ti-enxame.com

O que fazer se você encontrar uma vulnerabilidade no site de um concorrente?

Enquanto trabalhava em um projeto para minha empresa, precisava criar funcionalidades que permitissem aos usuários importar/exportar dados de/para o site do nosso concorrente. Enquanto isso, descobri uma exploração de segurança muito séria que poderia, em suma, executar qualquer script no site do concorrente.

Meu sentimento natural é relatar a questão a eles com espírito de boa vontade. Explorar a questão para obter vantagens passou pela minha cabeça, mas não quero seguir esse caminho.

Portanto, minha pergunta é: você denunciaria uma séria vulnerabilidade à sua concorrência direta, a fim de ajudá-los? Ou você manteria a boca fechada? Existe uma maneira melhor de fazer isso, talvez para obter pelo menos alguma vantagem do fato de eu estar ajudando-os relatando o problema?

Atualização (esclarecimento):

Obrigado por todos os seus comentários até agora, agradeço. Suas respostas mudariam se eu acrescentasse que a concorrência em questão é um gigante no mercado (centenas de funcionários em vários continentes), e minha empresa começou há apenas algumas semanas (três funcionários)? Escusado será dizer que eles definitivamente não se lembrarão de nós e, se houver, apenas perceberão que o site deles precisa funcionar (e é por isso que entramos nesse mercado em primeiro lugar).

Pode ser uma daquelas considerações morais versus comerciais, mas agradeço todos os conselhos.

37
user17610

Embora eu adorasse viver em um mundo onde seria perfeitamente seguro simplesmente enviar um bilhete para que eles soubessem, sugiro envolver seu departamento jurídico primeiro. Realisticamente, é perfeitamente possível que, por mais bem-intencionado que seja o seu relatório de erros, alguém da organização do concorrente o interpretará como "nosso concorrente acabou de pagar um de seus funcionários para invadir nosso site". Essa percepção pode criar problemas legais ou de relações públicas para você e sua empresa. Envolver seu departamento jurídico na notificação deve ajudar a proteger todos da aparência de impropriedade. Obviamente, isso cria a possibilidade de o departamento jurídico concluir que notificar o concorrente cria um risco legal inaceitável e diz para você apenas se basear nas informações. Mas isso é muito melhor do que a alternativa: tudo explode na sua cara.

63
Justin Cave

Isso vai parecer horrível (pelo menos em comparação com a maioria das respostas aqui), mas aqui vão meus 2 centavos:

Por que você deve fazer algo sobre isso?

A primeira coisa é que eles já têm funcionários que deveriam fazer esse tipo de trabalho (encontrar problemas e corrigi-los).

Em segundo lugar, a maneira como você formou sua pergunta faz parecer que isso é algum tipo de dilema moral. Não é. Você não fez nada para causar esse problema em primeiro lugar.

Em terceiro lugar, você está competindo contra eles. Você deve se concentrar em tornar ** SEU produto o melhor que existe, não o deles.

Se você ainda estiver em dúvida, volte ao meu ponto 2 e releia-o.

30
Jas

Existe uma linha tênue entre explorar vulnerabilidades e espionagem industrial e, como você é afiliado ao seu empregador, o concorrente pode considerá-lo por último.

Se você denunciar e houver um pesadelo legal/relações públicas, você será o bode expiatório.

Converse com seu departamento jurídico e deixe-os lidar com isso da maneira que acharem melhor - há uma razão pela qual eles fazem muito mais do que engenheiros.

22
Uri

Um mecanismo alternativo, ainda não sugerido pelo AFAICS, de levar as informações ao seu concorrente sem risco para a sua própria empresa é permitir que uma das várias empresas de relatórios de vulnerabilidades conheça a vulnerabilidade - e solicite que as denunciem ao seu concorrente. Eles (a empresa de relatórios de vulnerabilidades) manteriam seu nome fora do relatório - você seria anônimo ao seu concorrente. Uma dessas empresas é a Zero Day Initiative , ZDI - existem várias outras.

20
Jonathan Leffler

Deixe vazar para a mídia, anonimamente, é claro, e ofereça uma migração rápida para os clientes do concorrente. Isso pode parecer um golpe baixo, mas considere isso, não há nada de ilegal ou antiético no que você está fazendo, considere ainda que é um mundo que come cachorro no SW e, como David indo contra Golias, você precisará de toda a influência. Lembre-se: não é pessoal, é estritamente comercial . Eles fariam o mesmo com você em um piscar de olhos.

(FWIW, espero que essa resposta seja votada com baixa votação, mas tudo bem, porque o que estou dizendo é a verdade, embora seja dura.)

11
Gaurav

O que você gostaria que eles fizessem se encontrassem uma vulnerabilidade de segurança no seu software? Essa deve ser a primeira pergunta que você faz. Se a resposta for "Eu realmente apreciaria se eles me dissessem", bem, então você tem a sua resposta!

Não importa se eles são uma empresa gigante ou uma loja para três pessoas, e não importa que você seja uma loja para três pessoas ou uma empresa gigante. Como já foi dito, sua reputação é tudo, especialmente nesta pequena comunidade conhecida como software.

8
Jesse McCulloch

Se você estiver importando/exportando dados entre os sistemas deles e os seus, a vulnerabilidade de segurança deles pode se tornar facilmente sua vulnerabilidade de segurança.

Você vai querer cobrir sua bunda tecnologicamente e legalmente. Certifique-se de que ele seja corrigido, mas verifique se o seu departamento jurídico pode notificá-los.

8
Ben L

Obviamente, deixe-os saber.

Se "fora da bondade do seu coração" não for um motivo suficientemente bom, considere que você está implementando esse recurso como um benefício para seus próprios clientes. Você está protegendo indiretamente os dados deles relatando esse bug.

5
jdl

Há apenas uma escolha honrosa. Diga a eles.

2
Eric King

Em princípio, concordo totalmente com o que a maioria aqui diz: Intensifique e relate. Existe um código de honra profissional como no mar: se um navio está com problemas, você ajuda, não importa a quem ele pertence.

Ao ler sua atualização, no entanto, eu provavelmente decido não contar a eles, por causa do risco de que as ações bem-intencionadas sejam tomadas de maneira errada (como espionagem industrial como diz @Uri) e levem a hostilidades muito mais perigosas para sua loja de três homens do que eles jamais serão para eles.

Talvez solte uma nota anônima; talvez não faça nada. Se você é David, não precisa dizer a Golias que ele tem uma abelha nas costas.

0
Pekka

Pessoalmente, eu diria a eles.

Outras pessoas apontaram os possíveis problemas jurídicos de relações públicas/relações públicas e, se depois de conversar com uma camada ou agente de relações públicas, você for aconselhado a não denunciá-lo, AINDA A RELATAREI, mas de forma anônima.

Isso está fazendo um favor aos seus clientes em potencial, ajudando a proteger os dados deles.

0
Dominique McDonnell