Apa yang harus dilakukan jika Anda menemukan kerentanan di situs pesaing?

37

Saat mengerjakan proyek untuk perusahaan saya, saya perlu membangun fungsionalitas yang memungkinkan pengguna untuk mengimpor / mengekspor data ke / dari situs pesaing kami. Saat melakukan ini, saya menemukan eksploitasi keamanan yang sangat serius yang, singkatnya, dapat melakukan skrip apa pun di situs web pesaing.

Perasaan alami saya adalah melaporkan masalah ini kepada mereka dengan semangat niat baik. Memanfaatkan masalah untuk mendapatkan keuntungan terlintas di benak saya, tetapi saya tidak ingin menempuh jalan itu.

Jadi pertanyaan saya adalah, apakah Anda akan melaporkan kerentanan serius terhadap pesaing langsung Anda, untuk membantu mereka? Atau apakah Anda akan tutup mulut? Apakah ada cara yang lebih baik untuk menyelesaikan ini, mungkin untuk mendapatkan setidaknya beberapa keuntungan dari fakta bahwa saya membantu mereka dengan melaporkan masalah ini?

Pembaruan (Klarifikasi) :

Terima kasih atas semua tanggapan Anda sejauh ini, saya menghargainya. Apakah jawaban Anda akan berubah jika saya ingin menambahkan bahwa persaingan yang dipermasalahkan adalah raksasa di pasar (ratusan karyawan di beberapa benua), dan perusahaan saya baru mulai beberapa minggu yang lalu (tiga karyawan)? Tak perlu dikatakan, mereka pasti tidak akan mengingat kami, dan jika ada, hanya menyadari bahwa situs mereka perlu bekerja (itulah sebabnya kami memasuki pasar ini di tempat pertama).

Ini mungkin salah satu dari undian moral vs bisnis, tapi saya menghargai semua saran.

business security ethics vulnerabilities user17610
sumber
4
Tergantung pada apakah Anda bermoral atau amoral.
dietbuddha
5
Laporkan secara anonim dari alamat email sekali pakai dari belakang proxy tanpa ikatan apa pun dengan tempat kerja Anda saat ini.
Pekerjaan
14
Mengapa ukuran perusahaan memiliki kaitan dengan apa yang merupakan perilaku etis?
JohnFx
6
Ada sedikit anekdot tentang seorang lelaki yang mencoba menjual Pepsi beberapa rahasia dari Coke ... Pepsi memanggil polisi kepadanya. Tidak peduli seberapa kuat persaingan, persaingan harus selalu didasarkan pada praktik bisnis yang adil dan etis. Jika kalian lebih baik, Anda akan mengalahkan mereka terlepas dari seberapa besar atau kuatnya mereka. Ini mungkin tidak terjadi dalam semalam, tetapi lihat perang browser. Perlahan tapi pasti alternatif mengambil bagian dari IE bahkan dengan IE yang sudah diinstal!
Chris Thompson
@JohnFx +1: tepat Pak pertanyaan! Kami bahkan dapat menggunakan argumen yang sama jika situasinya terbalik: "perusahaan saya adalah raksasa yang mapan dan disegani dan mereka hanyalah perusahaan kecil yang kemungkinan besar akan gagal cepat atau lambat." Terlepas dari ukuran relatif perusahaan, etika adalah sama.
bedwyr

Jawaban:

63

Meskipun saya ingin tinggal di dunia di mana akan sangat aman untuk hanya memberi mereka catatan agar mereka tahu, saya sarankan melibatkan departemen hukum Anda terlebih dahulu. Secara realistis, sangat mungkin bahwa betapapun maksud laporan bug Anda, seseorang dalam organisasi pesaing akan menafsirkannya sebagai "pesaing kami baru saja membayar salah satu karyawan mereka untuk meretas situs kami". Persepsi itu dapat menciptakan masalah hukum atau PR untuk Anda dan perusahaan Anda. Melibatkan departemen hukum Anda dalam pemberitahuan harus membantu melindungi semua orang dari kesan tidak pantas. Tentu saja, itu menciptakan kemungkinan bahwa departemen hukum menyimpulkan bahwa memberi tahu pesaing akan menimbulkan risiko hukum yang tidak dapat diterima dan memberi tahu Anda untuk hanya duduk pada informasi. Tapi itu'

Justin Cave
sumber
Kemungkinan besar mereka akan mengatakan untuk pergi dengannya - tetapi mereka akan tahu pendekatan terbaik untuk melakukannya tanpa membuat Anda atau perusahaan Anda terkena backdraft hukum yang tidak diinginkan.
HorusKol
Jika departemen hukum mengatakan tidak, saya akan pergi dengan ide email anonim. Dan jika mereka mengatakan ya, pastikan nama Anda ada di suatu tempat!
Benjol
17
Tentu saja, menemukan "departemen hukum" di sebuah perusahaan yang terdiri dari tiga orang akan menjadi sangat sulit, saya bayangkan :)
Benjol
@Benjol Benar, tetapi Anda pasti membutuhkan nasihat hukum dalam kasus ini. Bahkan jika mereka tidak dapat menuduh Anda meretas situs mereka, mereka masih dapat mengklaim bahwa surat Anda mengancam dan Anda mencoba memerasnya.
biziclop
9
Menyakitkan saya untuk setuju dengan jawaban ini. Ini adalah komentar menyedihkan tentang masyarakat ketika pengacara diperlukan untuk laporan bug kode.
jdl
30

Ini akan terdengar mengerikan (setidaknya dibandingkan dengan sebagian besar jawaban di sini) tetapi, inilah 2 sen saya:

Mengapa Anda harus melakukan sesuatu?

Hal pertama yang pertama, mereka sudah memiliki karyawan yang seharusnya melakukan pekerjaan semacam itu (menemukan masalah dan memperbaikinya).

Kedua, cara Anda membentuk pertanyaan Anda membuatnya terdengar seolah-olah ini semacam dilema moral. Ini bukan. Anda tidak melakukan apa pun yang menyebabkan masalah itu sejak awal.

Ketiga, Anda bersaing melawan mereka. Anda harus fokus membuat ** produk ANDA yang terbaik, bukan milik mereka.

Jika Anda masih ragu, kembali ke poin saya no. 2 dan baca kembali.

Jas
sumber
9
+1 karena realistis. Jangan lakukan sesuatu yang ilegal, tentu. Asusila? Dalam bisnis, tidak ada moral atau amoral. Perusahaan tidak memiliki konsep moralitas.
Davor Ždralo
3
@HorusKol - +1 tidak akan membayar gaji dan biaya untuk perusahaan. Namun, menawarkan produk yang lebih baik dari pesaing Anda.
Jas
4
-1. Pemikiran seperti ini adalah contoh klasik dari Tragedi Commons. Lubang keamanan adalah masalah semua orang.
Mason Wheeler
6
@Mason Wheeler: Tragedi milik bersama adalah dilema yang timbul dari situasi di mana banyak individu, bertindak secara independen dan secara rasional berkonsultasi dengan kepentingan mereka sendiri, pada akhirnya akan menghabiskan sumber daya bersama yang terbatas bahkan ketika jelas bahwa itu tidak ada dalam siapa pun. minat jangka panjang untuk ini terjadi. Saya tidak melihat bagaimana ini berlaku di sini.
user17610
3
Terus terang saya terkejut bahwa Anda menyarankan untuk tidak memberi tahu pesaing Anda tentang bug keamanan mereka. Mengapa tidak mengajukan laporan bug dalam bentuk siaran pers atau email promosi. Laporan bug semacam itu harus mencatat tidak adanya bug tersebut dalam produk Anda dan implikasi potensial bagi pengguna.
emory
22

Ada garis tipis antara mengeksplorasi kerentanan dan spionase industri, dan karena Anda berafiliasi dengan perusahaan Anda, pesaing dapat menganggapnya sebagai yang terakhir.

Jika Anda melaporkannya dan ada mimpi buruk hukum / PR, Anda akan menjadi kambing hitam.

Bicaralah dengan departemen hukum Anda dan biarkan mereka menanganinya sesuai keinginan - ada alasan mereka membuat lebih dari sekadar insinyur.

Uri
sumber
20

Mekanisme alternatif, yang belum disarankan AFAICS, untuk memberikan informasi kepada pesaing Anda tanpa risiko bagi perusahaan Anda sendiri adalah dengan membiarkan salah satu dari berbagai perusahaan pelaporan kerentanan mengetahui tentang kerentanan - dan meminta mereka untuk melaporkannya kepada pesaing Anda. Mereka (perusahaan pelaporan kerentanan) akan menjaga nama Anda keluar dari laporan - Anda akan menjadi anonim bagi pesaing Anda. Salah satu perusahaan tersebut adalah Zero Day Initiative , ZDI - ada sejumlah lainnya.

Jonathan Leffler
sumber
11

Bocoran ke media, tentu saja secara anonim, dan kemudian tawarkan migrasi cepat ke pelanggan pesaing. Ini mungkin terlihat seperti pukulan rendah, tetapi pertimbangkan ini, tidak ada yang ilegal atau tidak etis tentang apa yang Anda lakukan, lebih lanjut menganggap itu adalah makan anjing dunia anjing di SW dan sebagai David melawan Goliath Anda akan membutuhkan semua leverage. Ingat, ini bukan pribadi, ini semata-mata bisnis . Mereka akan melakukan hal yang sama kepada Anda dalam sekejap.

(FWIW Saya sepenuhnya berharap jawaban ini akan dipilih, tapi tidak apa-apa karena apa yang saya katakan adalah kebenaran meskipun yang keras.)

Gaurav
sumber
Tampak baik bagi saya: Anda memberi tahu mereka dan mendapat untung pada saat yang sama. Namun, ada kemungkinan mereka dicentang dan mulai memancing kerentanan di situs Anda.
apoorv020
@apoorv Ini hanya berarti Anda telah menjadi cukup besar untuk mengkhawatirkan Goliath :-).
Gaurav
Saya tidak mengerti mengapa menggunakan kata "bocor" dan "anonim". OP tidak melakukan sesuatu yang salah atau tidak bermoral
emory
@ apporv020 Anda harus menganggap mereka (dan sejumlah lainnya) terus-menerus memancing kerentanan situs Anda.
emory
Karena ini adalah perusahaan "raksasa" di pasar Anda, sesuatu yang perlu dipertimbangkan adalah bagaimana pelanggan pasar Anda akan bereaksi jika kerentanannya dilaporkan secara luas di media. Apakah mereka akan menjawab dengan "Jika saya tidak bisa mempercayai data saya dengan << perusahaan raksasa >> haruskah saya melakukan ini sama sekali?" Jawabannya dapat membantu menentukan seberapa umum Anda ingin laporan kerentanan Anda. Tindakan Anda dapat memengaruhi persepsi pasar Anda secara keseluruhan.
Zusukar
8

Apa yang Anda ingin mereka lakukan jika mereka menemukan kerentanan keamanan di perangkat lunak Anda? Itu seharusnya menjadi pertanyaan pertama yang Anda tanyakan. Jika jawabannya adalah "Saya akan sangat menghargai jika mereka mengatakannya kepada saya", ya, maka Anda memiliki jawaban Anda!

Tidak masalah bahwa mereka adalah perusahaan raksasa atau toko tiga orang, dan tidak masalah bahwa Anda adalah toko tiga orang atau perusahaan raksasa. Seperti yang telah dikatakan, reputasi Anda adalah segalanya, terutama di komunitas kecil ini yang dikenal sebagai perangkat lunak.

Jesse McCulloch
sumber
3
Bukankah melakukan kebalikan dari apa yang diinginkan pesaing dari strategi bisnis yang normal?
user17610
@ user17610 - Saya kira itu tergantung pada situasinya ... tidak dapat membuat pernyataan selimut dan membuat semua keputusan Anda dengan itu. Jika pesaing Anda ingin menghasilkan banyak uang, apakah Anda akan melakukan yang sebaliknya?
Jesse McCulloch
Tidak, maka saya akan memastikan bahwa mereka tidak menghasilkan banyak perahu;)
user17610
2
+1 untuk "apa yang Anda ingin mereka lakukan jika mereka menemukan kerentanan pada perangkat lunak Anda?"
Craige
-1: Saya ingin mereka memberi tahu saya, karena kemudian menuduh mereka melakukan spionase industri akan membantu merusak pangsa pasar mereka! Jangan pernah menganggap kebajikan di pesaing Anda ...
recursion.ninja
8

Jika Anda mengimpor / mengekspor data antara sistem mereka dan sistem Anda sendiri, kerentanan keamanannya dapat dengan mudah menjadi kerentanan keamanan Anda .

Anda ingin menutupi bokong Anda secara teknologi dan hukum. Pastikan sudah diperbaiki tetapi pastikan departemen hukum Anda memiliki tangan untuk memberi tahu mereka.

Ben L
sumber
5

Jelas, beri tahu mereka.

Jika "karena kebaikan hati Anda" bukan alasan yang cukup baik, pertimbangkan bahwa Anda menerapkan fitur ini sebagai manfaat bagi pelanggan Anda sendiri. Anda secara tidak langsung melindungi data mereka dengan melaporkan bug ini.

jdl
sumber
2

Hanya ada satu pilihan terhormat. Memberitahu mereka.

Eric King
sumber
0

Secara pribadi saya akan memberi tahu mereka.

Orang lain telah menunjukkan kemungkinan masalah PR / Legal, dan jika setelah berbicara dengan agen lapisan atau PR Anda disarankan untuk tidak melaporkannya, SAYA MASIH AKAN PELAPORAN, tetapi secara anonim.

Ini membantu pelanggan potensial Anda, dengan membantu melindungi data mereka.

Dominique McDonnell
sumber
Yup: surat anonim ke seclists.org/fulldisclosure , he he he ...;)
Henrik
@Downvoter, ada komentar mengapa?
Dominique McDonnell
0

Pada prinsipnya, saya sepenuhnya setuju dengan apa yang dikatakan sebagian besar orang di sini: Tingkatkan dan laporkan. Ada kode kehormatan profesional seperti di laut: Jika sebuah kapal bermasalah, Anda membantu, tidak peduli siapa pemiliknya.

Namun, membaca pembaruan Anda, saya mungkin akan memutuskan untuk tidak memberi tahu mereka karena risiko bahwa tindakan yang bermaksud baik mungkin diambil dengan cara yang salah (seperti spionase industri seperti kata @Uri), dan menyebabkan permusuhan yang jauh lebih berbahaya bagi toko tiga orang Anda daripada yang akan mereka bagi mereka.

Mungkin memberikan catatan anonim; mungkin tidak melakukan apa-apa sama sekali. Jika Anda David, Anda tidak perlu memberi tahu Goliath bahwa dia punya seekor lebah yang duduk di punggungnya.

Pekka 웃
sumber
-1

Alam, meskipun memiliki sisi yang keras, memiliki kesempatan yang baik. Dan memerankan mereka tanpa berpikir dua kali.

Anjing tidak makan anjing. Sebaliknya, orang bosan membayar untuk perkelahian anjing ilegal. Dan Pengacara mengumpulkan uang. Termasuk dari Bosmu. Lebih dari yang Anda inginkan sekarang. Mereka dengan senang hati dapat menguras startup tanpa berkedip.

Juga sangat mungkin, seseorang di "pesaing" sudah tahu. Membawa berita bisa berarti lebih banyak tanggung jawab daripada menjadi pembawa pesan yang sederhana. Apakah itu lebih baik daripada berbicara dengan tembok?

Bisnis keamanan: Banyak server dengan lubang besar sedang online. server yang satu ini adalah yang lain. Pekerjaan penuh waktu untuk beberapa orang. Sudahkah Anda memeriksa lubang Anda sendiri? mereka semua ?

Perhatikan langkahmu.

Data pelanggan adalah obsesi penting.

user17685
sumber
2
Oke, saya sudah membaca posting ini dua kali - dan saya masih tidak yakin sisi mana dari perdebatan yang didukungnya ... :)
Cyclops
-1

Memberitahu mereka. Kemudian kirim resume Anda. Mereka mungkin mempekerjakan. :)

davidhaskins
sumber
18
Saya lebih suka tidak bekerja untuk orang-orang yang menulis kode buruk sehingga 15 menit inspeksi mengarah pada penemuan kerentanan serius;)
user17610
@ user17610: Oke, varian yang disesuaikan: beri tahu mereka dan lihat apakah mereka memperbaikinya. Jika mereka tidak memperbaikinya dalam waktu yang wajar, jangan kirimkan resume Anda kepada mereka.
sharptooth
-1

Memberitahu mereka! Ini adalah hal yang benar untuk dilakukan. Juga, apa yang ingin mereka lakukan jika Anda berada di tempat mereka?

Anda tidak bisa memberi nilai pada niat baik yang bisa keluar dari ini.

KM01
sumber