Три года назад я проводил аудит безопасности большого веб-сайта электронной коммерции. При проведении аудита я обнаружил несколько серьезных проблем с безопасностью, которые позволяют получить доступ к данным, которые не должны быть доступны после завершения транзакции. На этом сайте есть несколько основных рисков. Во-первых, вы можете видеть заказы, поступающие через систему в режиме реального времени; все транзакции обрабатываются этой компанией вручную. Если вы просматриваете транзакцию, вы можете увидеть имя, адрес и место доставки. Здесь я вижу две точки злоупотребления: 1 - вы можете просто отредактировать адрес корабля и отправить груз самому себе, а 2 - вы можете позвонить пользователю сразу после размещения заказа и сделать «подтверждение по телефону», чтобы просто получить доступ к информации о кредитной карте с помощью базовой социальной инженерии.
Вы также можете, приложив немного больше усилий, сбросить информацию CC и идентификационные номера заказов, а затем просто сопоставить идентификатор заказа и информацию о пользователе.
Все это достигается за счет использования открытых функций на их сайте и изменения пары значений. Да, я не зря.
Директор по маркетингу этой компании был предупрежден об этих рисках три года назад и ничего не сделал для их устранения. Я не сомневаюсь, что, если я найду это, другие смогут. Этот сайт выполняет 88 000 транзакций в год, и все заказы, когда-либо обработанные, все еще находятся в данных и доступны.
Итак, этический вопрос… что мне делать? Моей компании все равно ... поэтому я не могу получить там помощь. Если я свяжусь с маркетологом, он просто продолжит прикрывать свою задницу и задницы их некомпетентной внутренней команде разработчиков (холодный синтез). Могу ли я связаться с кем-нибудь выше? Я хожу по своей компании? Могу ли я просто добыть данные и продать их конкуренту без информации CC? Что мне делать, зная это? Это надоедает мне, и я не могу это отпустить. Это только один из многих сайтов, о которых я знаю, но простота доступа и высокая посещаемость заставляют меня много над этим задумываться.
Было время, когда я предлагал принять героические меры для выхода из ситуации. С тех пор я научился лучше - вы не можете заставить кого-то действовать в их собственных интересах. Это часто имеет для вас непредвиденные последствия, которые могут быть неприятными.
Подумай об этом ... ты
Так что, если вы пойдете и позвоните генеральному директору дома, вы закончите обход своего руководства и создадите ситуацию, когда внутренние люди, которые занимаются CYA, собираются сделать вас злодеем. Генеральный директор будет слушать своих некомпетентных сотрудников больше, чем случайный консультант, проводивший аудит 3 года назад.
Мой совет: идите выпейте пива или чем угодно и больше никогда не заходите на этот сайт.
Во-первых, вы не продаете то, что знаете, это безусловно неэтично и может быть незаконным :)
Второй совет - пойти к боссу Маркетолога, вплоть до генерального директора этой компании. Если вы работаете в аудиторской группе, их не волнует, что компания делает с информацией, просто то, что они в первую очередь должны продать услугу.
В-третьих, если это действительно этот важно, вы можете начать анонимную (или не анонимную) маркетинговую кампанию / бойкот в связи с небезопасностью сайта, без фактически компрометируя их.
Но лучше, чем спрашивать кучу системных администраторов, будет поговорить с уважаемым юристом :)
Вы были наняты для проведения аудита, поэтому ваша обязанность перед клиентом - проинформировать его о результатах аудита. Что они с ним делают - их дело. Они сравнили риски с ценой изменений. Не вы. Если у них есть серьезная проблема с безопасностью, и вы получите повестку в суд, вы можете свидетельствовать о результатах аудита (3 года назад). Что касается ваших обязательств.
У меня для тебя новости. Подавляющее большинство компаний обрабатывают данные о клиентах небезопасно, на том или ином уровне. Сколько администраторов баз данных имеют полный доступ ко всем данным клиентов? Очень немногие компании используют Oracle Vault.
«Могу ли я просто добыть данные и продать их конкуренту без информации CC?»
Только если ты хочешь сесть в тюрьму.
Вы можете оказаться на очень тонком льду, если что-то раскроете. Из-за этого у вас могут возникнуть настоящие неприятности.
Есть причина, по которой компании заключают между собой строгие договоренности при заключении контракта на пентестинг. Компании, проводящей пентестинг, нужна вся возможная защита. Разглашение информации, которую вы не должны, может привести к судебному преследованию или судебному преследованию.
Допустим, вы идете к боссу маркетолога. Босс давит на маркетолога. Маркетолог начинает прикрывать свою задницу. Он может убедить босса, что для того, чтобы вы могли получить эту информацию, вы должны были совершить что-то незаконное или подобное. Даже если вы в конечном итоге выиграете, вы можете долго просидеть в суде.
Если они не хотят относиться к этому серьезно при первом подходе, давление на них, чтобы они отнеслись к этому серьезно, скорее всего, доставит вам неприятности.
Ради тебя брось это.
РЕДАКТИРОВАТЬ: Кроме того, если исходное соглашение об аудите безопасности включает в себя определенных людей, вы можете сообщить только об этом, информируя других в тем же компания, не вошедшая в договор, может доставить вам неприятности.
Насколько я понимаю, вы сделали свою работу. Вы провели аудит и передали результаты соответствующему уполномоченному лицу. Мой совет - просто отойдите от этого, вы больше ничего не можете сделать. Конечно, дилемма заключается в том, что невиновные клиенты могут столкнуться с постоянными недостатками безопасности, но это не ваша проблема, не так ли? Вы не можете брать на себя ответственность за любую его часть, помимо вашей работы.
Вы, конечно, не допускаете утечки этой информации и, конечно же, не продаете ее посторонним.
Здесь что-то есть Я не понимаю ... три года назад? Если вы проводили аудит 3 года назад, почему вы все еще думаете об этом? Вы так плохо себя чувствуете, или незащищенная компания все еще заключает с вашей компанией договор на услуги безопасности / аудита?
Это важный вопрос, потому что, если вы не ведете дела с этой компанией в течение 3 лет, то мой четкий совет - уходите. Было бы очень странно, если бы вы снова появились через 3 года и начнете критиковать. Если это было 3 года назад, тогда у вас был шанс, и вы не воспользовались им. А теперь уходи.
Если ваша компания по-прежнему ведет дела с незащищенной компанией, тогда я предлагаю убедить вашего начальника отправить им письмо. Вашему боссу это не понравится; но для вас гораздо лучше, если письмо пришло от вас, а не от вас самих. Отправьте его курьером начальнику отдела маркетинга (генеральному директору). Держите это вежливо, нечетко и в основном прикрывая свою собственную компанию **, и намекайте на решения менеджеров по маркетингу в области безопасности, которые настолько выходят за рамки общепринятых отраслевых стандартов, что вы чувствовали себя вынужденными переступить через его голову. Ваша цель не в том, чтобы рассказать все, а в том, чтобы прикрыть свою собственную компанию ** и заставить другого генерального директора достаточно напугать, чтобы попросить копию вашего исходного отчета.
Обойти голову менеджера по маркетингу - самый сильный ход Любым образом могу рекомендовать. И это действительно довольно сильно и нежелательно. Вас наняли для предоставления экспертного заключения по одному аспекту; не вести свой бизнес.
Несколько печальное замечание на сайте: не так уж редко можно увидеть неэтичных или просто некомпетентных деловых людей. Иногда они могут нанимать аудиторов безопасности без намерения когда-либо использовать результаты; с намерением только сказать, что они прошли аудит хорошо известной охранной компании X. Это, конечно, грустно и оскорбительно, но это реально, и вам придется к этому привыкнуть, если вы хотите работать в сфере аудита безопасности.
С другой стороны, вы должны учитывать свою ответственность за недостаточное информирование клиента о рисках. Вы должны подумать, какое покрытие ошибок и пропусков несет ваша компания. Вы говорите, что вашей компании все равно, но держу пари, если клиент подаст на них в суд, инициированный иском против них одним из их клиентов, это привлечет всеобщее внимание.
3 года назад вы выполняли работу, за которую предположительно вам платили. Если вы предприняли все необходимые шаги для выполнения этой работы, то ваша работа сделана. Над. Законченный.
У меня серьезные проблемы с пониманием того, почему у вас было 3 года, чтобы что-то с этим сделать, а у вас не было. Мне это не кажется, что у вас есть этические проблемы. Фактически, само ваше упоминание о возможной продаже информации наводит на мысль, что у вас вполне могут быть совсем другие мотивы. По крайней мере, я считаю вашу позицию весьма сомнительной.
Поскольку вы до сих пор ничего не сделали, если вы начнете предпринимать какие-либо действия, вы вполне можете подвергнуть себя судебному иску. Законы различаются от места к месту, но где я нахожусь, если кто-то стал жертвой кражи данных с помощью описанных вами механизмов, и вы только сейчас принимаете меры, вы на самом деле являетесь осведомленным участником из-за своего предыдущего бездействия. Единственный безопасный курс для вас лично - бросить его.
Если вы занимаетесь «аудитами безопасности», о добыче информации и ее продаже не может быть и речи. Черт возьми, тот факт, что вы даже задали этот вопрос, заставляет меня задуматься о вашей этике и, безусловно, заставит меня задуматься, подходите ли вы для моей команды безопасности.
Сказав это, вы сделали свою работу. Вас наняли для проверки безопасности, и вы это сделали. Была ли компания уведомлена о результатах в письменной форме? Как говорили другие, вы не можете заставить компанию закрыть лазейки в безопасности. Этический вопрос - извлечь из этого аудита и двигаться дальше.
Если вы беспокоитесь о том, чтобы делать свою работу должным образом, вы сделали свою работу. То, что никто не выполняет ваши рекомендации, не отражается на вас.
Однако, если вы обоснованно обеспокоены тем, что их клиенты становятся жертвами кражи личных данных или кредитных карт, я бы посоветовал связаться с Отдел жалоб FTC. (Предполагая, что вы находитесь в США. Если нет, вероятно, в вашей стране есть аналогичное правительственное учреждение.)
Я проучился несколько семестров по этике, и это действительно сложный вопрос.
Запрашивая здесь ответ «Что мне делать», вы никогда не получите «Правильный» ответ, все, что вы получите, - это ответы, которые либо подкрепляют ваши личные чувства по этому поводу, либо идут вразрез с ними.
Кроме того, все ответы, которые вы получите здесь, будут сильно под влиянием прошлых действий или решений людей, места их проживания, места роста, их местных законов и обычаев. Так что даже если они были в той же ситуации, что и вы, их опыт может быть совершенно другим.
Короткий ответ: вам нужно делать то, что ТЫ считаю правильным. Ясно, что вы считаете, что бездействие - неправильный поступок. Если бы вы этого не сделали, вы бы об этом не спрашивали.
Я лично не согласен со всеми, кто говорит «Брось это» или «Ты сделал свою работу». Это, кажется, популярное мнение всякий раз, когда возникает вопрос этики в ServerFault. И это не неправильно ответ, это просто не мой ответ.