Охрана этики nondisclosure

Question

3 года назад Я провела аудит безопасности для большого сайта электронной коммерции. Когда аудит был подготовлен, я обнаружил несколько серьезных проблем безопасности, которые позволяют получить доступ к данным, которые не должны быть доступны после завершения транзакции. На этом сайте есть несколько основных рисков. Сначала вы можете видеть заказы, поступающие через систему в реальном времени; все транзакции обрабатываются вручную этой компанией. Если вы просматриваете транзакцию, вы можете увидеть имя, адрес и место доставки. Здесь я вижу 2 пункта о злоупотреблениях, 1 - вы можете просто отредактировать судно для адресации и отправить отправленную вам информацию, а 2 - вы можете позвонить пользователю в порядке, когда заказ был помещен, и сделать «конформацию телефона», чтобы получить доступ просто к cc info с базовой социальной инженерией.

Вы также можете немного поработать с данными о заказе и заказами, а затем просто сопоставить идентификатор заказа и информацию о пользователе. Это все, используя открытые функции на своем сайте и изменяя пару значений. Да, я неясен по какой-то причине.

Директор по маркетингу этой компании был предупрежден об этих рисках 3 года назад и ничего не сделал для их исправления. Я не сомневаюсь, могу ли я найти других. Этот сайт выполняет 88 тыс. Транзакций в год и имеет все заказы, которые когда-либо обрабатывались и доступны.

Итак, этический вопрос ... что мне делать? Моя компания не заботится ... поэтому я не могу получить помощь там. Если я свяжусь с маркетологом, он просто продолжит прикрывать свою задницу и задницы там некомпетентной команды внутреннего развития (холодный синтез). Я могу связаться с кем-то выше? Я обойду свою компанию? Я просто использую данные и продаю их конкуренту за вычетом информации cc? Что я знаю об этом? Его ворчание у меня, и я не могу отпустить его. Это только один из многих сайтов, о которых я знаю, но легкость доступа и высокий трафик заставляют меня задуматься над этим.

Answer 1

Есть две школы мысли: ответственное раскрытие и полное раскрытие. Но, если вы сделали это в свое время компании (оценка), то я думаю, что вы строго обязаны не публиковать публично.

Answer 2

Практический опыт, вы обнаружили дыры в безопасности и предупредили их. Если они не хотят их исправлять, это их дело.

Возможно, директор по маркетингу не тот человек, который имеет дело с этой информацией. Вы можете попытаться использовать свои дипломатические навыки и связаться с руководством высшего звена. Но никого не обвиняйте. Потому что это будет иметь неприятные последствия.

Я бы ничего не продал конкуренту, потому что это наверняка даст вам массу неприятностей.

Answer 3

С точки зрения обычного потребителя, я думаю, что степень обслуживания клиентов в этой компании должна быть общедоступной. Они действительно не заботятся о каких-либо отверстиях, которые могут раскрывать личные данные клиентов. Поэтому они действительно должны быть наказаны. Но выявление дырок нанесет ущерб не только им, но и их клиентам.

Если вы были заплачены за аудит безопасности, у вас есть этичное право ни публиковать информацию о чем-либо, что вы нашли, ни использовать его каким-либо образом. Кто будет доверять эксперту по безопасности, раскрывая то, что он нашел спустя годы? Я думаю, вы ничего не можете сделать.

Answer 4

Я бы записал первый такой инцидент, как ваш опыт обучения. Вы и клиент (и ваше руководство) не уточнили границы своей ответственности.

Я думаю, что ваш настоящий вопрос: «Как я могу предотвратить это снова?»

Answer 5

В прошлом я столкнулся с similar scenario. Хотя я наткнулся на дыру, а не на то, чтобы заплатить за проверку пера или проверку безопасности.

У меня возникло серьезное желание опубликовать данные в наших государственных газетах, а затем список рассылки полной рассылки (вместе с правительственными контактами), когда никаких действий не было предпринято через 2 года, но решил, что данные были слишком рискованными, чтобы разоблачить (потенциально) злонамеренных людей.

Жесткий выбор, хотя.

Answer 6

Если это частная организация, и вы считаете, что выполнили условия своего контракта с ними, я бы сказал, что вы сделали все, что могли.

Если, однако, это организация, которая каким-либо образом получает государственное финансирование, я предлагаю дать им еще один шанс, а затем перейти к (технической) прессе.

Answer 7

Найти подходящего человека внутри компании.

Если у вас нет подходящего человека, вы можете получить аудиторию с наивысшей дозой и объяснить проблему в нескольких простых нетехнических предложениях.

«Каждый клиент, который когда-либо использовал эту информацию об услугах, может быть украден сегодня, полу-знающим человеком. Я полагаю, что это произойдет в% 50 в следующем году. Если/когда это произойдет это будет стоить 5 миллионов в судебных процессах, 1 миллион в овертайме, n миллионов в репутации, n миллионов в будущем потерянных клиентов/заказов ».

Это работало для меня в прошлом, и если вы это сделаете, вы попытаетесь изо всех сил, чтобы поступать правильно.