O que fazer se você encontrar uma vulnerabilidade no site de um concorrente?

37

Enquanto trabalhava em um projeto para minha empresa, precisava criar uma funcionalidade que permitisse aos usuários importar / exportar dados para / do site de nosso concorrente. Ao fazer isso, descobri uma falha de segurança muito séria que poderia, em resumo, executar qualquer script no site do concorrente.

Meu sentimento natural é relatar a questão para eles no espírito da boa vontade. Explorar a questão para ganhar vantagem passou pela minha cabeça, mas não quero seguir esse caminho.

Então, minha pergunta é, você relataria uma séria vulnerabilidade à sua competição direta, a fim de ajudá-los? Ou você manteria sua boca fechada? Existe uma maneira melhor de fazer isso, talvez para ganhar pelo menos alguma vantagem do fato de que estou ajudando-os relatando o problema?

Atualização (esclarecimento) :

Obrigado por todos os seus comentários até agora, eu agradeço. Suas respostas mudariam se eu acrescentasse que a competição em questão é um gigante no mercado (centenas de funcionários em vários continentes), e minha empresa só começou há algumas semanas (três funcionários)? Não é preciso dizer que eles definitivamente não se lembrarão de nós e, no mínimo, perceberão que seu site precisa de trabalho (e é por isso que entramos nesse mercado em primeiro lugar).

Este pode ser um desses golpes morais vs. negócios, mas agradeço todos os conselhos.

    
por user17610 20.02.2011 / 22:09
fonte

14 respostas

63

Embora eu adoraria viver em um mundo onde seria perfeitamente seguro deixar uma nota para que eles soubessem, sugiro envolver seu departamento jurídico primeiro. Realisticamente, é perfeitamente possível que, por mais bem intencionado que seja seu relatório de bug, alguém na organização do concorrente o interprete como "nosso concorrente acabou de pagar um de seus funcionários para hackear nosso site". Essa percepção pode criar problemas legais ou de relações públicas para você e sua empresa. Envolvendo seu departamento jurídico na notificação deve ajudar a proteger todos da aparência de impropriedade. Claro, isso cria a possibilidade de que o departamento jurídico conclua que notificar o concorrente cria um risco legal inaceitável e diz apenas para se sentar na informação. Mas isso é muito melhor que a alternativa que tudo explode na sua cara.

    
por 08.10.2013 / 15:19
fonte
30

Isso vai soar horrível (pelo menos em comparação com a maioria das respostas aqui), mas aqui vão os meus 2 centavos:

Por que você deveria fazer algo sobre isso?

A primeira coisa é que eles já têm funcionários que deveriam fazer esse tipo de trabalho (encontrar problemas e corrigi-los).

Em segundo lugar, a forma como você formou sua pergunta faz parecer que se trata de algum tipo de dilema moral. Não é. Você não fez nada para causar esse problema em primeiro lugar.

Em terceiro lugar, você está competindo contra eles. Você deve se concentrar em tornar ** SEU produto o melhor que existe, não o deles.

Se você ainda estiver em dúvida, volte ao meu ponto no.2 e leia-o novamente.

    
por 17.02.2011 / 23:24
fonte
22

Há uma linha tênue entre explorar vulnerabilidades e espionagem industrial e, como você é afiliado ao seu empregador, o concorrente pode considerá-lo como o último.

Se você denunciar e houver um pesadelo legal / PR, você será o bode expiatório.

Converse com seu departamento jurídico e deixe que eles lidem com isso da maneira que entenderem. Há uma razão pela qual eles fazem muito mais do que engenheiros.

    
por 17.02.2011 / 22:58
fonte
20

Um mecanismo alternativo, ainda não sugerido pela AFAICS, de levar as informações ao seu concorrente sem risco para a sua própria empresa é permitir que uma das várias empresas de relatório de vulnerabilidades conheça a vulnerabilidade - e peça que relatem ao seu concorrente . Eles (a empresa de relatórios de vulnerabilidade) manteriam seu nome fora do relatório - você seria anônimo para seu concorrente. Uma dessas empresas é a Iniciativa do Dia Zero , a ZDI - há várias outras.

    
por 18.02.2011 / 05:58
fonte
11

Transmita-o para a mídia, anonimamente, é claro, e depois ofereça migração rápida para os clientes do concorrente. Isso pode parecer um golpe baixo, mas considere isso, não há nada ilegal ou antiético sobre o que você está fazendo, considere ainda mais é um cão comer cachorro mundo em SW e como David vai contra Golias você vai precisar de toda a alavancagem. Lembre-se, não é pessoal, é estritamente comercial . Eles fariam o mesmo com você em um piscar de olhos.

(FWIW Espero sinceramente que esta resposta seja rejeitada, mas tudo bem, porque o que estou dizendo é a verdade, ainda que dura.)

    
por 18.02.2011 / 05:26
fonte
8

O que você gostaria que eles fizessem se encontrassem uma vulnerabilidade de segurança em seu software? Essa deve ser a primeira pergunta que você faz. Se a resposta for "Eu realmente apreciaria se eles me dissessem", bem, então você tem sua resposta!

Não importa que eles sejam uma empresa gigante ou uma loja de três pessoas, e não importa que você seja uma loja de três pessoas ou uma empresa gigante. Como já foi dito, sua reputação é tudo, especialmente nesta pequena comunidade conhecida como software.

    
por 17.02.2011 / 23:03
fonte
8

Se você estiver importando / exportando dados entre os sistemas deles e os seus próprios, a vulnerabilidade de segurança deles pode facilmente se tornar a sua vulnerabilidade de segurança.

Você vai querer cobrir sua bunda tecnologicamente e legalmente. Certifique-se de que ele seja consertado, mas certifique-se de que seu departamento jurídico tenha uma participação para notificá-los.

    
por 17.02.2011 / 23:11
fonte
5

Obviamente, deixe-os saber.

Se "fora da bondade do seu coração" não for uma boa razão, considere que você está implementando esse recurso como um benefício para seus próprios clientes. Você está indiretamente protegendo seus dados relatando esse bug.

    
por 17.02.2011 / 22:55
fonte
2

Há apenas uma escolha honrosa. Diga-lhes.

    
por 17.02.2011 / 22:53
fonte
0

Pessoalmente eu diria a eles.

Outras pessoas têm apontado as possíveis questões PR / Jurídicas, e se depois de conversar com uma agente de RP ou camada você é aconselhado a não denunciá-lo, eu ainda vou relatar isso, mas de forma anônima.

Ele está fazendo um favor a seus clientes em potencial, ajudando a proteger os dados deles.

    
por 17.02.2011 / 23:28
fonte
0

Em princípio, eu concordo totalmente com o que a maioria aqui diz: Intensifique e denuncie. Existe um código de honra profissional no mar: se um navio está com problemas, você ajuda, não importa a quem ele pertence.

Lendo sua atualização, no entanto, eu provavelmente decidi não contar a eles por causa do risco de que a ação bem-intencionada possa ser tomada de maneira errada (como diz a espionagem industrial @Uri) e leve a hostilidades que são muito mais perigoso para a sua loja de três homens do que eles jamais serão para eles.

Talvez deixe uma nota anônima; talvez não faça nada. Se você é David, não precisa dizer a Golias que ele tem uma abelha sentada de costas.

    
por 17.02.2011 / 23:28
fonte
-1

A natureza, apesar de seus lados severos, tem suas ocasiões amáveis. E os atua sem pensar duas vezes.

O cachorro não come cachorro. Pelo contrário, pessoas entediadas pagam por brigas de cães ilegais. E os advogados recolhem o dinheiro. Incluindo do seu chefe. Mais do que você quer agora. Eles podem drenar startups sem piscar.

Também é muito possível que alguém do "concorrente" já saiba. Trazer a notícia pode significar mais responsabilidades do que ser um simples mensageiro passageiro. Isso é melhor do que falar com paredes?

Negócio de segurança: muitos servidores com grandes buracos estão on-line. este servidor é outro. Emprego a tempo inteiro para alguns. Você verificou seus próprios buracos? todos eles?

Assista ao seu passo.

Os dados dos clientes são a obsessão importante.

    
por 18.02.2011 / 16:24
fonte
-1

Diga a eles. Em seguida, envie seu currículo. Eles podem estar contratando. :)

    
por 01.03.2012 / 22:19
fonte
-1

Diga a eles! é a coisa certa a fazer. Além disso, o que eles gostariam que eles fizessem se você estivesse no lugar deles?

Você não pode dar valor à boa vontade que poderia resultar disso.

    
por 01.03.2012 / 22:19
fonte