¿Qué hacer si encuentra una vulnerabilidad en el sitio de un competidor?

Mientras trabajaba en un proyecto para mi empresa, necesitaba desarrollar una funcionalidad que permitiera a los usuarios importar / exportar datos hacia / desde el sitio de nuestro competidor. Mientras hacía esto, descubrí una vulnerabilidad de seguridad muy seria que podría, en resumen, ejecutar cualquier script en el sitio web de la competencia.

Mi sentimiento natural es informarles el problema con espíritu de buena voluntad. Explotar el tema para obtener ventaja cruzó mi mente, pero no quiero seguir ese camino.

Entonces mi pregunta es, ¿informaría una vulnerabilidad grave a su competencia directa para ayudarlos? ¿O mantendrás la boca cerrada? ¿Hay una mejor manera de hacerlo, tal vez para obtener al menos alguna ventaja del hecho de que les estoy ayudando informando el problema?

Actualización (aclaración) :

Gracias por todos sus comentarios hasta ahora, lo agradezco. ¿Cambiarían sus respuestas si tuviera que agregar que la competencia en cuestión es un gigante en el mercado (cientos de empleados en varios continentes), y mi empresa solo comenzó hace unas semanas (tres empleados)? No hace falta decir que definitivamente no nos recordarán y, en todo caso, solo se darán cuenta de que su sitio necesita trabajo (es por eso que ingresamos a este mercado en primer lugar).

Este podría ser uno de esos cambios morales versus comerciales, pero agradezco todos los consejos.

Aunque me encantaría vivir en un mundo donde sería perfectamente seguro enviarles una nota para informarles, sugeriría involucrar primero a su departamento legal. Siendo realistas, es completamente posible que, por bien intencionado que sea su informe de error, alguien en la organización del competidor lo interpretará como "nuestro competidor acaba de pagarle a uno de sus empleados para que piratee nuestro sitio". Esa percepción podría crear problemas legales o de relaciones públicas tanto para usted como para su empresa. Involucrar a su departamento legal en la notificación debería ayudar a proteger a todos de la apariencia de incorrección. Por supuesto, eso crea la posibilidad de que el departamento legal concluya que notificar al competidor crea un riesgo legal inaceptable y le dice que solo se siente en la información. Pero eso'

Esto va a sonar horrible (al menos en comparación con la mayoría de las respuestas aquí) pero, aquí va mi 2 centavos:

¿Por qué deberías hacer algo al respecto?

Lo primero es lo primero, ya tienen empleados que deberían estar haciendo ese tipo de trabajo (encontrar problemas y solucionarlos).

En segundo lugar, la forma en que formuló su pregunta hace que parezca que se trata de una especie de dilema moral. No es. No hiciste nada para causar ese problema en primer lugar.

En tercer lugar, estás compitiendo contra ellos. Debería concentrarse en hacer ** SU producto lo mejor que existe, no el suyo.

Si todavía tiene dudas, regrese a mi punto n. ° 2 y vuelva a leerlo.

Existe una delgada línea entre la exploración de vulnerabilidades y el espionaje industrial, y dado que está afiliado a su empleador, el competidor puede considerarlo como el último.

Si lo denuncias y hay una pesadilla legal / de relaciones públicas, serás el chivo expiatorio.

Hable con su departamento legal y déjelos manejarlo como mejor le parezca: hay una razón por la que ganan mucho más que los ingenieros.

Un mecanismo alternativo, aún no sugerido AFAICS, para llevar la información a su competidor sin riesgo para su propia empresa es permitir que una de las diversas compañías de informes de vulnerabilidad conozca la vulnerabilidad, y pedirles que la denuncien a su competidor. Ellos (la compañía de informes de vulnerabilidad) mantendrían su nombre fuera del informe; usted sería anónimo para su competidor. Una de esas compañías es la Iniciativa de Día Cero , ZDI, hay otras.

Filtra a los medios, de forma anónima, por supuesto, y luego ofrece una migración rápida a los clientes de la competencia. Esto puede parecer un golpe bajo, pero considere esto, no hay nada ilegal o poco ético en lo que está haciendo, además considere que es un perro que se come al mundo de perros en SW y que David va en contra de Goliat y necesitará toda la influencia. Recuerde, no es personal, es estrictamente comercial . Te harían lo mismo en un instante.

(FWIW Espero que esta respuesta sea rechazada, pero está bien porque lo que digo es la verdad, aunque sea dura).

¿Qué le gustaría que hicieran si encontraran una vulnerabilidad de seguridad en su software? Esa debería ser la primera pregunta que haga. Si la respuesta es "Realmente agradecería que me lo dijeran", bueno, ¡entonces tienes tu respuesta!

No importa que sean una empresa gigante o una tienda de tres personas, y no importa que usted sea una tienda de tres personas o una empresa gigante. Como se ha dicho, su reputación lo es todo, especialmente en esta pequeña comunidad conocida como software.

Si está importando / exportando datos entre sus sistemas y los suyos, su vulnerabilidad de seguridad podría convertirse fácilmente en su vulnerabilidad de seguridad.

Querrás cubrir tu trasero tecnológicamente y legalmente. Asegúrese de que se solucione, pero asegúrese de que su departamento legal tenga una mano en notificarlos.

Obviamente, hágales saber.

Si "por la bondad de su corazón" no es una razón suficientemente buena, considere que está implementando esta función como un beneficio para sus propios clientes. Usted está indirectamente protegiendo sus datos al reportar este error.

Solo hay una opción honorable. Dígales.

Personalmente les diría.

Otras personas han señalado los posibles problemas de relaciones públicas / legales, y si después de hablar con una capa o agente de relaciones públicas se le aconseja que no lo informe, TODAVÍA LO INFORMARÉ, pero de forma anónima.

Le está haciendo un favor a sus clientes potenciales, ayudándoles a proteger sus datos.

En principio, estoy totalmente de acuerdo con lo que la mayoría dice aquí: intensifíquelo e infórmelo. Existe un código de honor profesional como en alta mar: si un barco está en problemas, usted ayuda, sin importar a quién pertenezca.

Sin embargo, al leer su actualización, probablemente decidiría no decirles debido al riesgo de que la acción bien intencionada se tome de la manera incorrecta (como el espionaje industrial como dice @Uri), y dar lugar a hostilidades que son mucho más peligrosas para tu tienda de tres hombres de lo que serán para ellos.

Tal vez deje caer una nota anónima; tal vez no hagas nada en absoluto. Si eres David, no tienes que decirle a Goliat que tiene una abeja sentada sobre su espalda.

La naturaleza, a pesar de sus lados duros, tiene sus ocasiones amables. Y los representa sin pensarlo dos veces.

El perro no come perro. Más bien, las personas aburridas pagan por peleas ilegales de perros. Y los abogados cobran el dinero. Incluido de tu jefe. Más de lo que quieres ahora. Pueden drenar felizmente las startups sin parpadear.

También es muy posible que alguien en "competidor" ya lo sepa. Llevar las noticias puede significar más responsabilidades que ser un simple mensajero que pasa. ¿Es eso mejor que hablar con las paredes?

Negocio de seguridad: muchos servidores con grandes agujeros están en línea. Este servidor es otro. Trabajo a tiempo completo para algunos. ¿Has revisado tus propios agujeros? todos ellos ?

Cuida tu paso.

Los datos de los clientes son la obsesión importante.

Dígales. Luego envíe su currículum. Podrían estar contratando. :)

¡Dígales! Que es lo que hay que hacer. Además, ¿qué le gustaría que hicieran si estuvieras en su lugar?

No se puede valorar la buena voluntad que podría surgir de esto.