सुरक्षा पर जनादेश पर नैतिक रोक

13

तीन साल पहले मैंने एक बड़ी ईकॉमर्स वेबसाइट के लिए एक सुरक्षा ऑडिट किया था। जब ऑडिट किया गया था, तो मुझे कई गंभीर सुरक्षा मुद्दे मिले जो डेटा तक पहुंच के लिए अनुमति देते हैं जो लेनदेन पूरा होने के बाद सुलभ नहीं होना चाहिए। इस साइट पर कई प्रमुख जोखिम हैं। सबसे पहले, आप सिस्टम को वास्तविक समय के माध्यम से आने वाले आदेश देख सकते हैं; सभी लेनदेन इस कंपनी द्वारा मैन्युअल रूप से संसाधित किए जाते हैं। यदि आप कोई लेनदेन देखते हैं तो आप नाम, पता और शिपिंग गंतव्य देख सकते हैं। मुझे यहां दो दुर्व्यवहार के बिंदु दिखाई देते हैं, 1 - आप बस जहाज को संबोधित करने के लिए संपादित कर सकते हैं और शिपमेंट को खुद को भेजा जा सकता है, और 2 - आप उपयोगकर्ता को कॉल कर सकते हैं जैसा कि ऑर्डर रखा गया था और बस एक्सेस प्राप्त करने के लिए "फोन पुष्टि" करें बुनियादी सामाजिक इंजीनियरिंग के साथ क्रेडिट कार्ड की जानकारी के लिए।

तुम भी, थोड़ा और काम के साथ, सीसी जानकारी और आदेश आईडी नंबर डंप कर सकते हैं और फिर बस आदेश आईडी और उपयोगकर्ता जानकारी से मेल खाते हैं।

यह सब अपनी साइट पर उजागर कार्यों का उपयोग करके और एक दो मूल्यों को संशोधित करके है। हां, मैं एक कारण से अस्पष्ट हूं।

इस कंपनी के विपणन निदेशक को तीन साल पहले इन जोखिमों के बारे में चेतावनी दी गई थी और उन्होंने इन्हें ठीक करने के लिए कुछ नहीं किया है। मुझे संदेह नहीं है कि अगर मुझे यह मिल सकता है तो अन्य लोग कर सकते हैं। यह साइट प्रति वर्ष 88K लेनदेन करती है और सभी आदेश कभी भी डेटा और सुलभ में संसाधित होते हैं।

तो नैतिक सवाल ... मैं क्या करूँ? मेरी कंपनी को कोई परवाह नहीं है ... इसलिए मुझे वहां मदद नहीं मिल सकती है। अगर मैं विपणन आदमी से संपर्क करता हूं तो वह सिर्फ अपने गधे और अपनी अक्षम आंतरिक विकास टीम (कोल्ड फ्यूजन) के गधे को कवर करना जारी रखेगा। क्या मैं किसी से संपर्क कर सकता हूं? क्या मैं अपनी कंपनी के आसपास जाऊं? क्या मैं सिर्फ डेटा खदान करता हूं और एक प्रतियोगी को सीसी जानकारी बेच देता हूं? मैं यह जानकर क्या करूँ? यह मुझ पर हमला कर रहा है और मैं इसे जाने नहीं दे सकता। यह केवल उन कई साइटों में से एक है, जिनके बारे में मुझे पता है, लेकिन पहुंच में आसानी और उच्च यातायात मुझे इस ओर बहुत अधिक प्रेरित करता है।

untagged 
टॉम
स्रोत
The marketing director at this company was warned about these risks three years agoएर ... इस कंपनी के पास एक सीटीओ या सीआईओ नहीं है जिसे इसकी सूचना दी जानी चाहिए? विपणन निदेशक आईटी के लिए जिम्मेदार नहीं होना चाहिए।
पॉवरलॉर्ड
यह सवाल वर्तमान सामयिकता नियमों के तहत ऑफ-टॉपिक है।
हॉपलेसनब

जवाबों:

15

एक समय था जब मैं स्थिति को हल करने के लिए वीर उपाय करने का सुझाव दूंगा। मैंने बेहतर सीखा है - आप किसी को अपने हित में काम करने के लिए मजबूर नहीं कर सकते। ऐसा करने से आपके लिए अक्सर अनपेक्षित परिणाम होते हैं जो अप्रिय होने की संभावना है।

इसके बारे में सोचो ... तुम

  • अपनी ऑडिट रिपोर्ट के माध्यम से कंपनी को सूचित किया
  • अपने प्रबंधन को सूचित किया

इसलिए यदि आप सीईओ को घर पर बुलाते हैं, तो आपने अब अपने प्रबंधन के आसपास एक एंड-रन किया है और एक स्थिति बनाई है जहां आंतरिक लोग जो CYA काम कर रहे हैं, आपको खलनायक बनाने जा रहे हैं। सीईओ अपने अक्षम कर्मचारियों को एक यादृच्छिक सलाहकार से अधिक सुनेंगे, जिन्होंने 3 साल पहले एक ऑडिट किया था।

मेरी सलाह: जाने के लिए एक बीयर या आप जो भी करना पसंद करते हैं और फिर कभी वेबसाइट पर न जाएं।

duffbeer703
स्रोत
9
+1 "किसी को अपने हित में कार्य करने के लिए मजबूर नहीं कर सकता"।
pjc50
लेकिन यह उनका सबसे अच्छा हित नहीं है, या केवल अप्रत्यक्ष रूप से। यह उनके ग्राहकों का सबसे अच्छा हित है।
18
@wfaulk: यह सच हो सकता है, लेकिन यह भी एक सलाहकार का व्यवसाय नहीं है जो वर्षों पहले लाया गया था। दुर्भाग्य से, दुनिया उन लोगों से भरी हुई है जो अयोग्य, अज्ञानी या बुरे अभिनेता हैं। हमारे पास हर समस्या को हल करने के लिए एक व्यक्तिगत जिम्मेदारी नहीं है - आईटी पेशेवर सुपरहीरो नहीं हैं।
duffbeer703 19
8

पहला - आप जो जानते हैं उसे बेचते नहीं हैं, यह निश्चित रूप से अनैतिक है, और अवैध हो सकता है :)

मेरी दूसरी सलाह मार्केटिंग गाय के बॉस के पास जाने की होगी, जो उस कंपनी के सीईओ के लिए है। यदि आप एक ऑडिटिंग समूह के लिए काम करते हैं, तो उन्हें परवाह नहीं है कि एक कंपनी जानकारी के साथ क्या करती है, बस यह कि उन्हें पहली जगह में सेवा को बेचना पड़ा।

तीसरा, यदि यह वास्तव में यह एक बड़ा सौदा है, तो आप वास्तव में उनसे समझौता किए बिना, साइट की असुरक्षा के बारे में एक अनाम (या गैर-अनाम) विपणन / बहिष्कार अभियान शुरू करने में सक्षम हो सकते हैं।

लेकिन sysadmins का एक गुच्छा पूछने से बेहतर होगा कि आप किसी प्रतिष्ठित वकील से बात करें :)

ख़रगोश पालने का बाड़ा
स्रोत
5
वकील से संपर्क करने के लिए +1।
अगली सूचना तक रोक दिया गया।
7

आपको एक ऑडिट करने के लिए काम पर रखा गया था, इसलिए आपका कर्तव्य ग्राहक को ऑडिट के परिणामों के बारे में सूचित करना है। वे इसके साथ क्या करते हैं यह उनका व्यवसाय है। उन्होंने जोखिम बनाम परिवर्तन की लागत का फैसला किया है। तुम नहीं। यदि उनके पास एक बड़े पैमाने पर सुरक्षा मुद्दा है और आपको एक सबपोन मिलता है, तो आपको ऑडिट के परिणामों (3 साल पहले) के बारे में गवाही देने के लिए मिलता है। यह अपने दायित्वों के रूप में दूर है।

मुझे तुम्हारे लिए खबर मिली है। अधिकांश कंपनियां किसी न किसी स्तर पर या किसी अन्य तरह से असुरक्षित तरीके से ग्राहक डेटा को संभालती हैं। कितने DBA की सभी ग्राहक डेटा तक पूरी पहुंच है? बहुत कम कंपनियां ओरेकल वॉल्ट चलाती हैं।

"क्या मैं सिर्फ डेटा की खान करता हूं और एक प्रतियोगी को सीसी जानकारी बेच देता हूं?"

अगर आप जेल जाना चाहते हैं तो ही।

kmarsh
स्रोत
2
यह बिल्कुल सही है। प्रस्तुत किए जाने वाले किसी भी मुद्दे पर हर कंपनी लागत-लाभ विश्लेषण करेगी, और कभी-कभी वे गलीचा के नीचे मुद्दों को स्वीप करने के लिए चुनते हैं और आशा करते हैं कि वे किसी का ध्यान नहीं जाएंगे। आपने अपना हिस्सा कर लिया है
एड लीटन-डिक
6

आप वास्तव में पतली बर्फ पर हो सकते हैं यदि आप कुछ भी खुलासा करते हैं। आप इसके लिए वास्तविक मुसीबत में पड़ सकते हैं।

कंपनियों के लिए एक दूसरे के बीच कठोर समझौते होने का एक कारण है जब अनुबंधित अनुबंध किया जाता है। पंचिंग कंपनी को वे सभी सुरक्षा की आवश्यकता होती है जो उन्हें मिल सकती है। जानकारी का खुलासा करना जो आपको नहीं करना चाहिए और आपको मुकदमा या मुकदमा चलाया जाएगा।

कहते हैं कि तुम विपणन आदमी के मालिक के पास जाओ। मालिक विपणन आदमी पर बंद हो जाता है। विपणन आदमी अपने गधे को कवर करने के लिए शुरू होता है। वह बॉस को समझा सकता है कि आपके पास यह जानकारी होने के लिए आपने कुछ अवैध, या समान किया होगा। यहां तक ​​कि अगर आप अंततः जीतेंगे, तो आप लंबे समय तक अदालत में हो सकते हैं।

यदि वे इसे पहले दृष्टिकोण पर गंभीरता से नहीं लेना चाहते हैं, तो इसे गंभीरता से लेने के लिए दबाव डालने से आपको सबसे अधिक परेशानी होगी।

अपने खातिर इसे गिरा दो।

संपादित करें: इसके अलावा, यदि सुरक्षा ऑडिट के लिए मूल समझौते में विशिष्ट लोग शामिल हैं जिन्हें आप केवल सूचित कर सकते हैं, उसी कंपनी में अन्य को सूचित करना, समझौते में शामिल नहीं है, तो आप मुसीबत में पड़ सकते हैं।

कलाकार
स्रोत
अच्छे अंक। इसी तरह, यह खुलासा करते हुए कि आप समस्याओं से अवगत हैं वर्षों बाद वास्तव में आपको कुछ असुविधाजनक सवालों के लिए खोल देता है यदि चर्चा कानूनी और व्यावसायिक क्षेत्रों में खत्म हो जाती है। समझौते के उस हिस्से की संभावना नहीं थी कि आप आने वाले वर्षों के लिए "उन पर जाँच" रखेंगे।
दामोर्ग
6

अब तक मैं देख रहा हूं कि आपने अपना काम कर दिया है। आपने ऑडिट किया और परिणाम को संबंधित व्यक्ति को प्राधिकरण में पारित कर दिया। मेरी सलाह है कि इसे अभी से ही दूर कर दें, और कुछ नहीं है जो आप वास्तव में कर सकते हैं। बेशक दुविधा यह है कि निर्दोष ग्राहकों को चल रही सुरक्षा कमजोरियों से अवगत कराया जा सकता है, लेकिन यह वास्तव में आपकी समस्या नहीं है? आप अपनी नौकरी के प्रेषण से परे इसके किसी भी हिस्से की जिम्मेदारी नहीं ले सकते।

मैक्सिमस मिनिमस
स्रोत
6

आप निश्चित रूप से इस जानकारी को लीक नहीं करते हैं, और आप निश्चित रूप से इसे बाहरी लोगों को नहीं बेचते हैं।

यहाँ कुछ है जो मुझे समझ में नहीं आता ... तीन साल पहले? यदि आपने 3 साल पहले एक ऑडिट किया था, तो यह कैसे आपके दिमाग में आता है? क्या आपको लग रहा है कि इसके बारे में बुरा है, या असुरक्षित कंपनी अभी भी आपकी कंपनी को सुरक्षा / ऑडिट सेवाओं के लिए अनुबंधित कर रही है?

यह एक महत्वपूर्ण प्रश्न है, क्योंकि यदि आपके पास इस कंपनी के साथ 3 साल से कोई व्यवसाय नहीं है, तो मेरी स्पष्ट सलाह है। यह बहुत अजीब लगता है यदि आप 3 साल बाद फिर से प्रकट होते हैं, और आलोचना करना शुरू करते हैं। यदि यह 3 साल पहले था, तो आपके पास तब मौका था, और आपने इसे नहीं लिया। अब चल हट।

यदि आपकी कंपनी अभी भी असुरक्षित कंपनी के साथ कारोबार कर रही है , तो मैं आपके अपने बॉस को उन्हें एक पत्र भेजने के लिए मजबूत करने का प्रस्ताव दूंगा। आपके बॉस को इसमें मज़ा नहीं आएगा; लेकिन आपके लिए यह बेहतर है यदि पत्र आपके बजाय कंपनी से आता है। इसे कूरियर के साथ मार्केटिंग मैनेजर बॉस (CEO) को भेजें। इसे विनम्र रखें, इसे अस्पष्ट रखें और अपनी खुद की कंपनियों को ** से कवर करें और मार्केटिंग मैनेजर के सुरक्षा निर्णयों को अब तक स्वीकार किए गए उद्योग मानकों से बाहर हैं जो आपको उसके सिर पर जाने के लिए मजबूर महसूस करते हैं। आपका उद्देश्य सब कुछ बताना नहीं है, आपका उद्देश्य अपनी खुद की कंपनी को कवर करना है **, और अन्य सीईओ को अपनी मूल रिपोर्ट की एक प्रति के लिए पूछने के लिए पर्याप्त रूप से झुनझुना प्राप्त करना है।

मार्केटिंग मैनेजर के सिर पर जाना सबसे मजबूत कदम है, जिसे मैं किसी भी तरह से सुझा सकता हूं। और यह वास्तव में काफी मजबूत है, और अवांछित है। आपको एक पहलू पर एक विशेषज्ञ राय प्रदान करने के लिए काम पर रखा गया था; उनके व्यवसाय को चलाने के लिए नहीं।

कुछ हद तक उदास साइट नोट पर: यह अनैतिक या सीधे सादे अक्षम लोगों को देखने के लिए असामान्य नहीं है। कभी-कभी ये निष्कर्षों का उपयोग करने के इरादे के बिना सुरक्षा लेखा परीक्षकों को नियुक्त कर सकते हैं; केवल यह कहने के इरादे से कि वे जाने-माने सुरक्षा कंपनी X द्वारा ऑडिट किए गए हैं। यह निश्चित रूप से दुखद और आक्रामक है - लेकिन यह वास्तविक है, और यदि आपको सुरक्षा ऑडिटिंग में काम करना है तो आपको इसकी आदत डालनी होगी।

जेस्पर एम
स्रोत
3

दूसरी ओर, आपको ग्राहक को पर्याप्त रूप से जोखिमों की सूचना देने में विफल रहने के लिए अपने दायित्व पर विचार करना होगा। आपको इस बात पर विचार करना होगा कि आपकी कंपनी किस प्रकार की त्रुटियां और कमीशन देती है। आप कहते हैं कि आपकी कंपनी को कोई परवाह नहीं है, लेकिन मैं शर्त लगाता हूं कि अगर वे ग्राहक द्वारा मुकदमा दायर करते हैं, तो उनके ग्राहकों में से एक द्वारा उनके खिलाफ मुकदमा दायर किया जाता है, यह सभी का ध्यान आकर्षित करेगा।

अगली सूचना तक रोक दिया गया।
स्रोत
3

3 साल पहले आपने एक नौकरी की थी, जिसके लिए आपको निश्चित रूप से भुगतान किया गया था। यदि आपने उस नौकरी के प्रदर्शन में आपके लिए आवश्यक सभी कदम उठाए हैं तो आपका काम पूरा हो गया है। ऊपर। ख़त्म होना।

मुझे यह समझने में गंभीर समस्या है कि आपके पास इस बारे में कुछ करने के लिए 3 साल क्यों हैं? यह मेरे लिए ध्वनि नहीं है जैसे आप नैतिक मुद्दे हैं। वास्तव में संभवतः जानकारी को बेचने का आपका बहुत ही उल्लेख मुझे बताता है कि आपके पास काफी अलग-अलग उद्देश्य हो सकते हैं। बहुत कम से कम मुझे आपकी स्थिति अत्यधिक संदिग्ध लगती है।

जैसा कि आपने अब तक कुछ भी नहीं किया है, यदि आप किसी भी तरह की कार्रवाई करना शुरू करते हैं तो आप अपने आप को संभव कानूनी कार्रवाई के लिए उजागर कर सकते हैं। कानून एक जगह से दूसरे स्थान पर होते हैं, लेकिन मैं जहां हूं, अगर कोई आपके द्वारा वर्णित तंत्र के माध्यम से डेटा चोरी का शिकार हुआ है और आप केवल अब कार्रवाई करते हैं तो आप वास्तव में अपने पिछले निष्क्रियता के माध्यम से एक जानने वाले भागीदार हैं। आपके लिए व्यक्तिगत रूप से एकमात्र सुरक्षित पाठ्यक्रम इसे छोड़ना है।

जॉन गार्डनियर्स
स्रोत
1

यदि आप "सिक्योरिटी ऑडिट्स" के व्यवसाय में हैं, तो सूचना का खनन करना और उसे बेचना सवाल से बाहर है। नरक, तथ्य यह है कि आप उस प्रश्न को भी पूछेंगे, क्या मुझे आपकी नैतिकता के बारे में सोच रहा है और निश्चित रूप से मुझसे यह सवाल होगा कि क्या आप मेरी सुरक्षा टीम के लिए सही होंगे या नहीं।

ऐसा कहने के बाद, आपने अपना काम किया। आपको एक सुरक्षा ऑडिट करने के लिए काम पर रखा गया था और आपने किया था। क्या कंपनी को लिखित रूप में निष्कर्षों से अवगत कराया गया था? जैसा कि दूसरों ने कहा है, आप किसी कंपनी को सुरक्षा खामियों को बंद करने के लिए मजबूर नहीं कर सकते। नैतिक प्रश्न इस ऑडिट से सीखे जाते हैं और आगे बढ़ते हैं।

GregD
स्रोत
1

यदि आप अपना काम ठीक से करने के बारे में चिंतित हैं, तो आपने अपना काम कर लिया है। सिर्फ इसलिए कि कोई भी आपकी सिफारिशों पर कार्य नहीं करता है, आप पर प्रतिबिंबित नहीं होता है।

हालाँकि, यदि आप वैध रूप से अपने ग्राहकों की पहचान या क्रेडिट कार्ड की चोरी के शिकार होने के बारे में चिंतित हैं, तो मैं एफटीसी शिकायत विभाग से संपर्क करना चाहूंगा । (मान लिया जाए कि आप अमेरिका में हैं। यदि नहीं, तो आपके देश में संभवतः एक समान सरकारी विभाग है।)

wfaulk
स्रोत
1

मैंने एथिक्स में कुछ सेमेस्टर किए हैं, और यह वास्तव में एक कठिन, कठिन प्रश्न है।

"मुझे क्या करना चाहिए" उत्तर के लिए यहां पूछने पर आपको कभी भी "सही" उत्तर नहीं मिलने वाला है, आपको सभी ऐसे उत्तर मिलेंगे जो या तो पुनः लागू करते हैं या इस मुद्दे पर आपकी व्यक्तिगत भावनाओं के खिलाफ जाते हैं।

साथ ही, यहां आपको मिलने वाले सभी उत्तर लोगों के पिछले कार्यों या निर्णयों से बहुत प्रभावित होंगे , जहां वे रहते हैं, जहां वे बड़े हुए, उनके स्थानीय कानून और रीति-रिवाज। इसलिए भले ही वे उसी स्थिति में रहे हों, जहां उनका अनुभव पूरी तरह से अलग हो।

संक्षिप्त उत्तर है: आपको वह करने की आवश्यकता है जो आप मानते हैं कि सही है। स्पष्ट रूप से आप मानते हैं कि निष्क्रियता सही काम नहीं है। यदि आप नहीं करते हैं, तो आप यह नहीं पूछेंगे।

मैं, व्यक्तिगत रूप से, हर किसी से सहमत नहीं हूं जो कहता है कि "इसे छोड़ दो" या "आपने अपना काम किया है"। जब भी आचार को सर्वरफॉल्ट पर क्रॉप किया गया है, तो यह एक लोकप्रिय राय है। और यह कोई गलत जवाब नहीं है , यह सिर्फ मेरा जवाब नहीं है ।

मार्क हेंडरसन
स्रोत
यहाँ मौलिक प्रश्न सीमाओं में से एक है। यदि आपका पड़ोसी एक बाड़ बनाता है जो दूसरे पड़ोसी की भूमि पर है, तो क्या आप कोड प्रवर्तन या पुलिस कहते हैं?
duffbeer703
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.