Cantera ética sobre la no divulgación de seguridad [cerrado]

Hace tres años realicé una auditoría de seguridad para un gran sitio web de comercio electrónico. Cuando se realizó la auditoría, encontré varios problemas de seguridad graves que permiten el acceso a datos que no deberían ser accesibles después de que se complete una transacción. En este sitio hay varios riesgos importantes. Primero, puede ver los pedidos que llegan a través del sistema en tiempo real; Todas las transacciones son procesadas manualmente por esta empresa. Si ve una transacción, puede ver el nombre, la dirección y el destino del envío. Veo dos puntos de abuso aquí, 1: simplemente puede editar el envío a la dirección y que se le envíe el envío a usted mismo, y 2: puede llamar al usuario justo cuando se realizó el pedido y hacer una "confirmación telefónica" para obtener acceso simplemente a la información de la tarjeta de crédito con ingeniería social básica.

También puede, con un poco más de trabajo, volcar la información CC y los números de ID de pedido y luego simplemente hacer coincidir la ID del pedido y la información del usuario.

Todo esto es mediante el uso de funciones expuestas en su sitio y la modificación de un par de valores. Sí, estoy siendo vago por alguna razón.

El director de marketing de esta empresa fue advertido sobre estos riesgos hace tres años y no ha hecho nada para corregirlos. No dudo que si puedo encontrar esto, otros pueden. Este sitio realiza 88K transacciones por año y tiene todos los pedidos procesados ​​aún en datos y accesibles.

Entonces la pregunta ética ... ¿qué hago? A mi compañía no le importa ... así que no puedo obtener ayuda allí. Si me pongo en contacto con el chico de marketing, él continuará cubriéndose el trasero y los traseros de su incompetente equipo de desarrollo interno (fusión en frío). ¿Me pongo en contacto con alguien más arriba? ¿Voy por mi empresa? ¿Acabo de extraer los datos y venderlos a un competidor menos la información de CC? ¿Qué hago sabiendo esto? Me molesta y no puedo dejarlo ir. Este es solo uno de los muchos sitios que conozco, pero la facilidad de acceso y el alto tráfico me hacen reflexionar mucho sobre esto.

Hubo un tiempo en el que sugeriría tomar medidas heroicas para resolver la situación. Desde entonces he aprendido mejor: no puedes obligar a alguien a actuar en su propio interés. Hacerlo a menudo tiene consecuencias no deseadas para usted que probablemente sean desagradables.

Piénsalo ... has

• Informó a la empresa a través de su informe de auditoría.
• Informó su gestión

Entonces, si vas y llamas al CEO en casa, ahora has hecho un recorrido final alrededor de tu administración y has creado una situación en la que la gente interna que está haciendo lo del CYA te convertirá en el villano. El CEO escuchará a su personal incompetente más que un consultor aleatorio que realizó una auditoría hace 3 años.

Mi consejo: ve a tomar una cerveza o lo que quieras hacer y nunca más vuelvas a visitar el sitio web.

Primero: no vendes lo que sabes, eso ciertamente no es ético y puede ser ilegal :)

Mi segundo consejo sería ir al jefe de Marketing Guy, hasta el CEO de esa compañía. Si trabajas para un grupo de auditoría, a ellos no les importa lo que haga una empresa con la información, solo que tienen que vender el servicio en primer lugar.

Tercero, si realmente es tan importante, puede comenzar una campaña de marketing / boicot anónimo (o no anónimo) con respecto a la inseguridad del sitio, sin comprometerlos realmente .

Pero mejor que preguntarle a un grupo de administradores de sistemas sería hablar con un abogado de buena reputación :)

Usted fue contratado para realizar una auditoría, por lo que su deber es con el cliente informarles sobre los resultados de la auditoría. Lo que hacen con él es su negocio. Han decidido los riesgos versus el costo del cambio. No tú. Si tienen un problema de seguridad masivo y usted recibe una citación, puede testificar sobre los resultados de la auditoría (hace 3 años). Eso es todo en cuanto a sus obligaciones.

Tengo noticias para ti. La gran mayoría de las empresas manejan los datos de los clientes de manera insegura, en algún nivel u otro. ¿Cuántos DBA tienen acceso completo a todos los datos del cliente? Muy pocas empresas ejecutan Oracle Vault.

"¿Acabo de extraer los datos y venderlos a un competidor menos la información de CC?"

Solo si quieres ir a la cárcel.

Puede estar en hielo muy delgado si revela algo. Puede tener problemas reales por eso.

Hay una razón para que las compañías tengan acuerdos rigurosos entre sí cuando se contrata la pentesting. La empresa que realiza el pentesting necesita toda la protección que pueda obtener. Revelar información que no debe poder y lo demandará o procesará.

Digamos que vas al jefe del chico de marketing. El jefe toma medidas drásticas contra el tipo de marketing. El tipo de marketing comienza a cubrirse el culo. Puede convencer al jefe de que para que usted tenga esta información, debe haber hecho algo ilegal o similar. Incluso si finalmente ganas, podrías estar en la corte durante mucho tiempo.

Si no quieren tomarlo en serio al primer acercamiento, presionarlos para que lo tomen en serio probablemente lo meterá en problemas.

Por tu bien, déjalo.

EDITAR: Además, si el acuerdo original para la auditoría de seguridad incluye personas específicas a las que solo puede informar, informar a otras personas de la misma compañía, no incluidas en el acuerdo, podría meterlo en problemas.

Por lo que veo, has hecho tu trabajo. Realizó la auditoría y pasó los resultados a la persona competente en autoridad. Mi consejo es que te alejes, no hay nada más que realmente puedas hacer. Por supuesto, el dilema es que los clientes inocentes podrían estar expuestos a las continuas debilidades de seguridad, pero en realidad no es su problema, ¿verdad? No puede asumir la responsabilidad de ninguna parte más allá del mandato de su trabajo.

Ciertamente no filtra esta información, y ciertamente no la vende a extraños.

Hay algo aquí que no entiendo ... ¿hace tres años? Si hiciste una auditoría hace 3 años, ¿cómo es que todavía tienes esto en mente? ¿Te sientes mal por eso o la empresa insegura todavía está contratando a tu empresa para servicios de seguridad / auditoría?

Es una pregunta importante, porque si no ha tenido negocios con esta empresa durante 3 años, entonces mi consejo claro es alejarse. Parecería muy extraño volver a aparecer después de 3 años y comenzar a criticar. Si fue hace 3 años, entonces tuviste la oportunidad en ese entonces y no la aprovechaste. Ahora vete.

Si su empresa todavía está haciendo negocios con la empresa insegura , entonces le propondría que fortalezca a su propio jefe para que les envíe una carta juntos. Tu jefe no disfrutará esto; pero para usted es mucho mejor si la carta proviene de su compañía y no de usted. Envíelo por correo al jefe de gerentes de marketing (CEO). Manténgalo cortés, manténgalo vago y cubra principalmente a su propia compañía a **, y alude a las decisiones de seguridad de los gerentes de marketing que están tan lejos de los estándares aceptados de la industria que se sintió obligado a pasar por alto. Su objetivo no es contarlo todo, su objetivo es cubrir a su propia compañía a **, y hacer que el otro CEO se sienta lo suficientemente nervioso como para pedir una copia de su informe original.

Repasar la cabeza de los gerentes de marketing es el movimiento más fuerte que puedo recomendar. Y es realmente bastante fuerte y no deseado. Usted fue contratado para brindar una opinión experta sobre un aspecto; no para dirigir sus negocios.

En una nota de sitio algo triste: no es tan raro ver gente de negocios poco ética o simplemente incompetente. A veces, estos pueden contratar auditores de seguridad sin la intención de utilizar los resultados; con la intención de decir solo que han sido auditados por la conocida empresa de seguridad X. Esto es, por supuesto, triste y ofensivo, pero es real, y tendrá que acostumbrarse si desea trabajar en la auditoría de seguridad.

Por otro lado, debe considerar su responsabilidad por no informar adecuadamente al cliente de los riesgos. Debe tener en cuenta qué tipo de cobertura de errores y omisiones tiene su empresa. Dices que a tu empresa no le importa, pero apuesto a que si el cliente los demanda, provocado por una demanda contra uno de sus clientes, atraerá la atención de todos.

Hace 3 años hiciste un trabajo, por el cual probablemente te pagaron. Si tomó todos los pasos requeridos en el desempeño de ese trabajo, entonces su trabajo está hecho. Terminado. Terminado.

Tengo serios problemas para entender por qué has tenido 3 años para hacer algo al respecto y no lo has hecho. Esto no me parece que tenga problemas éticos. De hecho, su sola mención de posiblemente vender la información me sugiere que es posible que tenga motivos muy diferentes. Por lo menos, encuentro su posición altamente cuestionable.

Como no ha hecho nada hasta ahora, si comienza a tomar cualquier tipo de acción, es muy posible que se exponga a una posible acción legal. Las leyes varían de un lugar a otro, pero donde estoy, si alguien ha sido víctima del robo de datos a través de los mecanismos que describió y solo ahora toma medidas, de hecho es un participante conocedor a través de su inacción anterior. El único curso seguro para usted personalmente es dejarlo caer.

Si está en el negocio de las "auditorías de seguridad", no se puede extraer la información y venderla. Demonios, el hecho de que incluso hicieras esa pregunta me hace preguntarme sobre tu ética y ciertamente me haría preguntar si serías o no adecuado para mi equipo de seguridad.

Habiendo dicho eso, hiciste tu trabajo. Usted fue contratado para hacer una auditoría de seguridad y lo hizo. ¿Se informó a la empresa de los hallazgos por escrito? Como han dicho otros, no se puede obligar a una empresa a cerrar las lagunas de seguridad. La pregunta ética es aprender de esta auditoría y seguir adelante.

Si le preocupa hacer bien su trabajo, ya lo hizo. El hecho de que nadie actúe de acuerdo con sus recomendaciones no se refleja en usted.

Sin embargo, si le preocupa legítimamente que sus clientes sean víctimas de robo de identidad o de tarjeta de crédito, le diría que se ponga en contacto con el departamento de quejas de la FTC . (Suponiendo que se encuentre en los EE. UU., De lo contrario, su país probablemente tenga un departamento gubernamental similar).

He cursado algunos semestres en Ética, y es realmente una pregunta difícil.

Pedir una respuesta de "¿Qué debo hacer?" Nunca te dará una respuesta "correcta", todo lo que obtendrás son respuestas que refuercen o vayan en contra de tus sentimientos personales sobre el tema.

Además, todas las respuestas que obtenga aquí estarán fuertemente influenciadas por las acciones o decisiones pasadas de las personas, dónde viven, dónde crecieron, sus leyes y costumbres locales. Entonces, incluso si han estado en la misma situación que usted, su experiencia puede ser completamente diferente.

La respuesta corta es: debe hacer lo que USTED cree que es correcto. Claramente cree que la inacción no es lo correcto. Si no lo hicieras, no estarías preguntando esto.

Yo, personalmente, no estoy de acuerdo con todos los que dicen "Déjalo" o "Has hecho tu trabajo". Esa parece ser una opinión popular siempre que la ética ha surgido en ServerFault. Y no es un respuesta incorrecta , simplemente no es mi respuesta.