Co zrobić, jeśli znajdziesz lukę w witrynie konkurenta?

Pracując nad projektem dla mojej firmy, musiałem zbudować funkcjonalność, która pozwoli użytkownikom importować / eksportować dane do / z witryny naszego konkurenta. Robiąc to, odkryłem bardzo poważny exploit bezpieczeństwa, który w skrócie mógłby wykonać dowolny skrypt na stronie internetowej konkurenta.

Moim naturalnym odczuciem jest zgłoszenie im problemu w duchu dobrej woli. Wykorzystałem ten problem, by zyskać przewagę, przyszło mi do głowy, ale nie chcę iść tą drogą.

Moje pytanie brzmi: czy zgodziłbyś się poważnie narazić swoją bezpośrednią konkurencję, aby im pomóc? A może trzymasz buzię na kłódkę? Czy istnieje lepszy sposób, aby to zrobić, być może, aby zyskać przynajmniej pewną korzyść z faktu, że pomagam im, zgłaszając problem?

Aktualizacja (wyjaśnienie) :

Dziękujemy za wszystkie dotychczasowe opinie. Doceniam to. Czy Twoje odpowiedzi zmieniłyby się, gdybym dodał, że omawiana konkurencja to gigant na rynku (setki pracowników na kilku kontynentach), a moja firma rozpoczęła działalność dopiero kilka tygodni temu (trzech pracowników)? Oczywiste jest, że na pewno nas nie zapamiętają, a jeśli już, to tylko zdają sobie sprawę, że ich strona potrzebuje pracy (dlatego właśnie weszliśmy na ten rynek).

To może być jedna z tych podróbek moralnych vs. biznesowych, ale doceniam wszystkie rady.

Chociaż chciałbym mieszkać w świecie, w którym byłoby całkowicie bezpiecznie zostawić im wiadomość z informacją, sugeruję najpierw zaangażowanie działu prawnego. Realistycznie rzecz biorąc, jest całkiem możliwe, że niezależnie od tego, jak dobry jest twój raport o błędzie, ktoś w organizacji konkurenta zinterpretuje go jako „nasz konkurent właśnie zapłacił jednemu ze swoich pracowników za zhakowanie naszej witryny”. Takie postrzeganie może powodować problemy prawne lub PR dla Ciebie i Twojej firmy. Zaangażowanie działu prawnego w powiadomienie powinno pomóc chronić wszystkich przed pozorami niewłaściwości. Oczywiście stwarza to możliwość, że dział prawny doszedł do wniosku, że powiadomienie konkurenta stwarza niedopuszczalne ryzyko prawne i nakazuje ci po prostu usiąść na informacji. Ale to'

To zabrzmi okropnie (przynajmniej w porównaniu z większością odpowiedzi tutaj), ale oto moje 2 centy:

Dlaczego miałbyś coś z tym zrobić?

Po pierwsze, mają już pracowników, którzy powinni wykonywać taką pracę (znajdowanie problemów i ich rozwiązywanie).

Po drugie, sposób, w jaki sformułowałeś swoje pytanie, sprawia, że ​​brzmi to jak jakiś moralny dylemat. To nie jest. Nie zrobiłeś nic, aby spowodować ten problem.

Po trzecie, konkurujesz z nimi. Powinieneś skupić się na tym, aby ** TWÓJ produkt był najlepszy, a nie ich.

Jeśli nadal masz wątpliwości, wróć do mojego punktu nr 2 i przeczytaj go ponownie.

Pomiędzy odkrywaniem słabych punktów a szpiegostwem przemysłowym istnieje cienka granica, a ponieważ jesteś związany ze swoim pracodawcą, konkurent może uznać to za to drugie.

Jeśli to zgłosisz i pojawi się koszmar legalny / PR, będziesz kozłem ofiarnym.

Porozmawiaj ze swoim działem prawnym i pozwól im zająć się tym, co uznają za stosowne - istnieje powód, dla którego robią o wiele więcej niż inżynierowie.

Alternatywnym mechanizmem, który nie został jeszcze zasugerowany AFAICS, dostarczania informacji konkurentowi bez ryzyka dla własnej firmy jest powiadomienie jednej z różnych firm raportujących podatności o usterce - i poproszenie ich o zgłoszenie tego konkurentowi. Oni (firma zgłaszająca luki w zabezpieczeniach) nie ujawnią Twojego nazwiska w raporcie - będziesz anonimowy dla swojego konkurenta. Jedną z takich firm jest Zero Day Initiative , ZDI - istnieje wiele innych.

Wyciek do mediów, oczywiście anonimowo, a następnie zaoferuj szybką migrację klientom konkurenta. Może to wydawać się niskim ciosem, ale weź to pod uwagę, nie ma nic nielegalnego ani nieetycznego w tym, co robisz, ponadto weź pod uwagę, że jest to świat psów jedzących psy w SW, a jako David idący przeciwko Goliatowi będziesz potrzebował całej dźwigni. Pamiętaj, że to nie jest sprawa osobista, to ściśle biznes . Zrobiliby to samo w mgnieniu oka.

(FWIW W pełni oczekuję, że ta odpowiedź zostanie odrzucona, ale to OK, ponieważ to, co mówię, jest prawdą, choć trudną).

Co chciałbyś, aby zrobili, gdyby znaleźli lukę w zabezpieczeniach twojego oprogramowania? To powinno być pierwsze pytanie, które zadajesz. Jeśli odpowiedź brzmi „Byłbym bardzo wdzięczny, gdyby mi powiedzieli”, to masz swoją odpowiedź!

Nie ma znaczenia, że ​​jest to gigantyczna firma lub sklep trzyosobowy i nie ma znaczenia, że ​​jesteś trzyosobowym sklepem lub gigantyczną firmą. Jak już powiedziano, Twoja reputacja jest wszystkim, szczególnie w tej małej społeczności znanej jako oprogramowanie.

Jeśli importujesz / eksportujesz dane między ich systemami a własnym, ich luka w zabezpieczeniach może łatwo stać się twoją luką w zabezpieczeniach.

Będziesz chciał pokryć swój tyłek technologicznie i prawnie. Upewnij się, że problem został naprawiony, ale upewnij się, że Twój dział prawny pomaga w ich powiadomieniu.

Oczywiście, daj im znać.

Jeśli „z dobroci serca” nie jest wystarczającym powodem, zastanów się, czy wdrażasz tę funkcję jako korzyść dla własnych klientów. Pośrednio chronisz ich dane, zgłaszając ten błąd.

Jest tylko jeden honorowy wybór. Powiedz im.

Osobiście powiedziałbym im.

Inne osoby zwróciły uwagę na możliwe problemy PR / prawne, a jeśli po rozmowie z warstwą lub agentem PR radzisz nie zgłaszać tego, NADAL ZROBIŁEM TO, ale anonimowo.

Robi to potencjalnym klientom przysługę, pomagając chronić ich dane.

Zasadniczo całkowicie zgadzam się z tym, co większość tutaj mówi: zintensyfikuj i zgłoś to. Istnieje profesjonalny kodeks honorowy jak na morzu: jeśli statek ma kłopoty, pomagasz, bez względu na to, do kogo należy.

Jednak czytając twoją aktualizację, prawdopodobnie zdecydowałbym się nie mówić im z powodu ryzyka, że ​​dobrze intencjonalne działania mogą zostać podjęte w niewłaściwy sposób (tak szpiegostwo przemysłowe, jak mówi @Uri) i prowadzić do działań wojennych, które są znacznie bardziej niebezpieczne dla wasz trzyosobowy sklep niż oni będą dla nich.

Może upuść anonimową notatkę; może w ogóle nic nie robić. Jeśli jesteś Dawidem, nie musisz mówić Goliatowi, że ma pszczołę siedzącą na plecach.

Natura, mimo trudnych stron, ma swoje miłe okazje. I odtwarza je bez zastanowienia.

Pies nie je psa. Znudzeni ludzie płacą raczej za nielegalne walki psów. A prawnicy zbierają pieniądze. W tym z Twojego szefa. Więcej niż chcesz teraz. Mogą bez problemu mrugać startupami bez mrugania okiem.

Bardzo możliwe, że ktoś z „konkurenta” już wie. Przekazywanie wiadomości może oznaczać więcej obowiązków niż bycie zwykłym posłańcem. Czy to lepsze niż rozmawianie ze ścianami?

Bezpieczeństwo: wiele serwerów z dużymi dziurami jest online. ten jeden serwer jest drugim. Dla niektórych praca na pełen etat. Czy sprawdziłeś już swoje dziury? wszyscy ?

Proszę uważać.

Dane klientów to ważna obsesja.

Powiedz im. Następnie wyślij swoje CV. Mogą zatrudniać. :)

Powiedz im! To jest właściwe. A co chcieliby, żeby zrobili, gdybyś był na ich miejscu?

Nie możesz doceniać dobrej woli, która może z tego wyniknąć.