यदि आपको किसी प्रतियोगी साइट में भेद्यता मिलती है तो क्या करें?

अपनी कंपनी के लिए एक परियोजना पर काम करते समय, मुझे कार्यक्षमता बनाने की आवश्यकता थी जो उपयोगकर्ताओं को हमारे प्रतिस्पर्धी साइट से / से डेटा आयात / निर्यात करने की अनुमति देता है। ऐसा करते समय, मैंने एक बहुत गंभीर सुरक्षा कारनामे की खोज की जो संक्षेप में, प्रतियोगी की वेबसाइट पर किसी भी स्क्रिप्ट का प्रदर्शन कर सकता है।

मेरी स्वाभाविक भावना यह है कि इस मुद्दे को अच्छी इच्छा की भावना में रिपोर्ट करें। लाभ हासिल करने के मुद्दे को उजागर करने से मेरे दिमाग को पार कर गया, लेकिन मैं उस रास्ते पर नहीं जाना चाहता।

तो मेरा सवाल यह है कि क्या आप अपनी सीधी प्रतिस्पर्धा के लिए एक गंभीर भेद्यता की रिपोर्ट करेंगे, ताकि उनकी मदद की जा सके? या आप मुंह बंद रखेंगे? क्या इस बारे में जाने का एक बेहतर तरीका है, शायद इस तथ्य से कम से कम कुछ लाभ प्राप्त करना है कि मैं इस मुद्दे की रिपोर्ट करके उनकी मदद कर रहा हूं?

अद्यतन (स्पष्टीकरण) :

अब तक आपकी सभी प्रतिक्रिया के लिए धन्यवाद, मैं इसकी सराहना करता हूं। क्या आपके जवाब बदल जाएंगे यदि मैं यह जोड़ना चाहूंगा कि प्रतियोगिता में प्रतिस्पर्धा बाजार में कई क्षेत्रों में सैकड़ों कर्मचारियों (), और मेरी कंपनी ने कुछ सप्ताह पहले ही शुरू की थी (तीन कर्मचारी)? यह बिना कहे चला जाता है, वे निश्चित रूप से हमें याद नहीं करेंगे, और अगर कुछ भी, केवल महसूस करते हैं कि उनकी साइट को काम करने की आवश्यकता है (यही वजह है कि हमने इस बाजार में पहली बार प्रवेश किया है)।

यह उन नैतिक बनाम व्यावसायिक टॉस-अप में से एक हो सकता है, लेकिन मैं सभी सलाह की सराहना करता हूं।

हालाँकि मैं एक ऐसी दुनिया में रहना पसंद करूँगा जहाँ यह पूरी तरह से सुरक्षित होगा कि उन्हें यह बताने के लिए एक नोट छोड़ दें, मैं आपको पहले अपना कानूनी विभाग शामिल करने का सुझाव दूंगा। वास्तविक रूप से, यह पूरी तरह से संभव है कि हालांकि आपकी बग रिपोर्ट का इरादा है, प्रतियोगी संगठन के किसी व्यक्ति ने इसे "हमारे प्रतियोगी ने हमारे कर्मचारियों में से एक को हमारी साइट को हैक करने के लिए भुगतान किया" के रूप में व्याख्या करेगा। यह धारणा आपके और आपकी कंपनी दोनों के लिए कानूनी या पीआर मुद्दे बना सकती है। अधिसूचना में अपने कानूनी विभाग को शामिल करने से सभी को अभेद्यता की उपस्थिति से बचाने में मदद करनी चाहिए। बेशक, यह संभावना पैदा करता है कि कानूनी विभाग यह निष्कर्ष निकालता है कि प्रतियोगी को सूचित करना अस्वीकार्य कानूनी जोखिम पैदा करता है और आपको सिर्फ जानकारी पर बैठने के लिए कहता है। किन्तु वह'

यह भयानक लग रहा है (कम से कम यहां ज्यादातर जवाबों की तुलना में) लेकिन, यहाँ मेरे 2 सेंट जाते हैं:

आपको इसके बारे में कुछ क्यों करना चाहिए?

पहली बात सबसे पहले, उनके पास पहले से ही कर्मचारी हैं जो उस तरह का काम कर रहे हैं (समस्याओं को खोजने और उन्हें ठीक करना)।

दूसरे, जिस तरह से आपने अपना प्रश्न बनाया है, वह ऐसा लगता है जैसे यह किसी प्रकार की नैतिक दुविधा है। यह। आपने पहली बार में उस समस्या का कारण कुछ भी नहीं किया।

तीसरा, आप उनके खिलाफ प्रतिस्पर्धा कर रहे हैं। आपको अपना उत्पाद बनाने में ध्यान केंद्रित करना चाहिए। आपका उत्पाद सबसे अच्छा है, न कि उनका।

यदि आप अभी भी संदेह में हैं, तो मेरी बात नंबर 2 पर वापस जाएँ और इसे फिर से पढ़ें।

कमजोरियों और औद्योगिक जासूसी की खोज के बीच एक पतली रेखा है, और चूंकि आप अपने नियोक्ता के साथ संबद्ध हैं, इसलिए प्रतियोगी इसे बाद का विचार कर सकता है।

यदि आप इसकी रिपोर्ट करते हैं और एक कानूनी / पीआर बुरा सपना है, तो आप बलि का बकरा होंगे।

अपने कानूनी विभाग से बात करें और उन्हें फिट होने के रूप में उन्हें संभालने दें - एक कारण है कि वे इंजीनियरों की तुलना में अधिक रास्ता बनाते हैं।

एक वैकल्पिक तंत्र, जिसने अभी तक AFAICS को सुझाव नहीं दिया है, अपने प्रतिद्वंद्वी को बिना किसी जोखिम के अपनी कंपनी को जानकारी प्राप्त करने के लिए है कि विभिन्न भेद्यता रिपोर्टिंग कंपनियों में से एक को भेद्यता के बारे में बताएं - और उन्हें अपने प्रतिद्वंद्वी को रिपोर्ट करने के लिए कहें। वे (भेद्यता रिपोर्टिंग कंपनी) आपका नाम रिपोर्ट से बाहर रखेंगे - आप अपने प्रतियोगी के लिए अनाम होंगे। ऐसी ही एक कंपनी है जीरो डे इनिशिएटिव , जेडडीआई - कई अन्य हैं।

इसे मीडिया तक सीमित करें, गुमनाम रूप से, और फिर प्रतियोगी के ग्राहकों को त्वरित प्रवास प्रदान करें। यह एक कम झटका की तरह लग सकता है, लेकिन इस पर विचार करें, जो कुछ भी आप कर रहे हैं, उसके बारे में कुछ भी अवैध या अनैतिक नहीं है, आगे इस पर विचार करें कि यह एक कुत्ते को खाने के लिए SW में कुत्ते की दुनिया है और डेविड के रूप में Goliath के खिलाफ जा रहे हैं, आपको सभी लाभ उठाने की आवश्यकता है। याद रखें, यह व्यक्तिगत नहीं है, यह कड़ाई से व्यवसाय है । वे आपको दिल की धड़कन में भी ऐसा ही करते।

(FWIW मैं पूरी तरह से इस जवाब की उम्मीद करता हूं कि यह वोट डाउन हो सकता है, लेकिन यह ठीक है क्योंकि मैं जो कह रहा हूं वह सच है जो कठोर है।)

यदि वे आपके सॉफ़्टवेयर में सुरक्षा भेद्यता पाते हैं, तो आप उन्हें क्या करना चाहेंगे? यह पहला सवाल होना चाहिए जो आप पूछें। यदि उत्तर "मैं वास्तव में इसकी सराहना करूंगा यदि वे मुझे बताएंगे", ठीक है, तो आपके पास आपका उत्तर है!

इससे कोई फर्क नहीं पड़ता कि वे एक विशाल कंपनी या तीन व्यक्ति की दुकान हैं, और इससे कोई फर्क नहीं पड़ता कि आप तीन व्यक्ति की दुकान या एक विशाल कंपनी हैं। जैसा कि कहा गया है, आपकी प्रतिष्ठा सब कुछ है, विशेष रूप से इस छोटे से समुदाय में जिसे सॉफ्टवेयर कहा जाता है।

यदि आप अपने सिस्टम और अपने बीच डेटा आयात / निर्यात कर रहे हैं, तो उनकी सुरक्षा भेद्यता आसानी से आपकी सुरक्षा भेद्यता बन सकती है।

आप अपने बट को तकनीकी और कानूनी रूप से कवर करना चाहते हैं। सुनिश्चित करें कि यह ठीक हो गया है, लेकिन सुनिश्चित करें कि आपके कानूनी विभाग को उन्हें सूचित करने में हाथ है।

जाहिर है, उन्हें बताएं।

यदि "आपके दिल की भलाई से बाहर" एक अच्छा पर्याप्त कारण नहीं है, तो विचार करें कि आप इस सुविधा को अपने ग्राहकों के लिए एक लाभ के रूप में लागू कर रहे हैं। आप इस बग की रिपोर्ट करके अप्रत्यक्ष रूप से उनके डेटा की सुरक्षा कर रहे हैं।

केवल एक सम्मानजनक विकल्प है। उन्हें बताओ।

व्यक्तिगत रूप से मैं उन्हें बताऊंगा।

अन्य लोगों ने संभावित पीआर / कानूनी मुद्दों को इंगित किया है, और यदि एक परत या पीआर एजेंट से बात करने के बाद आपको इसकी रिपोर्ट नहीं करने की सलाह दी जाती है, तो मैं इसे फिर से शुरू कर सकता हूं, लेकिन गुमनाम रूप से।

यह आपके डेटा की सुरक्षा में मदद करके आपके संभावित ग्राहकों का पक्ष ले रहा है।

सिद्धांत रूप में, मैं पूरी तरह से सहमत हूं कि यहां सबसे अधिक क्या कहते हैं: कदम बढ़ाएं और इसकी रिपोर्ट करें। समुद्र पर बाहर की तरह सम्मान का एक पेशेवर कोड है: यदि कोई जहाज मुसीबत में है, तो आप मदद करते हैं, चाहे वह कोई भी हो।

हालांकि, आपके अपडेट को पढ़कर, मैं शायद उन्हें इस जोखिम के कारण बताने के खिलाफ निर्णय लूंगा कि अच्छी तरह से सोची-समझी कार्रवाई गलत तरीके से की जा सकती है (जैसा कि औद्योगिक जासूसी @Uri कहती है), और शत्रुता की ओर ले जा सकते हैं जो बहुत अधिक खतरनाक हैं आपके तीन-आदमी की दुकान की तुलना में वे कभी भी उनके लिए होंगे।

शायद एक गुमनाम नोट छोड़ दें; शायद कुछ भी नहीं। यदि आप डेविड हैं, तो आपको गोलियत को यह बताने की ज़रूरत नहीं है कि वह अपनी पीठ पर बैठा हुआ मधुमक्खी है।

प्रकृति, कठोर पक्षों के बावजूद, इसके प्रकार के अवसर हैं। और दो बार बिना सोचे समझे उन पर कार्रवाई करता है।

कुत्ता कुत्ता नहीं खाता। बल्कि, ऊब लोग अवैध कुत्ते के झगड़े के लिए भुगतान करते हैं। और वकील पैसा इकट्ठा करते हैं। अपने बॉस से शामिल। अब आप से अधिक आप चाहते हैं। वे ख़ुशी से बिना पलक झपकाए स्टार्टअप शुरू कर सकते हैं।

बहुत संभव है, "प्रतियोगी" में कोई पहले से ही जानता है। एक साधारण संदेशवाहक होने की तुलना में समाचार लाने का मतलब अधिक जिम्मेदारियां हो सकती हैं। क्या यह दीवारों से बात करने से बेहतर है?

सुरक्षा व्यवसाय: बड़े छेद वाले सर्वर बहुत सारे ऑनलाइन हैं। यह एक सर्वर एक और एक है। कुछ के लिए पूर्णकालिक नौकरी। क्या आपने अपने स्वयं के छेदों की जांच की है? उन सभी को ?

संभाल कर उतरें।

ग्राहक डेटा महत्वपूर्ण जुनून है।

उन्हें बताओ। फिर अपना रिज्यूम भेजें। वे काम पर रख सकते हैं। :)

उन्हें बताओ! यह है ऐसा करना सही। इसके अलावा, यदि आप उनके स्थान पर हैं तो वे क्या करना चाहेंगे?

आप उस अच्छे मूल्य पर मूल्य नहीं रख सकते हैं जो इससे निकल सकता है।