यदि आपको किसी प्रतियोगी साइट में भेद्यता मिलती है तो क्या करें?


37

अपनी कंपनी के लिए एक परियोजना पर काम करते समय, मुझे कार्यक्षमता बनाने की आवश्यकता थी जो उपयोगकर्ताओं को हमारे प्रतिस्पर्धी साइट से / से डेटा आयात / निर्यात करने की अनुमति देता है। ऐसा करते समय, मैंने एक बहुत गंभीर सुरक्षा कारनामे की खोज की जो संक्षेप में, प्रतियोगी की वेबसाइट पर किसी भी स्क्रिप्ट का प्रदर्शन कर सकता है।

मेरी स्वाभाविक भावना यह है कि इस मुद्दे को अच्छी इच्छा की भावना में रिपोर्ट करें। लाभ हासिल करने के मुद्दे को उजागर करने से मेरे दिमाग को पार कर गया, लेकिन मैं उस रास्ते पर नहीं जाना चाहता।

तो मेरा सवाल यह है कि क्या आप अपनी सीधी प्रतिस्पर्धा के लिए एक गंभीर भेद्यता की रिपोर्ट करेंगे, ताकि उनकी मदद की जा सके? या आप मुंह बंद रखेंगे? क्या इस बारे में जाने का एक बेहतर तरीका है, शायद इस तथ्य से कम से कम कुछ लाभ प्राप्त करना है कि मैं इस मुद्दे की रिपोर्ट करके उनकी मदद कर रहा हूं?

अद्यतन (स्पष्टीकरण) :

अब तक आपकी सभी प्रतिक्रिया के लिए धन्यवाद, मैं इसकी सराहना करता हूं। क्या आपके जवाब बदल जाएंगे यदि मैं यह जोड़ना चाहूंगा कि प्रतियोगिता में प्रतिस्पर्धा बाजार में कई क्षेत्रों में सैकड़ों कर्मचारियों (), और मेरी कंपनी ने कुछ सप्ताह पहले ही शुरू की थी (तीन कर्मचारी)? यह बिना कहे चला जाता है, वे निश्चित रूप से हमें याद नहीं करेंगे, और अगर कुछ भी, केवल महसूस करते हैं कि उनकी साइट को काम करने की आवश्यकता है (यही वजह है कि हमने इस बाजार में पहली बार प्रवेश किया है)।

यह उन नैतिक बनाम व्यावसायिक टॉस-अप में से एक हो सकता है, लेकिन मैं सभी सलाह की सराहना करता हूं।


4
निर्भर करता है कि आप नैतिक या अमोरल हैं।
आहारबुद्धि

5
अपने वर्तमान कार्यस्थल पर किसी भी संबंध के बिना प्रॉक्सी के पीछे से एक डिस्पोजेबल ईमेल पते से इसे गुमनाम रूप से रिपोर्ट करें।
जॉब

14
नैतिक व्यवहार का गठन करने पर कंपनी के आकार का कोई असर क्यों पड़ता है?
जॉन एफएक्स 17'11

6
पेप्सी को कोक के कुछ रहस्यों को बेचने की कोशिश करने वाले एक लड़के के बारे में एक छोटा सा किस्सा है ... पेप्सी ने उस पर कॉल किया। कोई फर्क नहीं पड़ता कि कितनी तीव्र प्रतिद्वंद्विता हो सकती है, प्रतियोगिता हमेशा निष्पक्ष और नैतिक व्यावसायिक प्रथाओं पर आधारित होनी चाहिए। यदि आप लोग बेहतर हैं, तो आप उन्हें हरा देंगे चाहे वे कितने भी बड़े या रोमांचित हों। यह रात में नहीं हो सकता है, लेकिन ब्राउज़र युद्धों को देखें। धीरे-धीरे लेकिन निश्चित रूप से विकल्प IE से दूर ले जा रहे हैं यहां तक ​​कि IE के साथ पूर्वस्थापित!
क्रिस थॉम्पसन

@JohnFx +1: सवाल पर हाजिर साहब! यदि स्थिति उलट हो जाती तो हम भी उसी तर्क का उपयोग कर सकते थे: "मेरी कंपनी एक अच्छी तरह से स्थापित और सम्मानित बीहमोथ है और उनका केवल एक छोटी कंपनी है जो संभवतः जल्दी या बाद में वैसे भी विफल हो जाएगा।" कंपनियों के सापेक्ष आकार के बावजूद, नैतिकता समान है।
बिस्तर

जवाबों:


63

हालाँकि मैं एक ऐसी दुनिया में रहना पसंद करूँगा जहाँ यह पूरी तरह से सुरक्षित होगा कि उन्हें यह बताने के लिए एक नोट छोड़ दें, मैं आपको पहले अपना कानूनी विभाग शामिल करने का सुझाव दूंगा। वास्तविक रूप से, यह पूरी तरह से संभव है कि हालांकि आपकी बग रिपोर्ट का इरादा है, प्रतियोगी संगठन के किसी व्यक्ति ने इसे "हमारे प्रतियोगी ने हमारे कर्मचारियों में से एक को हमारी साइट को हैक करने के लिए भुगतान किया" के रूप में व्याख्या करेगा। यह धारणा आपके और आपकी कंपनी दोनों के लिए कानूनी या पीआर मुद्दे बना सकती है। अधिसूचना में अपने कानूनी विभाग को शामिल करने से सभी को अभेद्यता की उपस्थिति से बचाने में मदद करनी चाहिए। बेशक, यह संभावना पैदा करता है कि कानूनी विभाग यह निष्कर्ष निकालता है कि प्रतियोगी को सूचित करना अस्वीकार्य कानूनी जोखिम पैदा करता है और आपको सिर्फ जानकारी पर बैठने के लिए कहता है। किन्तु वह'


सभी संभावना में वे इसके साथ जाने के लिए कहेंगे - लेकिन वे आपको या आपकी कंपनी को अवांछित कानूनी बैकड्राफ्ट को उजागर किए बिना इसके बारे में जाने के लिए सबसे अच्छा तरीका जानेंगे।
होरस्कॉल

यदि कानूनी विभाग नहीं कहता है, तो मैं अनाम ईमेल विचार के साथ जाऊंगा। और अगर वे हाँ कहते हैं, तो सुनिश्चित करें कि आपका नाम कहीं न कहीं है!
बेंजोल

17
बेशक, तीन में से एक कंपनी में "कानूनी विभाग" ढूंढना बहुत मुश्किल हो रहा है, मैं कल्पना करता हूं :)
बेंजोल

@ बेंजोल ट्रू, लेकिन आपको इन मामलों में कानूनी सलाह की आवश्यकता है। यहां तक ​​कि अगर वे संभवतः आपकी साइट को हैक करने का आरोप नहीं लगा सकते हैं, तब भी वे दावा कर सकते हैं कि आपका पत्र धमकी दे रहा था और आपने उन्हें ब्लैकमेल करने की कोशिश की थी।
biziclop

9
इस उत्तर से सहमत होने के लिए यह मुझे पीड़ा देता है। यह समाज पर एक दुखद टिप्पणी है जब एक कोड बग रिपोर्ट के लिए वकीलों की आवश्यकता होती है।
jdl

30

यह भयानक लग रहा है (कम से कम यहां ज्यादातर जवाबों की तुलना में) लेकिन, यहाँ मेरे 2 सेंट जाते हैं:

आपको इसके बारे में कुछ क्यों करना चाहिए?

पहली बात सबसे पहले, उनके पास पहले से ही कर्मचारी हैं जो उस तरह का काम कर रहे हैं (समस्याओं को खोजने और उन्हें ठीक करना)।

दूसरे, जिस तरह से आपने अपना प्रश्न बनाया है, वह ऐसा लगता है जैसे यह किसी प्रकार की नैतिक दुविधा है। यह। आपने पहली बार में उस समस्या का कारण कुछ भी नहीं किया।

तीसरा, आप उनके खिलाफ प्रतिस्पर्धा कर रहे हैं। आपको अपना उत्पाद बनाने में ध्यान केंद्रित करना चाहिए। आपका उत्पाद सबसे अच्छा है, न कि उनका।

यदि आप अभी भी संदेह में हैं, तो मेरी बात नंबर 2 पर वापस जाएँ और इसे फिर से पढ़ें।


9
यथार्थवादी होने के लिए +1। कुछ भी अवैध मत करो, सुनिश्चित करें। अनैतिक? व्यापार में, कोई नैतिक या अनैतिक नहीं है। कंपनी के पास नैतिकता की अवधारणा जैसी कोई चीज नहीं है।
वद्रालो १o

3
@ हॉर्सकॉल - +1 कंपनी के लिए वेतन और लागत का भुगतान करने वाला नहीं है। हालांकि, अपने प्रतिद्वंद्वी से बेहतर उत्पाद पेश कर सकता है।
जस

4
-1। इस तरह की सोच कॉमन्स की त्रासदी का एक उत्कृष्ट उदाहरण है। सुरक्षा छेद हर किसी की समस्या है।
मेसन व्हीलर

6
@ मेसन व्हीलर: कॉमन्स की त्रासदी एक ऐसी स्थिति से उत्पन्न होने वाली दुविधा है जिसमें कई व्यक्ति स्वतंत्र रूप से और तर्कसंगत रूप से अपने स्वयं के हित के लिए परामर्श करते हैं, अंततः स्पष्ट रूप से साझा सीमित संसाधन को समाप्त कर देंगे, जब यह स्पष्ट है कि यह किसी में नहीं है ऐसा होने के लिए दीर्घकालिक ब्याज। मैं यह नहीं देखता कि यह यहाँ कैसे लागू होता है।
user17610

3
सच कहूँ तो मैं हैरान हूं कि आप अपने प्रतियोगी को उनकी सुरक्षा बग के बारे में नहीं बताने का सुझाव देंगे। प्रेस विज्ञप्ति या प्रचार ईमेल के रूप में बग रिपोर्ट क्यों दर्ज नहीं करें। इस तरह की बग रिपोर्ट में आपके उत्पाद में बग की अनुपस्थिति और उपयोगकर्ताओं के लिए संभावित निहितार्थों पर ध्यान देना चाहिए।
एमोरी

22

कमजोरियों और औद्योगिक जासूसी की खोज के बीच एक पतली रेखा है, और चूंकि आप अपने नियोक्ता के साथ संबद्ध हैं, इसलिए प्रतियोगी इसे बाद का विचार कर सकता है।

यदि आप इसकी रिपोर्ट करते हैं और एक कानूनी / पीआर बुरा सपना है, तो आप बलि का बकरा होंगे।

अपने कानूनी विभाग से बात करें और उन्हें फिट होने के रूप में उन्हें संभालने दें - एक कारण है कि वे इंजीनियरों की तुलना में अधिक रास्ता बनाते हैं।


20

एक वैकल्पिक तंत्र, जिसने अभी तक AFAICS को सुझाव नहीं दिया है, अपने प्रतिद्वंद्वी को बिना किसी जोखिम के अपनी कंपनी को जानकारी प्राप्त करने के लिए है कि विभिन्न भेद्यता रिपोर्टिंग कंपनियों में से एक को भेद्यता के बारे में बताएं - और उन्हें अपने प्रतिद्वंद्वी को रिपोर्ट करने के लिए कहें। वे (भेद्यता रिपोर्टिंग कंपनी) आपका नाम रिपोर्ट से बाहर रखेंगे - आप अपने प्रतियोगी के लिए अनाम होंगे। ऐसी ही एक कंपनी है जीरो डे इनिशिएटिव , जेडडीआई - कई अन्य हैं।


11

इसे मीडिया तक सीमित करें, गुमनाम रूप से, और फिर प्रतियोगी के ग्राहकों को त्वरित प्रवास प्रदान करें। यह एक कम झटका की तरह लग सकता है, लेकिन इस पर विचार करें, जो कुछ भी आप कर रहे हैं, उसके बारे में कुछ भी अवैध या अनैतिक नहीं है, आगे इस पर विचार करें कि यह एक कुत्ते को खाने के लिए SW में कुत्ते की दुनिया है और डेविड के रूप में Goliath के खिलाफ जा रहे हैं, आपको सभी लाभ उठाने की आवश्यकता है। याद रखें, यह व्यक्तिगत नहीं है, यह कड़ाई से व्यवसाय है । वे आपको दिल की धड़कन में भी ऐसा ही करते।

(FWIW मैं पूरी तरह से इस जवाब की उम्मीद करता हूं कि यह वोट डाउन हो सकता है, लेकिन यह ठीक है क्योंकि मैं जो कह रहा हूं वह सच है जो कठोर है।)


मुझे अच्छा लगता है: आप उन्हें सूचित करते हैं और उसी समय लाभ कमाते हैं। हालांकि, वहाँ मौका है कि वे बंद हो जाते हैं और अपनी साइट में कमजोरियों के लिए मछली पकड़ने शुरू करते हैं।
अपूर्व ०२०

@apoorv इसका मतलब सिर्फ इतना होगा कि आप गोलियत को चिंता में डालने के लिए काफी बड़े हो गए हैं।
गौरव

मुझे समझ नहीं आता कि "लीक" और "गुमनाम" शब्दों का उपयोग क्यों करें। ओपी ने कुछ भी गलत या अनैतिक नहीं किया
एमोरी

@ apporv020 यू मान लेना चाहिए कि वे (और दूसरों का एक पूरा गुच्छा) आर लगातार मछली पकड़ने की उर साइट 4 भेद्यता।
एमोरी

चूँकि यह आपके बाजार में एक "behemoth" कंपनी है, इसलिए कुछ इस बात पर विचार करें कि मीडिया में भेद्यता व्यापक रूप से रिपोर्ट किए जाने पर आपके बाजार के ग्राहक कैसे प्रतिक्रिया देंगे। क्या वे "यदि मैं अपने डेटा पर भरोसा नहीं कर सकता हूं तो क्या वह जवाब दे सकता है << behemoth कंपनी >> क्या मुझे ऐसा करना चाहिए?" इसका जवाब यह निर्धारित करने में मदद कर सकता है कि आप अपनी भेद्यता रिपोर्ट को कितना सार्वजनिक करना चाहते हैं। आपके कार्य आपके बाज़ार की धारणा को समग्र रूप से प्रभावित कर सकते हैं।
जुसुकर

8

यदि वे आपके सॉफ़्टवेयर में सुरक्षा भेद्यता पाते हैं, तो आप उन्हें क्या करना चाहेंगे? यह पहला सवाल होना चाहिए जो आप पूछें। यदि उत्तर "मैं वास्तव में इसकी सराहना करूंगा यदि वे मुझे बताएंगे", ठीक है, तो आपके पास आपका उत्तर है!

इससे कोई फर्क नहीं पड़ता कि वे एक विशाल कंपनी या तीन व्यक्ति की दुकान हैं, और इससे कोई फर्क नहीं पड़ता कि आप तीन व्यक्ति की दुकान या एक विशाल कंपनी हैं। जैसा कि कहा गया है, आपकी प्रतिष्ठा सब कुछ है, विशेष रूप से इस छोटे से समुदाय में जिसे सॉफ्टवेयर कहा जाता है।


3
क्या प्रतियोगिता सामान्य व्यापार रणनीति चाहती है इसके विपरीत नहीं है?
user17610

@ user17610 - मुझे लगता है कि स्थिति पर निर्भर करता है ... एक कंबल बयान नहीं कर सकते हैं और उसके द्वारा अपने सभी निर्णय ले सकते हैं। यदि आपकी प्रतियोगिता पैसे की नाव लोड करना चाहती है, तो क्या आप इसके विपरीत करने जा रहे हैं?
जेसी मैककुलोच

नहीं, तब मैं यह सुनिश्चित करूँगा कि वे पैसे का
बोटलोड

2
+1 के लिए "यदि आप अपने सॉफ़्टवेयर में भेद्यता पाते हैं तो आप उन्हें क्या करना चाहेंगे?"
क्रेजी

-1: मैं चाहूंगा कि वे मुझे बताएं, क्योंकि बाद में उन पर औद्योगिक जासूसी का आरोप लगाने से उनके बाजार में हिस्सेदारी बढ़ाने में मदद मिलेगी! कभी भी अपने प्रतियोगी में परोपकार न करें ...
recursion.ninja

8

यदि आप अपने सिस्टम और अपने बीच डेटा आयात / निर्यात कर रहे हैं, तो उनकी सुरक्षा भेद्यता आसानी से आपकी सुरक्षा भेद्यता बन सकती है।

आप अपने बट को तकनीकी और कानूनी रूप से कवर करना चाहते हैं। सुनिश्चित करें कि यह ठीक हो गया है, लेकिन सुनिश्चित करें कि आपके कानूनी विभाग को उन्हें सूचित करने में हाथ है।


5

जाहिर है, उन्हें बताएं।

यदि "आपके दिल की भलाई से बाहर" एक अच्छा पर्याप्त कारण नहीं है, तो विचार करें कि आप इस सुविधा को अपने ग्राहकों के लिए एक लाभ के रूप में लागू कर रहे हैं। आप इस बग की रिपोर्ट करके अप्रत्यक्ष रूप से उनके डेटा की सुरक्षा कर रहे हैं।



0

व्यक्तिगत रूप से मैं उन्हें बताऊंगा।

अन्य लोगों ने संभावित पीआर / कानूनी मुद्दों को इंगित किया है, और यदि एक परत या पीआर एजेंट से बात करने के बाद आपको इसकी रिपोर्ट नहीं करने की सलाह दी जाती है, तो मैं इसे फिर से शुरू कर सकता हूं, लेकिन गुमनाम रूप से।

यह आपके डेटा की सुरक्षा में मदद करके आपके संभावित ग्राहकों का पक्ष ले रहा है।


Yup: seclists.org/fulldisclosure का अनाम मेल , उन्होंने वह ...;)
हेनरिक

@Downvoter, कोई टिप्पणी क्यों?
डोमिनिक मैकडोनेल

0

सिद्धांत रूप में, मैं पूरी तरह से सहमत हूं कि यहां सबसे अधिक क्या कहते हैं: कदम बढ़ाएं और इसकी रिपोर्ट करें। समुद्र पर बाहर की तरह सम्मान का एक पेशेवर कोड है: यदि कोई जहाज मुसीबत में है, तो आप मदद करते हैं, चाहे वह कोई भी हो।

हालांकि, आपके अपडेट को पढ़कर, मैं शायद उन्हें इस जोखिम के कारण बताने के खिलाफ निर्णय लूंगा कि अच्छी तरह से सोची-समझी कार्रवाई गलत तरीके से की जा सकती है (जैसा कि औद्योगिक जासूसी @Uri कहती है), और शत्रुता की ओर ले जा सकते हैं जो बहुत अधिक खतरनाक हैं आपके तीन-आदमी की दुकान की तुलना में वे कभी भी उनके लिए होंगे।

शायद एक गुमनाम नोट छोड़ दें; शायद कुछ भी नहीं। यदि आप डेविड हैं, तो आपको गोलियत को यह बताने की ज़रूरत नहीं है कि वह अपनी पीठ पर बैठा हुआ मधुमक्खी है।


-1

प्रकृति, कठोर पक्षों के बावजूद, इसके प्रकार के अवसर हैं। और दो बार बिना सोचे समझे उन पर कार्रवाई करता है।

कुत्ता कुत्ता नहीं खाता। बल्कि, ऊब लोग अवैध कुत्ते के झगड़े के लिए भुगतान करते हैं। और वकील पैसा इकट्ठा करते हैं। अपने बॉस से शामिल। अब आप से अधिक आप चाहते हैं। वे ख़ुशी से बिना पलक झपकाए स्टार्टअप शुरू कर सकते हैं।

बहुत संभव है, "प्रतियोगी" में कोई पहले से ही जानता है। एक साधारण संदेशवाहक होने की तुलना में समाचार लाने का मतलब अधिक जिम्मेदारियां हो सकती हैं। क्या यह दीवारों से बात करने से बेहतर है?

सुरक्षा व्यवसाय: बड़े छेद वाले सर्वर बहुत सारे ऑनलाइन हैं। यह एक सर्वर एक और एक है। कुछ के लिए पूर्णकालिक नौकरी। क्या आपने अपने स्वयं के छेदों की जांच की है? उन सभी को ?

संभाल कर उतरें।

ग्राहक डेटा महत्वपूर्ण जुनून है।


2
ठीक है, मैंने इस पोस्ट को दो बार पढ़ा है - और मुझे अभी भी यकीन नहीं है कि यह बहस किस पक्ष का समर्थन कर रही है ... :)
साइक्लोप्स

-1

उन्हें बताओ। फिर अपना रिज्यूम भेजें। वे काम पर रख सकते हैं। :)


18
मैं ऐसे लोगों के लिए काम नहीं करना चाहूंगा जो इतना बुरा कोड लिखते हैं कि 15 मिनट के निरीक्षण से एक गंभीर भेद्यता की खोज होती है;)
user17610

@ user17610: ठीक है, एक समायोजित संस्करण: उन्हें बताएं और देखें कि क्या वे इसे ठीक करते हैं। यदि वे इसे उचित समय में ठीक नहीं करते हैं तो अपना रिज्यूम उनके पास न भेजें।
sharptooth

-1

उन्हें बताओ! यह है ऐसा करना सही। इसके अलावा, यदि आप उनके स्थान पर हैं तो वे क्या करना चाहेंगे?

आप उस अच्छे मूल्य पर मूल्य नहीं रख सकते हैं जो इससे निकल सकता है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.