O que fazer se você encontrar uma vulnerabilidade no site de um concorrente?

37

Enquanto trabalhava em um projeto para minha empresa, eu precisava criar uma funcionalidade que permita aos usuários importar / exportar dados de / para o site do nosso concorrente. Enquanto isso, descobri uma exploração de segurança muito séria que poderia, em suma, executar qualquer script no site do concorrente.

Meu sentimento natural é relatar a questão a eles com espírito de boa vontade. Explorar a questão para obter vantagens passou pela minha cabeça, mas não quero seguir esse caminho.

Portanto, minha pergunta é: você denunciaria uma séria vulnerabilidade à sua concorrência direta, a fim de ajudá-los? Ou você manteria a boca fechada? Existe uma maneira melhor de fazer isso, talvez para obter pelo menos alguma vantagem do fato de eu estar ajudando-os relatando o problema?

Atualização (Esclarecimento) :

Obrigado por todos os seus comentários até agora, agradeço. Suas respostas mudariam se eu acrescentasse que a concorrência em questão é um gigante no mercado (centenas de funcionários em vários continentes), e minha empresa começou há apenas algumas semanas (três funcionários)? Escusado será dizer que eles definitivamente não se lembrarão de nós e, se for o caso, só perceberão que o site deles precisa funcionar (é por isso que entramos nesse mercado em primeiro lugar).

Pode ser uma daquelas considerações morais versus comerciais, mas agradeço todos os conselhos.

user17610
fonte
4
Depende se você é moral ou amoral.
dietbuddha
5
Denuncie anonimamente a partir de um endereço de e-mail descartável por trás de um proxy sem vínculos com o local de trabalho atual.
Job
14
Por que o tamanho da empresa tem alguma influência sobre o que constitui um comportamento ético?
JohnFx
6
Há uma pequena anedota sobre um cara que tentou vender à Pepsi alguns segredos da Coca-Cola ... Pepsi chamou a polícia para ele. Não importa quão intensas rivalidades possam ser, a concorrência deve sempre se basear em práticas comerciais justas e éticas. Se vocês são melhores, vão vencê-los, independentemente de quão grandes ou entrincheirados eles sejam. Pode não acontecer durante a noite, mas observe as guerras dos navegadores. Lenta mas seguramente, as alternativas estão tirando o compartilhamento do IE, mesmo com o IE pré-instalado!
Chris Thompson
@JohnFx +1: local em questão senhor! Poderíamos até usar o mesmo argumento se a situação fosse revertida: "minha empresa é uma gigante bem estabelecida e respeitada e a deles é apenas uma pequena empresa que provavelmente falharia mais cedo ou mais tarde". Independentemente do tamanho relativo das empresas, a ética é a mesma.
bedwyr

Respostas:

63

Embora eu adorasse viver em um mundo onde seria perfeitamente seguro simplesmente enviar um bilhete para que eles soubessem, sugiro envolver seu departamento jurídico primeiro. Realisticamente, é perfeitamente possível que, por mais bem-intencionado que seja o seu relatório de erros, alguém da organização do concorrente o interpretará como "nosso concorrente acabou de pagar um de seus funcionários para invadir nosso site". Essa percepção pode criar problemas legais ou de relações públicas para você e sua empresa. Envolver seu departamento jurídico na notificação deve ajudar a proteger todos da aparência de impropriedade. Obviamente, isso cria a possibilidade de o departamento jurídico concluir que notificar o concorrente cria um risco legal inaceitável e diz para você apenas se basear nas informações. Mas isso'

Justin Cave
fonte
Com toda a probabilidade, eles vão concordar com isso - mas saberão a melhor abordagem para fazê-lo, sem expor você ou sua empresa a um desdobramento legal indesejado.
HorusKol 18/02/11
Se o departamento jurídico recusar, eu aceitaria a ideia de e-mail anônimo. E se eles disserem sim, verifique se o seu nome está aí em algum lugar!
Benjol
17
É claro, encontrar um "departamento jurídico" em uma empresa de três, vai ser muito difícil, eu imagino :)
Benjol
@ Benjol True, mas você definitivamente precisa de aconselhamento jurídico nesses casos. Mesmo que eles não possam acusá-lo de invadir o site deles, eles ainda podem alegar que sua carta estava ameaçando e você tentou chantageá-los.
biziclop
9
Dói-me concordar com esta resposta. É um comentário triste sobre a sociedade quando advogados são necessários para um relatório de bug de código.
jdl
30

Isso vai parecer horrível (pelo menos em comparação com a maioria das respostas aqui), mas aqui vão meus 2 centavos:

Por que você deveria fazer algo sobre isso?

A primeira coisa é que eles já têm funcionários que deveriam fazer esse tipo de trabalho (encontrar problemas e corrigi-los).

Em segundo lugar, a maneira como você formou sua pergunta faz parecer que isso é algum tipo de dilema moral. Não é. Você não fez nada para causar esse problema em primeiro lugar.

Em terceiro lugar, você está competindo contra eles. Você deve se concentrar em tornar ** SEU produto o melhor que existe, não o deles.

Se você ainda estiver em dúvida, volte ao meu ponto 2 e releia-o.

Jas
fonte
9
+1 por ser realista. Não faça nada ilegal, com certeza. Imoral? Nos negócios, não há moral ou imoralidade. A empresa não tem o conceito de moralidade.
Davor Ždralo
3
@HorusKol - o +1 não pagará salários e custos pela empresa. Porém, oferecer um produto melhor do que o seu concorrente.
Tg
4
-1. Esse tipo de pensamento é um exemplo clássico da tragédia dos comuns. Falhas de segurança são um problema de todos.
Mason Wheeler
6
@Mason Wheeler: A tragédia dos bens comuns é um dilema que surge da situação em que vários indivíduos, agindo de forma independente e racionalmente consultando seus próprios interesses, acabarão esgotando um recurso limitado compartilhado, mesmo quando estiver claro que não está no ponto de vista de ninguém. interesse a longo prazo para que isso aconteça. Não vejo como isso se aplica aqui.
User17610
3
Francamente, estou chocado por você sugerir não contar ao seu concorrente sobre o bug de segurança dele. Por que não registrar um relatório de bug na forma de um comunicado de imprensa ou email promocional. Esse relatório de bug deve observar a ausência do bug em seu produto e as possíveis implicações para os usuários.
Emory
22

Existe uma linha tênue entre explorar vulnerabilidades e espionagem industrial e, como você é afiliado ao seu empregador, o concorrente pode considerá-lo por último.

Se você denunciar e houver um pesadelo legal / relações públicas, você será o bode expiatório.

Converse com seu departamento jurídico e deixe-os lidar com isso da maneira que acharem melhor - há uma razão pela qual eles fazem muito mais do que engenheiros.

Uri
fonte
20

Um mecanismo alternativo, ainda não sugerido pelo AFAICS, de fornecer as informações ao seu concorrente sem risco para sua própria empresa é permitir que uma das várias empresas de relatórios de vulnerabilidades conheça a vulnerabilidade - e solicite que as denunciem ao seu concorrente. Eles (a empresa de relatório de vulnerabilidades) manteriam seu nome fora do relatório - você seria anônimo ao seu concorrente. Uma dessas empresas é a Zero Day Initiative , ZDI - existem várias outras.

Jonathan Leffler
fonte
11

Faça o vazamento para a mídia, anonimamente, é claro, e ofereça uma migração rápida para os clientes do concorrente. Isso pode parecer um golpe baixo, mas considere isso, não há nada de ilegal ou antiético no que você está fazendo, considere ainda que é um mundo que come cachorro no SW e como David indo contra Golias, você precisará de toda a influência. Lembre-se, não é pessoal, é estritamente comercial . Eles fariam o mesmo com você em um piscar de olhos.

(FWIW, espero que essa resposta seja votada com baixa votação, mas tudo bem, porque o que estou dizendo é a verdade, embora seja dura.)

Gaurav
fonte
Parece bom para mim: você os notifica e obtém lucro ao mesmo tempo. No entanto, há a chance de eles serem marcados e começarem a procurar vulnerabilidades em seu site.
apoorv020
@apoorv Isso significa apenas que você se tornou grande o suficiente para preocupar o Golias :-).
Gaurav
Não entendo por que usar as palavras "vazar" e "anonimamente". O OP não fazer o mal qualquer coisa ou imoral
Emory
@ apporv020 Você deve assumir que eles (e vários outros) estão constantemente pescando suas vulnerabilidades no site 4.
Emory
Como é uma empresa "gigante" em seu mercado, algo a considerar é como os clientes de seu mercado reagirão se a vulnerabilidade for amplamente divulgada na mídia. Eles responderiam com "Se eu não puder confiar nos meus dados com a << empresa gigante >>, devo fazer isso?" A resposta para isso pode ajudar a determinar quão público você deseja que seu relatório de vulnerabilidade seja. Suas ações podem afetar a percepção do seu mercado como um todo.
Zusukar
8

O que você gostaria que eles fizessem se encontrassem uma vulnerabilidade de segurança no seu software? Essa deve ser a primeira pergunta que você faz. Se a resposta for "Eu realmente apreciaria se eles me dissessem", bem, então você tem a sua resposta!

Não importa se eles são uma empresa gigante ou uma loja para três pessoas, e não importa que você seja uma loja para três pessoas ou uma empresa gigante. Como já foi dito, sua reputação é tudo, especialmente nesta pequena comunidade conhecida como software.

Jesse McCulloch
fonte
3
Não está fazendo o oposto do que a concorrência quer uma estratégia comercial normal?
user17610
@ user17610 - Acho que depende da situação ... não é possível fazer uma declaração geral e tomar todas as suas decisões por isso. Se sua concorrência quer ganhar muito dinheiro, você fará o contrário?
Jesse McCulloch
Não, então eu vou garantir que eles não façam muito dinheiro;) #
user17610
2
+1 em "o que você gostaria que eles fizessem se encontrassem a vulnerabilidade em seu software?"
Craige
-1: Gostaria que eles me dissessem, porque posteriormente acusá-los de espionagem industrial ajudará a corroer sua participação no mercado! Nunca assuma a benevolência do seu concorrente ...
recursion.ninja:
8

Se você estiver importando / exportando dados entre os sistemas deles e os seus, a vulnerabilidade de segurança deles pode se tornar facilmente sua vulnerabilidade de segurança.

Você quer cobrir sua bunda tecnologicamente e legalmente. Certifique-se de que ele seja corrigido, mas verifique se o seu departamento jurídico pode notificá-los.

Ben L
fonte
5

Obviamente, deixe-os saber.

Se "fora da bondade do seu coração" não for um motivo suficientemente bom, considere que você está implementando esse recurso como um benefício para seus próprios clientes. Você está protegendo indiretamente os dados deles relatando esse bug.

jdl
fonte
2

Há apenas uma escolha honrosa. Diga a eles.

Eric King
fonte
0

Pessoalmente, eu diria a eles.

Outras pessoas apontaram os possíveis problemas jurídicos de relações públicas / relações públicas e, se depois de conversar com uma camada ou agente de relações públicas, você for aconselhado a não denunciá-lo, AINDA A RELATAREI, mas de forma anônima.

Isso está fazendo um favor aos seus clientes em potencial, ajudando a proteger os dados deles.

Dominique McDonnell
fonte
Sim: e-mail anônimo para seclists.org/fulldisclosure , he he he ...;)
Henrik
@Downvoter, algum comentário sobre o porquê?
Dominique McDonnell
0

Em princípio, concordo totalmente com o que a maioria aqui diz: Intensifique e relate. Existe um código de honra profissional como no mar: se um navio está com problemas, você ajuda, não importa a quem ele pertence.

Ao ler sua atualização, no entanto, eu provavelmente decido não contar a eles, por causa do risco de que as ações bem-intencionadas sejam tomadas de maneira errada (como espionagem industrial como diz @Uri) e levem a hostilidades muito mais perigosas para sua loja de três homens do que eles jamais serão para eles.

Talvez solte uma nota anônima; talvez não faça nada. Se você é David, não precisa dizer a Golias que ele tem uma abelha nas costas.

Pekka 웃
fonte
-1

A natureza, apesar de seus lados duros, tem ocasiões agradáveis. E as interpreta sem pensar duas vezes.

Cachorro não come cachorro. Em vez disso, as pessoas entediadas pagam por brigas ilegais de cães. E advogados coletam o dinheiro. Incluindo do seu chefe. Mais do que você deseja agora. Eles podem felizmente drenar as startups sem piscar.

Também é muito possível, alguém do "concorrente" já sabe. Trazer a notícia pode significar mais responsabilidades do que ser um simples mensageiro passageiro. Isso é melhor do que falar com paredes?

Negócios de segurança: muitos servidores com grandes buracos estão online. este servidor é outro. Trabalho a tempo inteiro para alguns. Você verificou seus próprios buracos? todos eles ?

Assista o seu passo.

Os dados dos clientes são a obsessão importante.

user17685
fonte
2
Ok, eu li este post duas vezes - e eu sou ainda não tem certeza de que lado do debate está apoiando ... :)
Cyclops
-1

Diga a eles. Em seguida, envie seu currículo. Eles podem estar contratando. :)

davidhaskins
fonte
18
Eu preferiria não trabalhar para pessoas que escrevem códigos tão ruins que 15 minutos de inspeção levam à descoberta de uma vulnerabilidade séria;)
user17610
@ user17610: Ok, uma variante ajustada: diga a eles e veja se eles corrigem. Se eles não resolverem o problema em tempo razoável, não envie seu currículo para eles.
Sharptooth
-1

Diga a eles! Ele é a coisa certa a fazer. Além disso, o que eles gostariam que fizessem se você estivesse no lugar deles?

Você não pode valorizar a boa vontade que poderia resultar disso.

KM01
fonte