên thứ hai của tôi là hãy đến gặp ông chủ của Marketing Guy, đến tận vị trí CEO của công ty đó. Nếu bạn làm việc cho một nhóm kiểm toán, họ không quan tâm đến việc công ty làm gì với thông tin, chỉ là họ phải bán dịch vụ ngay từ đầu.

Thứ ba, nếu nó thực sự này là một việc lớn, bạn có thể bắt đầu một ẩn danh (hoặc không nặc danh) marketing / tẩy chay chiến dịch liên quan đến việc mất an toàn của trang web, mà không thực sự ảnh hưởng đến họ.

Nhưng tốt hơn là hỏi một loạt các sysadins sẽ nói chuyện với một luật sư có uy tín :)

Bạn được thuê để thực hiện kiểm toán, vì vậy nhiệm vụ của bạn là khách hàng thông báo cho họ về kết quả của cuộc kiểm toán. Những gì họ làm với nó là kinh doanh của họ. Họ đã quyết định rủi ro so với chi phí thay đổi. Không phải bạn. Nếu họ có vấn đề bảo mật lớn và bạn có trát đòi hầu tòa, bạn có thể làm chứng về kết quả kiểm toán (3 năm trước). Đó là theo nghĩa vụ của bạn.

Tôi đã có tin tức cho bạn. Phần lớn các công ty xử lý dữ liệu khách hàng một cách không an toàn, ở mức độ này hay mức độ khác. Có bao nhiêu DBA có quyền truy cập đầy đủ vào tất cả dữ liệu khách hàng? Rất ít công ty điều hành Oracle Vault.

"Tôi có chỉ khai thác dữ liệu và bán cho đối thủ cạnh tranh trừ thông tin CC không?"

Chỉ khi bạn muốn đi tù.

Bạn có thể ở trên băng thực sự mỏng nếu bạn tiết lộ bất cứ điều gì. Bạn có thể gặp rắc rối thực sự cho điều đó.

Có một lý do cho các công ty có thỏa thuận nghiêm ngặt với nhau khi pentesting được ký hợp đồng. Công ty pentesting cần tất cả sự bảo vệ mà họ có thể nhận được. Tiết lộ thông tin bạn không nên và sẽ khiến bạn bị kiện hoặc bị truy tố.

Hãy nói rằng bạn đi đến ông chủ của người tiếp thị. Ông chủ kẹp chặt người tiếp thị. Anh chàng tiếp thị bắt đầu che mông của mình. Anh ta có thể thuyết phục sếp rằng để bạn có thông tin này, bạn phải làm điều gì đó bất hợp pháp hoặc tương tự. Ngay cả khi cuối cùng bạn sẽ thắng, bạn có thể phải ra tòa trong một thời gian dài.

Nếu họ không muốn thực hiện nghiêm túc ở cách tiếp cận đầu tiên, việc gây áp lực cho họ thực hiện nghiêm túc rất có thể sẽ khiến bạn gặp rắc rối.

Vì lợi ích của bạn thả nó.

EDIT: Hơn nữa, nếu thỏa thuận ban đầu cho kiểm toán bảo mật bao gồm những người cụ thể mà bạn chỉ có thể thông báo, thông báo cho người khác trong cùng một công ty, không bao gồm trong thỏa thuận, có thể khiến bạn gặp rắc rối.

Theo như tôi thấy thì bạn đã hoàn thành công việc của mình. Bạn đã thực hiện kiểm toán và chuyển kết quả cho người có thẩm quyền. Lời khuyên của tôi là hãy tránh xa nó ra, bạn không thể làm gì hơn nữa. Tất nhiên vấn đề nan giải là khách hàng vô tội có thể phải đối mặt với những điểm yếu bảo mật đang diễn ra, nhưng đó không thực sự là vấn đề của bạn phải không? Bạn không thể chịu trách nhiệm cho bất kỳ phần nào của nó ngoài công việc của bạn.

Bạn chắc chắn không rò rỉ thông tin này, và bạn chắc chắn không bán nó cho người ngoài.

Có điều gì ở đây tôi không hiểu ... ba năm trước? Nếu bạn đã thực hiện một cuộc kiểm toán 3 năm trước, tại sao điều này vẫn còn trong tâm trí bạn? Bạn có cảm thấy tồi tệ về điều đó không, hay công ty không an toàn vẫn ký hợp đồng với công ty bạn về các dịch vụ bảo mật / kiểm toán?

Đây là một câu hỏi quan trọng, bởi vì nếu bạn đã không có kinh doanh với công ty này trong 3 năm nay, thì lời khuyên rõ ràng của tôi là bỏ đi. Sẽ có vẻ rất lạ nếu bạn xuất hiện lại sau 3 năm, và bắt đầu chỉ trích. Nếu đó là 3 năm trước, thì bạn đã có cơ hội quay lại và bạn đã không nắm lấy nó. Bây giờ đi bộ.

Nếu công ty của bạn vẫn đang làm việc với công ty không an toàn , thì tôi sẽ đề nghị mạnh tay với sếp của bạn gửi thư cho họ cùng nhau. Sếp của bạn sẽ không thích điều này; nhưng đối với bạn sẽ tốt hơn nhiều nếu bức thư đến từ công ty bạn chứ không phải từ chính bạn. Gửi nó với chuyển phát nhanh đến ông chủ quản lý tiếp thị (CEO). Giữ cho nó lịch sự, giữ cho nó mơ hồ và chủ yếu bao trùm công ty của bạn một **, và ám chỉ các quyết định bảo mật của các nhà quản lý tiếp thị nằm ngoài các tiêu chuẩn ngành được chấp nhận mà bạn cảm thấy buộc phải vượt qua đầu mình. Mục tiêu của bạn không phải là để nói tất cả mọi thứ, mục tiêu của bạn là bao gồm các công ty của riêng bạn ** và để khiến giám đốc điều hành khác đủ mạnh mẽ để yêu cầu một bản sao của báo cáo ban đầu của bạn.

Vượt qua người đứng đầu các nhà quản lý tiếp thị là động thái mạnh mẽ nhất mà tôi có thể đề xuất. Và nó thực sự khá mạnh mẽ và không mong muốn. Bạn được thuê để cung cấp một ý kiến ​​chuyên gia về một khía cạnh; không để điều hành doanh nghiệp của họ.

Trên một trang web hơi buồn lưu ý: Không có gì lạ khi thấy những người kinh doanh không có đạo đức hoặc chỉ đơn giản là không đủ năng lực. Đôi khi những người này có thể thuê kiểm toán viên an ninh mà không có ý định sử dụng các phát hiện; với ý định chỉ nói rằng họ đã được kiểm toán bởi công ty bảo mật nổi tiếng X. Điều này tất nhiên là đáng buồn và gây khó chịu - nhưng đó là sự thật, và bạn sẽ phải làm quen với nó nếu bạn muốn làm việc trong kiểm toán bảo mật.

Mặt khác, bạn phải xem xét trách nhiệm pháp lý của mình khi không thông báo đầy đủ cho khách hàng về các rủi ro. Bạn phải xem xét loại lỗi và thiếu sót nào mà công ty bạn mang theo. Bạn nói rằng công ty của bạn không quan tâm, nhưng tôi cá là nếu họ bị khách hàng kiện, bị kiện bởi một trong những khách hàng của họ, điều đó sẽ khiến mọi người chú ý.

3 năm trước bạn đã làm một công việc mà bạn có thể được trả tiền. Nếu bạn đã thực hiện tất cả các bước cần thiết của bạn trong việc thực hiện công việc đó thì công việc của bạn đã hoàn thành. Kết thúc. Đã kết thúc.

Tôi gặp khó khăn nghiêm trọng khi hiểu tại sao bạn đã có 3 năm để làm điều gì đó và không. Điều này không có vẻ với tôi như bạn đang có vấn đề về đạo đức. Trong thực tế, việc bạn đề cập đến việc có thể bán thông tin gợi ý cho tôi rằng bạn cũng có thể có động cơ khá khác nhau. Ít nhất tôi thấy vị trí của bạn rất đáng nghi ngờ.

Vì bạn chưa làm gì cho đến bây giờ, nếu bạn bắt đầu thực hiện bất kỳ loại hành động nào, bạn hoàn toàn có thể phơi bày ra hành động pháp lý có thể. Luật pháp thay đổi từ nơi này sang nơi khác, nhưng tôi đang ở đâu, nếu ai đó trở thành nạn nhân của hành vi trộm cắp dữ liệu thông qua các cơ chế bạn mô tả và bây giờ bạn chỉ thực hiện hành động mà bạn thực sự là người tham gia thông qua hành động trước đây của bạn. Khóa học an toàn duy nhất cho cá nhân bạn là bỏ nó.

Nếu bạn đang kinh doanh trong "kiểm toán bảo mật", việc khai thác thông tin và bán nó là điều không cần thiết. Chết tiệt, thực tế là bạn thậm chí sẽ hỏi câu hỏi đó, khiến tôi băn khoăn về đạo đức của bạn và chắc chắn sẽ khiến tôi đặt câu hỏi liệu bạn có phù hợp với đội an ninh của mình hay không.

Có nói rằng, bạn đã làm công việc của bạn. Bạn được thuê để thực hiện kiểm toán bảo mật và bạn đã làm. Công ty đã nhận thức được những phát hiện bằng văn bản? Như những người khác đã nói, bạn không thể buộc một công ty đóng các lỗ hổng bảo mật. Câu hỏi đạo đức là học hỏi từ kiểm toán này và đi tiếp.

Nếu bạn lo lắng về việc thực hiện công việc của mình đúng cách, bạn đã hoàn thành công việc của mình. Chỉ vì không ai hành động theo khuyến nghị của bạn không phản ánh về bạn.

Tuy nhiên, nếu bạn lo ngại một cách hợp pháp về việc khách hàng của họ là nạn nhân của hành vi trộm cắp danh tính hoặc thẻ tín dụng, tôi sẽ nói rằng hãy liên hệ với bộ phận khiếu nại của FTC . (Giả sử bạn đang ở Mỹ. Nếu không, quốc gia của bạn có thể có một bộ chính phủ tương tự.)

Tôi đã thực hiện một vài học kỳ về Đạo đức và đó thực sự là một câu hỏi khó, khó.

Hỏi ở đây câu trả lời "Tôi nên làm gì" sẽ không bao giờ giúp bạn có câu trả lời "Đúng", tất cả những gì bạn sẽ nhận được là những câu trả lời hoặc thực thi lại hoặc đi ngược lại cảm xúc cá nhân của bạn về vấn đề này.

Ngoài ra, tất cả các câu trả lời bạn nhận được ở đây sẽ bị ảnh hưởng mạnh mẽ bởi các hành động hoặc quyết định trong quá khứ của người dân, nơi họ sống, nơi họ lớn lên, luật pháp và phong tục địa phương. Vì vậy, ngay cả khi họ đã ở trong tình huống giống như bạn, trải nghiệm của họ có thể hoàn toàn khác nhau.

Câu trả lời ngắn gọn là: Bạn cần làm những gì BẠN tin là đúng. Rõ ràng bạn tin rằng không hành động không phải là điều nên làm. Nếu bạn không, bạn sẽ không hỏi điều này.

Cá nhân tôi không đồng ý với tất cả những người nói "Thả nó xuống" hoặc "Bạn đã hoàn thành công việc của mình". Đó dường như là một ý kiến ​​phổ biến bất cứ khi nào đạo đức bị cắt xén trên ServerFault. Và đó không phải là một câu trả lời sai , đó không phải là câu trả lời của tôi .