Phải làm gì nếu bạn tìm thấy lỗ hổng trong trang web của đối thủ cạnh tranh?


37

Khi làm việc trong một dự án cho công ty của tôi, tôi cần xây dựng chức năng cho phép người dùng nhập / xuất dữ liệu đến / từ trang web của đối thủ cạnh tranh. Trong khi thực hiện điều này, tôi đã phát hiện ra một khai thác bảo mật rất nghiêm trọng, nói tóm lại, có thể thực hiện bất kỳ tập lệnh nào trên trang web của đối thủ cạnh tranh.

Cảm giác tự nhiên của tôi là báo cáo vấn đề với họ theo tinh thần thiện chí. Khai thác vấn đề để đạt được lợi thế trong tâm trí tôi, nhưng tôi không muốn đi theo con đường đó.

Vì vậy, câu hỏi của tôi là, bạn sẽ báo cáo một lỗ hổng nghiêm trọng cho đối thủ cạnh tranh trực tiếp của bạn, để giúp họ? Hay bạn sẽ giữ im lặng? Có cách nào tốt hơn để làm điều này, có lẽ để đạt được ít nhất một số lợi thế từ thực tế là tôi đang giúp họ bằng cách báo cáo vấn đề?

Cập nhật (Làm rõ) :

Cảm ơn tất cả các phản hồi của bạn cho đến nay, tôi đánh giá cao nó. Câu trả lời của bạn có thay đổi không nếu tôi nói thêm rằng sự cạnh tranh trong câu hỏi là một hành vi trên thị trường (hàng trăm nhân viên ở một số châu lục), và công ty của tôi chỉ bắt đầu vài tuần trước (ba nhân viên)? Không cần phải nói, họ chắc chắn sẽ không nhớ chúng tôi, và nếu có bất cứ điều gì, chỉ nhận ra rằng trang web của họ cần hoạt động (đó là lý do tại sao chúng tôi tham gia thị trường này ngay từ đầu).

Đây có thể là một trong những vấn đề đạo đức và kinh doanh, nhưng tôi đánh giá cao tất cả các lời khuyên.


4
Phụ thuộc vào việc bạn có đạo đức hay vô đạo đức.
dietbuddha

5
Báo cáo ẩn danh từ một địa chỉ email dùng một lần từ phía sau proxy mà không có bất kỳ mối quan hệ nào với nơi làm việc hiện tại của bạn.
Công việc

14
Tại sao quy mô của công ty có liên quan đến những gì cấu thành hành vi đạo đức?
JohnFx

6
Có một giai thoại nhỏ về một anh chàng đã cố gắng bán Pepsi một số bí mật từ Coke ... Pepsi đã gọi cảnh sát trên anh ta. Cho dù các cuộc cạnh tranh có thể gay gắt đến mức nào, cạnh tranh phải luôn được dựa trên các hoạt động kinh doanh công bằng và đạo đức. Nếu các bạn tốt hơn, bạn sẽ đánh bại họ bất kể họ lớn hay cố thủ. Nó có thể không xảy ra qua đêm, nhưng hãy nhìn vào các cuộc chiến trình duyệt. Dần dần nhưng chắc chắn các lựa chọn thay thế đang chia sẻ từ IE ngay cả với IE được cài đặt sẵn!
Chris Thompson

@JohnFx +1: phát hiện câu hỏi ạ! Chúng tôi thậm chí có thể sử dụng lý lẽ tương tự nếu tình huống được đảo ngược: "công ty của tôi là một người khổng lồ được thành lập và tôn trọng và họ chỉ là một công ty nhỏ có thể sẽ sớm thất bại." Bất kể quy mô tương đối của các công ty, đạo đức là như nhau.
bedwyr

Câu trả lời:


63

Mặc dù tôi rất thích sống trong một thế giới nơi sẽ hoàn toàn an toàn khi chỉ cần gửi cho họ một ghi chú để cho họ biết, trước tiên tôi đề nghị liên quan đến bộ phận pháp lý của bạn. Trên thực tế, hoàn toàn có khả năng dù báo cáo lỗi của bạn có ý định tốt đến đâu, một người nào đó trong tổ chức của đối thủ cạnh tranh sẽ hiểu đó là "đối thủ của chúng tôi chỉ trả tiền cho một nhân viên của họ để hack trang web của chúng tôi". Nhận thức đó có thể tạo ra các vấn đề pháp lý hoặc PR cho cả bạn và công ty của bạn. Liên quan đến bộ phận pháp lý của bạn trong thông báo sẽ giúp bảo vệ mọi người khỏi sự xuất hiện của hành vi không đúng đắn. Tất nhiên, điều đó tạo ra khả năng bộ phận pháp lý kết luận rằng việc thông báo cho đối thủ cạnh tranh tạo ra rủi ro pháp lý không thể chấp nhận và bảo bạn chỉ cần ngồi vào thông tin. Nhưng điều đó'


Trong tất cả khả năng họ sẽ nói là đi theo nó - nhưng họ sẽ biết cách tiếp cận tốt nhất để giải quyết vấn đề đó mà không khiến bạn hoặc công ty của bạn gặp phải các dự án pháp lý không mong muốn.
HorusKol

Nếu bộ phận pháp lý nói không, tôi sẽ đi với ý tưởng email ẩn danh. Và nếu họ nói có, hãy chắc chắn rằng tên của bạn ở đó ở đâu đó!
Stewol

17
Tất nhiên, việc tìm kiếm một "bộ phận pháp lý" trong một công ty gồm ba người sẽ khá khó khăn, tôi tưởng tượng :)
Stewol

@Benjol Đúng, nhưng bạn chắc chắn cần tư vấn pháp lý trong những trường hợp này. Ngay cả khi họ không thể buộc tội bạn hack trang web của họ, họ vẫn có thể cho rằng thư của bạn đang đe dọa và bạn đã cố gắng tống tiền họ.
biziclop

9
Tôi đau đớn đồng ý với câu trả lời này. Đó là một bình luận buồn cho xã hội khi cần luật sư cho một báo cáo lỗi mã.
jdl

30

Điều này sẽ nghe có vẻ khủng khiếp (ít nhất là so với hầu hết các câu trả lời ở đây), nhưng, đây là 2 xu của tôi:

Tại sao bạn nên làm bất cứ điều gì về nó?

Điều đầu tiên, họ đã có những nhân viên nên làm công việc đó (tìm ra vấn đề và sửa chúng).

Thứ hai, cách bạn hình thành câu hỏi của bạn làm cho nó nghe như thể đây là một vấn đề nan giải về đạo đức. Không phải vậy. Bạn đã không làm bất cứ điều gì để gây ra vấn đề đó ngay từ đầu.

Thứ ba, bạn đang cạnh tranh với họ. Bạn nên tập trung vào việc làm cho ** sản phẩm của BẠN tốt nhất, không phải của họ.

Nếu bạn vẫn còn nghi ngờ, hãy quay lại điểm số 2 của tôi và đọc lại nó.


9
+1 vì đã thực tế. Đừng làm bất cứ điều gì bất hợp pháp, chắc chắn. Vô đạo đức? Trong kinh doanh, không có đạo đức hay vô đạo đức. Công ty không có một thứ như khái niệm đạo đức.
Thưởng thức Ždralo

3
@HorusKol - +1 sẽ không trả lương và chi phí cho công ty. Cung cấp một sản phẩm tốt hơn so với đối thủ cạnh tranh của bạn, tuy nhiên, có thể.
Jas

4
-1. Kiểu suy nghĩ này là một ví dụ kinh điển về Bi kịch của Cộng đồng. Lỗ hổng bảo mật là vấn đề của mọi người.
Mason Wheeler

6
@Mason Wheeler: Bi kịch của commons là một vấn đề nan giải phát sinh từ tình huống nhiều cá nhân, hành động độc lập và tư vấn một cách hợp lý cho chính họ, cuối cùng sẽ làm cạn kiệt nguồn lực hạn chế được chia sẻ ngay cả khi rõ ràng rằng nó không thuộc về ai quan tâm lâu dài cho điều này xảy ra. Tôi không thấy cách này được áp dụng ở đây.
dùng17610

3
Thành thật mà nói tôi bị sốc khi bạn đề nghị không nói với đối thủ cạnh tranh về lỗi bảo mật của họ. Tại sao không nộp báo cáo lỗi dưới dạng thông cáo báo chí hoặc email quảng cáo. Báo cáo lỗi như vậy cần lưu ý sự vắng mặt của lỗi đã nói trong sản phẩm của bạn và những tác động tiềm ẩn đối với người dùng.
emory

22

Có một ranh giới mỏng giữa việc khám phá các lỗ hổng và gián điệp công nghiệp, và vì bạn có liên kết với chủ nhân của mình, nên đối thủ cạnh tranh có thể coi đó là vấn đề sau.

Nếu bạn báo cáo nó và có một cơn ác mộng pháp lý / PR, bạn sẽ là vật tế thần.

Nói chuyện với bộ phận pháp lý của bạn và để họ xử lý nó khi họ thấy phù hợp - có một lý do khiến họ làm việc nhiều hơn các kỹ sư.


20

Một cơ chế thay thế, chưa được đề xuất AFAICS, về việc cung cấp thông tin cho đối thủ cạnh tranh mà không có rủi ro cho công ty của bạn là để một trong những công ty báo cáo lỗ hổng khác nhau biết về lỗ hổng - và yêu cầu họ báo cáo cho đối thủ cạnh tranh. Họ (công ty báo cáo lỗ hổng) sẽ giữ tên bạn khỏi báo cáo - bạn sẽ ẩn danh với đối thủ cạnh tranh. Một công ty như vậy là Sáng kiến ​​Ngày không , ZDI - có một số công ty khác.


11

Rò rỉ nó với các phương tiện truyền thông, tất nhiên ẩn danh, và sau đó cung cấp di chuyển nhanh chóng cho khách hàng của đối thủ cạnh tranh. Điều này có vẻ như là một cú đánh thấp, nhưng hãy xem xét điều này, không có gì bất hợp pháp hoặc phi đạo đức về những gì bạn đang làm, hãy xem xét thêm đó là một thế giới chó ăn thịt chó trong SW và khi David chống lại Goliath, bạn sẽ cần tất cả đòn bẩy. Hãy nhớ rằng, nó không phải là cá nhân, đó là kinh doanh nghiêm túc . Họ sẽ làm điều tương tự với bạn trong tích tắc.

(FWIW Tôi hoàn toàn mong đợi câu trả lời này sẽ bị bỏ phiếu, nhưng điều đó không sao vì những gì tôi đang nói là sự thật mặc dù là một câu hỏi khắc nghiệt.)


Có vẻ tốt với tôi: bạn thông báo cho họ và kiếm lợi nhuận cùng một lúc. Tuy nhiên, có cơ hội họ bị đánh dấu và bắt đầu tìm kiếm các lỗ hổng trong trang web của bạn.
apoorv020

@apoorv Điều đó chỉ có nghĩa là bạn đã trở nên đủ lớn để lo lắng cho Goliath :-).
Gaurav

Tôi không hiểu tại sao sử dụng các từ "rò rỉ" và "ẩn danh". OP không làm gì sai trái hoặc vô đạo đức
emory

@ apporv020 u nên cho rằng họ (và cả một nhóm người khác) liên tục câu cá trên trang web của bạn 4 lỗ hổng.
emory

Vì nó là một công ty "khổng lồ" trong thị trường của bạn, điều cần xem xét là khách hàng của thị trường của bạn sẽ phản ứng thế nào nếu lỗ hổng được thông báo rộng rãi trên các phương tiện truyền thông. Họ có trả lời với "Nếu tôi không thể tin tưởng vào dữ liệu của mình với << công ty khổng lồ >> tôi có nên làm điều này không?" Câu trả lời cho điều đó có thể giúp xác định mức độ công khai mà bạn muốn báo cáo lỗ hổng của bạn. Hành động của bạn có thể ảnh hưởng đến nhận thức về thị trường của bạn nói chung.
Zusukar

8

Bạn muốn họ làm gì nếu họ tìm thấy lỗ hổng bảo mật trong phần mềm của bạn? Đó nên là câu hỏi đầu tiên bạn hỏi. Nếu câu trả lời là "Tôi thực sự sẽ đánh giá cao nếu họ nói với tôi", thì bạn đã có câu trả lời của mình!

Không quan trọng họ là một công ty khổng lồ hay một cửa hàng ba người, và bạn không phải là một cửa hàng ba người hay một công ty khổng lồ. Như đã nói, danh tiếng của bạn là tất cả, đặc biệt là trong cộng đồng nhỏ được gọi là phần mềm này.


3
Không làm ngược lại với những gì đối thủ muốn có một chiến lược kinh doanh bình thường?
dùng17610

@ user17610 - Tôi đoán điều đó phụ thuộc vào tình huống ... không thể đưa ra tuyên bố về chăn và đưa ra mọi quyết định của bạn bằng cách đó. Nếu đối thủ của bạn muốn kiếm được nhiều tiền, bạn sẽ làm điều ngược lại?
Jesse McCulloch

Không, sau đó tôi sẽ đảm bảo rằng họ không tạo ra nhiều thuyền;)
user17610

2
+1 cho "bạn muốn họ làm gì nếu họ tìm thấy lỗ hổng trong phần mềm của bạn?"
Craige

-1: Tôi muốn họ nói với tôi, vì sau đó cáo buộc họ làm gián điệp công nghiệp sẽ giúp ăn mòn thị phần của họ! Đừng bao giờ cho rằng lòng nhân từ trong đối thủ cạnh tranh của bạn ...
đệ quy.ninja

8

Nếu bạn đang nhập / xuất dữ liệu giữa các hệ thống của họ và của riêng bạn, lỗ hổng bảo mật của họ có thể dễ dàng trở thành lỗ hổng bảo mật của bạn .

Bạn sẽ muốn che mông của bạn về mặt công nghệ và pháp lý. Hãy chắc chắn rằng nó đã được sửa nhưng hãy chắc chắn rằng bộ phận pháp lý của bạn sẽ giúp đỡ trong việc thông báo cho họ.


5

Rõ ràng, cho họ biết.

Nếu "sự tốt đẹp của trái tim bạn" không phải là một lý do đủ tốt, hãy xem xét rằng bạn đang triển khai tính năng này như một lợi ích cho chính khách hàng của mình. Bạn đang gián tiếp bảo vệ dữ liệu của họ bằng cách báo cáo lỗi này.



0

Cá nhân tôi sẽ nói với họ.

Những người khác đã chỉ ra các vấn đề PR / Pháp lý có thể xảy ra và nếu sau khi nói chuyện với một lớp hoặc đại lý PR, bạn không nên báo cáo, tôi vẫn VẪN BÁO CÁO CNTT, nhưng ẩn danh.

Đó là một ưu tiên cho khách hàng tiềm năng của bạn, bằng cách giúp bảo vệ dữ liệu của họ.


Yup: thư nặc danh đến seclists.org/fulldisclenses , he he he ...;)
Henrik

@Downvoter, có ý kiến ​​gì vì sao?
Dominique McDonnell

0

Về nguyên tắc, tôi hoàn toàn đồng ý với những gì hầu hết ở đây nói: Bước lên và báo cáo nó. Có một quy tắc danh dự chuyên nghiệp như ngoài biển: Nếu một con tàu gặp sự cố, bạn giúp đỡ, bất kể nó thuộc về ai.

Tuy nhiên, đọc bản cập nhật của bạn, tôi có thể quyết định không nói với họ vì nguy cơ hành động có chủ ý tốt có thể bị thực hiện sai (như gián điệp công nghiệp như @Uri nói), và dẫn đến sự thù địch nguy hiểm hơn nhiều cửa hàng ba người đàn ông của bạn hơn bao giờ hết

Có thể bỏ một ghi chú ẩn danh; có lẽ không làm gì cả Nếu là David, bạn không cần phải nói với Goliath rằng anh ta có một con ong ngồi trên lưng.


-1

Thiên nhiên, mặc dù có những mặt khắc nghiệt, có những dịp tốt đẹp của nó. Và hành động họ ra mà không suy nghĩ hai lần.

Chó không ăn thịt chó. Thay vào đó, những người buồn chán trả tiền cho các trận đấu chó bất hợp pháp. Và luật sư thu tiền. Bao gồm từ ông chủ của bạn. Nhiều hơn bạn muốn bây giờ. Họ có thể vui vẻ thoát nước khởi động mà không chớp mắt.

Cũng rất có thể, ai đó ở "đối thủ" đã biết. Đưa tin tức có thể có nghĩa là nhiều trách nhiệm hơn là một người đưa tin đơn giản. Điều đó có tốt hơn nói chuyện với những bức tường không?

Kinh doanh bảo mật: Rất nhiều máy chủ có lỗ hổng lớn đang trực tuyến. máy chủ này là một máy chủ khác. Công việc toàn thời gian cho một số. Bạn đã kiểm tra lỗ của riêng bạn? Tất cả bọn họ ?

Theo dõi bước của bạn.

Dữ liệu khách hàng là nỗi ám ảnh quan trọng.


2
Được rồi, tôi đã đọc bài đăng này hai lần - và tôi vẫn không chắc chắn bên nào của cuộc tranh luận mà nó ủng hộ ... :)
Cyclops

-1

Noi vơi họ. Sau đó gửi hồ sơ của bạn. Họ có thể đang tuyển dụng. :)


18
Tôi không muốn làm việc cho những người viết mã xấu như vậy trong 15 phút kiểm tra dẫn đến việc phát hiện ra lỗ hổng nghiêm trọng;)
user17610

@ user17610: Được rồi, một biến thể điều chỉnh: nói với họ và xem họ có sửa nó không. Nếu họ không sửa nó trong thời gian hợp lý, đừng gửi hồ sơ của bạn cho họ.
sharptooth

-1

Noi vơi họ! Đó điều đúng đắn để làm. Ngoài ra, những gì họ muốn họ làm nếu bạn ở vị trí của họ?

Bạn không thể đặt giá trị lên ý chí tốt có thể phát sinh từ điều này.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.