3 года назад Я провела аудит безопасности для большого сайта электронной коммерции. Когда аудит был подготовлен, я обнаружил несколько серьезных проблем безопасности, которые позволяют получить доступ к данным, которые не должны быть доступны после завершения транзакции. На этом сайте есть несколько основных рисков. Сначала вы можете видеть заказы, поступающие через систему в реальном времени; все транзакции обрабатываются вручную этой компанией. Если вы просматриваете транзакцию, вы можете увидеть имя, адрес и место доставки. Здесь я вижу 2 пункта о злоупотреблениях, 1 - вы можете просто отредактировать судно для адресации и отправить отправленную вам информацию, а 2 - вы можете позвонить пользователю в порядке, когда заказ был помещен, и сделать «конформацию телефона», чтобы получить доступ просто к cc info с базовой социальной инженерией.Охрана этики nondisclosure
Вы также можете немного поработать с данными о заказе и заказами, а затем просто сопоставить идентификатор заказа и информацию о пользователе. Это все, используя открытые функции на своем сайте и изменяя пару значений. Да, я неясен по какой-то причине.
Директор по маркетингу этой компании был предупрежден об этих рисках 3 года назад и ничего не сделал для их исправления. Я не сомневаюсь, могу ли я найти других. Этот сайт выполняет 88 тыс. Транзакций в год и имеет все заказы, которые когда-либо обрабатывались и доступны.
Итак, этический вопрос ... что мне делать? Моя компания не заботится ... поэтому я не могу получить помощь там. Если я свяжусь с маркетологом, он просто продолжит прикрывать свою задницу и задницы там некомпетентной команды внутреннего развития (холодный синтез). Я могу связаться с кем-то выше? Я обойду свою компанию? Я просто использую данные и продаю их конкуренту за вычетом информации cc? Что я знаю об этом? Его ворчание у меня, и я не могу отпустить его. Это только один из многих сайтов, о которых я знаю, но легкость доступа и высокий трафик заставляют меня задуматься над этим.
Я голосую, чтобы закрыть этот вопрос как не по теме, потому что речь идет о программисте, а не о программировании. – gunr2171