Phải làm gì nếu bạn tìm thấy lỗ hổng trong trang web của đối thủ cạnh tranh?

Khi làm việc trong một dự án cho công ty của tôi, tôi cần xây dựng chức năng cho phép người dùng nhập / xuất dữ liệu đến / từ trang web của đối thủ cạnh tranh. Trong khi thực hiện điều này, tôi đã phát hiện ra một khai thác bảo mật rất nghiêm trọng, nói tóm lại, có thể thực hiện bất kỳ tập lệnh nào trên trang web của đối thủ cạnh tranh.

Cảm giác tự nhiên của tôi là báo cáo vấn đề với họ theo tinh thần thiện chí. Khai thác vấn đề để đạt được lợi thế trong tâm trí tôi, nhưng tôi không muốn đi theo con đường đó.

Vì vậy, câu hỏi của tôi là, bạn sẽ báo cáo một lỗ hổng nghiêm trọng cho đối thủ cạnh tranh trực tiếp của bạn, để giúp họ? Hay bạn sẽ giữ im lặng? Có cách nào tốt hơn để làm điều này, có lẽ để đạt được ít nhất một số lợi thế từ thực tế là tôi đang giúp họ bằng cách báo cáo vấn đề?

Cập nhật (Làm rõ) :

Cảm ơn tất cả các phản hồi của bạn cho đến nay, tôi đánh giá cao nó. Câu trả lời của bạn có thay đổi không nếu tôi nói thêm rằng sự cạnh tranh trong câu hỏi là một hành vi trên thị trường (hàng trăm nhân viên ở một số châu lục), và công ty của tôi chỉ bắt đầu vài tuần trước (ba nhân viên)? Không cần phải nói, họ chắc chắn sẽ không nhớ chúng tôi, và nếu có bất cứ điều gì, chỉ nhận ra rằng trang web của họ cần hoạt động (đó là lý do tại sao chúng tôi tham gia thị trường này ngay từ đầu).

Đây có thể là một trong những vấn đề đạo đức và kinh doanh, nhưng tôi đánh giá cao tất cả các lời khuyên.

Mặc dù tôi rất thích sống trong một thế giới nơi sẽ hoàn toàn an toàn khi chỉ cần gửi cho họ một ghi chú để cho họ biết, trước tiên tôi đề nghị liên quan đến bộ phận pháp lý của bạn. Trên thực tế, hoàn toàn có khả năng dù báo cáo lỗi của bạn có ý định tốt đến đâu, một người nào đó trong tổ chức của đối thủ cạnh tranh sẽ hiểu đó là "đối thủ của chúng tôi chỉ trả tiền cho một nhân viên của họ để hack trang web của chúng tôi". Nhận thức đó có thể tạo ra các vấn đề pháp lý hoặc PR cho cả bạn và công ty của bạn. Liên quan đến bộ phận pháp lý của bạn trong thông báo sẽ giúp bảo vệ mọi người khỏi sự xuất hiện của hành vi không đúng đắn. Tất nhiên, điều đó tạo ra khả năng bộ phận pháp lý kết luận rằng việc thông báo cho đối thủ cạnh tranh tạo ra rủi ro pháp lý không thể chấp nhận và bảo bạn chỉ cần ngồi vào thông tin. Nhưng điều đó'

Điều này sẽ nghe có vẻ khủng khiếp (ít nhất là so với hầu hết các câu trả lời ở đây), nhưng, đây là 2 xu của tôi:

Tại sao bạn nên làm bất cứ điều gì về nó?

Điều đầu tiên, họ đã có những nhân viên nên làm công việc đó (tìm ra vấn đề và sửa chúng).

Thứ hai, cách bạn hình thành câu hỏi của bạn làm cho nó nghe như thể đây là một vấn đề nan giải về đạo đức. Không phải vậy. Bạn đã không làm bất cứ điều gì để gây ra vấn đề đó ngay từ đầu.

Thứ ba, bạn đang cạnh tranh với họ. Bạn nên tập trung vào việc làm cho ** sản phẩm của BẠN tốt nhất, không phải của họ.

Nếu bạn vẫn còn nghi ngờ, hãy quay lại điểm số 2 của tôi và đọc lại nó.

Có một ranh giới mỏng giữa việc khám phá các lỗ hổng và gián điệp công nghiệp, và vì bạn có liên kết với chủ nhân của mình, nên đối thủ cạnh tranh có thể coi đó là vấn đề sau.

Nếu bạn báo cáo nó và có một cơn ác mộng pháp lý / PR, bạn sẽ là vật tế thần.

Nói chuyện với bộ phận pháp lý của bạn và để họ xử lý nó khi họ thấy phù hợp - có một lý do khiến họ làm việc nhiều hơn các kỹ sư.

Một cơ chế thay thế, chưa được đề xuất AFAICS, về việc cung cấp thông tin cho đối thủ cạnh tranh mà không có rủi ro cho công ty của bạn là để một trong những công ty báo cáo lỗ hổng khác nhau biết về lỗ hổng - và yêu cầu họ báo cáo cho đối thủ cạnh tranh. Họ (công ty báo cáo lỗ hổng) sẽ giữ tên bạn khỏi báo cáo - bạn sẽ ẩn danh với đối thủ cạnh tranh. Một công ty như vậy là Sáng kiến ​​Ngày không , ZDI - có một số công ty khác.

Rò rỉ nó với các phương tiện truyền thông, tất nhiên ẩn danh, và sau đó cung cấp di chuyển nhanh chóng cho khách hàng của đối thủ cạnh tranh. Điều này có vẻ như là một cú đánh thấp, nhưng hãy xem xét điều này, không có gì bất hợp pháp hoặc phi đạo đức về những gì bạn đang làm, hãy xem xét thêm đó là một thế giới chó ăn thịt chó trong SW và khi David chống lại Goliath, bạn sẽ cần tất cả đòn bẩy. Hãy nhớ rằng, nó không phải là cá nhân, đó là kinh doanh nghiêm túc . Họ sẽ làm điều tương tự với bạn trong tích tắc.

(FWIW Tôi hoàn toàn mong đợi câu trả lời này sẽ bị bỏ phiếu, nhưng điều đó không sao vì những gì tôi đang nói là sự thật mặc dù là một câu hỏi khắc nghiệt.)

Bạn muốn họ làm gì nếu họ tìm thấy lỗ hổng bảo mật trong phần mềm của bạn? Đó nên là câu hỏi đầu tiên bạn hỏi. Nếu câu trả lời là "Tôi thực sự sẽ đánh giá cao nếu họ nói với tôi", thì bạn đã có câu trả lời của mình!

Không quan trọng họ là một công ty khổng lồ hay một cửa hàng ba người, và bạn không phải là một cửa hàng ba người hay một công ty khổng lồ. Như đã nói, danh tiếng của bạn là tất cả, đặc biệt là trong cộng đồng nhỏ được gọi là phần mềm này.

Nếu bạn đang nhập / xuất dữ liệu giữa các hệ thống của họ và của riêng bạn, lỗ hổng bảo mật của họ có thể dễ dàng trở thành lỗ hổng bảo mật của bạn .

Bạn sẽ muốn che mông của bạn về mặt công nghệ và pháp lý. Hãy chắc chắn rằng nó đã được sửa nhưng hãy chắc chắn rằng bộ phận pháp lý của bạn sẽ giúp đỡ trong việc thông báo cho họ.

Rõ ràng, cho họ biết.

Nếu "sự tốt đẹp của trái tim bạn" không phải là một lý do đủ tốt, hãy xem xét rằng bạn đang triển khai tính năng này như một lợi ích cho chính khách hàng của mình. Bạn đang gián tiếp bảo vệ dữ liệu của họ bằng cách báo cáo lỗi này.

Chỉ có một lựa chọn danh dự. Noi vơi họ.

Cá nhân tôi sẽ nói với họ.

Những người khác đã chỉ ra các vấn đề PR / Pháp lý có thể xảy ra và nếu sau khi nói chuyện với một lớp hoặc đại lý PR, bạn không nên báo cáo, tôi vẫn VẪN BÁO CÁO CNTT, nhưng ẩn danh.

Đó là một ưu tiên cho khách hàng tiềm năng của bạn, bằng cách giúp bảo vệ dữ liệu của họ.

Về nguyên tắc, tôi hoàn toàn đồng ý với những gì hầu hết ở đây nói: Bước lên và báo cáo nó. Có một quy tắc danh dự chuyên nghiệp như ngoài biển: Nếu một con tàu gặp sự cố, bạn giúp đỡ, bất kể nó thuộc về ai.

Tuy nhiên, đọc bản cập nhật của bạn, tôi có thể quyết định không nói với họ vì nguy cơ hành động có chủ ý tốt có thể bị thực hiện sai (như gián điệp công nghiệp như @Uri nói), và dẫn đến sự thù địch nguy hiểm hơn nhiều cửa hàng ba người đàn ông của bạn hơn bao giờ hết

Có thể bỏ một ghi chú ẩn danh; có lẽ không làm gì cả Nếu là David, bạn không cần phải nói với Goliath rằng anh ta có một con ong ngồi trên lưng.

Thiên nhiên, mặc dù có những mặt khắc nghiệt, có những dịp tốt đẹp của nó. Và hành động họ ra mà không suy nghĩ hai lần.

Chó không ăn thịt chó. Thay vào đó, những người buồn chán trả tiền cho các trận đấu chó bất hợp pháp. Và luật sư thu tiền. Bao gồm từ ông chủ của bạn. Nhiều hơn bạn muốn bây giờ. Họ có thể vui vẻ thoát nước khởi động mà không chớp mắt.

Cũng rất có thể, ai đó ở "đối thủ" đã biết. Đưa tin tức có thể có nghĩa là nhiều trách nhiệm hơn là một người đưa tin đơn giản. Điều đó có tốt hơn nói chuyện với những bức tường không?

Kinh doanh bảo mật: Rất nhiều máy chủ có lỗ hổng lớn đang trực tuyến. máy chủ này là một máy chủ khác. Công việc toàn thời gian cho một số. Bạn đã kiểm tra lỗ của riêng bạn? Tất cả bọn họ ?

Theo dõi bước của bạn.

Dữ liệu khách hàng là nỗi ám ảnh quan trọng.

Noi vơi họ. Sau đó gửi hồ sơ của bạn. Họ có thể đang tuyển dụng. :)

Noi vơi họ! Đó là điều đúng đắn để làm. Ngoài ra, những gì họ muốn họ làm nếu bạn ở vị trí của họ?

Bạn không thể đặt giá trị lên ý chí tốt có thể phát sinh từ điều này.