Que faire si vous trouvez une vulnérabilité sur le site d'un concurrent?

37

Lorsque je travaillais sur un projet pour mon entreprise, je devais créer une fonctionnalité permettant aux utilisateurs d'importer / d'exporter des données vers / depuis le site de nos concurrents. Ce faisant, j'ai découvert un très grave exploit de sécurité qui pourrait, en bref, exécuter n'importe quel script sur le site Web du concurrent.

Mon sentiment naturel est de leur signaler le problème dans un esprit de bonne volonté. Il m’a été question d’exploiter la question pour en tirer avantage, mais je ne veux pas suivre cette voie.

Ma question est donc la suivante: signaleriez-vous une vulnérabilité sérieuse à votre concurrence directe afin de les aider? Ou voudriez-vous garder votre bouche fermée? Y a-t-il une meilleure façon de s'y prendre, peut-être pour tirer au moins un avantage du fait que je les aide en rapportant le problème?

Mise à jour (clarification) :

Merci pour tous vos commentaires jusqu'à présent, je l'apprécie. Vos réponses changeraient-elles si je devais ajouter que la concurrence en question est un géant sur le marché (des centaines d’employés sur plusieurs continents) et que mon entreprise a démarré il ya quelques semaines à peine (trois employés)? Cela va sans dire, ils ne se souviendront certainement pas de nous, et s’ils réalisent que leur site a besoin de travail (c’est pourquoi nous sommes entrés sur ce marché en premier lieu).

Cela pourrait être un de ces affrontements moraux ou commerciaux, mais j'apprécie tous les conseils.

utilisateur17610
la source
4
Cela dépend si vous êtes moral ou amoral.
dietbuddha
5
Signalez-le anonymement à partir d'une adresse e-mail jetable située derrière un proxy sans aucun lien avec votre lieu de travail actuel.
Job
14
Pourquoi la taille de l'entreprise influe-t-elle sur ce qui constitue un comportement éthique?
JohnFx
6
Il y a une petite anecdote à propos d'un type qui a tenté de vendre à Pepsi des secrets de Coca-Cola ... Pepsi a appelé les flics. Même si les rivalités sont intenses, la concurrence devrait toujours reposer sur des pratiques commerciales équitables et éthiques. Si vous êtes meilleurs, vous les battrez, quelle que soit leur taille ou leur enracinement. Cela peut ne pas arriver du jour au lendemain, mais regardez la guerre des navigateurs. Lentement mais sûrement, des alternatives prennent des parts d'IE même avec IE préinstallé!
Chris Thompson le
@JohnFx +1: spot sur question monsieur! Nous pourrions même utiliser le même argument si la situation était inversée: "mon entreprise est un géant bien établi et respecté et la leur n'est qu'une petite entreprise qui échouerait probablement tôt ou tard de toute façon". Indépendamment de la taille relative des entreprises, l'éthique est la même.
bedwyr

Réponses:

63

Bien que j'aimerais vivre dans un monde où il serait parfaitement prudent de leur laisser un mot pour le leur faire savoir, je suggérerais de faire intervenir votre service juridique en premier. De manière réaliste, il est tout à fait possible que, même si votre rapport de bogue est bien intentionné, un membre de l'organisation du concurrent l'interprétera comme "notre concurrent vient de payer un de ses employés pour pirater notre site". Cette perception pourrait créer des problèmes juridiques ou de relations publiques pour vous et votre entreprise. Le fait d’impliquer votre service juridique dans la notification devrait aider à protéger tout le monde de l’apparence d’une irrégularité. Bien sûr, cela crée la possibilité que le service juridique conclue que notifier le concurrent crée un risque juridique inacceptable et vous dit simplement de rester assis sur les informations. Mais ça'

Justin Cave
la source
Selon toute vraisemblance, ils diront de le suivre, mais ils connaîtront la meilleure approche pour le faire sans vous exposer, vous ou votre entreprise, à un backdraft juridique non souhaité.
HorusKol
Si le service juridique dit non, je choisirais l'idée du courrier électronique anonyme. Et s’ils acceptent, assurez-vous que votre nom figure quelque part!
Benjol
17
Bien sûr, trouver un "service juridique" dans une entreprise de trois personnes sera assez difficile, j'imagine :)
Benjol
@Benjol C'est vrai, mais vous avez certainement besoin de conseils juridiques dans ces cas. Même s'ils ne peuvent pas vous accuser de piratage de leur site, ils peuvent toujours prétendre que votre lettre était menaçante et que vous avez essayé de les faire chanter.
biziclop
9
Cela me fait mal d’être d’accord avec cette réponse. C'est un triste commentaire sur la société lorsque des avocats sont nécessaires pour un rapport de bug de code.
Jdl
30

Cela va paraître horrible (au moins par rapport à la plupart des réponses ici), mais voici mes 2 centimes:

Pourquoi devriez-vous faire quelque chose à ce sujet?

D'abord, ils ont déjà des employés qui devraient faire ce genre de travail (trouver des problèmes et les résoudre).

Deuxièmement, la façon dont vous avez formulé votre question donne l’impression que c’est une sorte de dilemme moral. Ce n'est pas. Vous n'avez rien fait pour causer ce problème en premier lieu.

Troisièmement, vous leur faites concurrence. Vous devez vous efforcer de faire de ** VOTRE produit le meilleur qui existe, pas le leur.

Si vous avez encore des doutes, revenez au point 2 et relisez-le.

Jas
la source
9
+1 pour être réaliste. Ne fais rien d'illégal, bien sûr. Immoral? En affaires, il n'y a pas de morale ou d'immoral. La société n'a pas de concept de moralité.
Davor Ždralo
3
@HorusKol - le +1 ne va pas payer les salaires et les coûts pour l'entreprise. Offrir un meilleur produit que votre concurrent pourrait cependant.
Jas
4
-1. Ce type de pensée est un exemple classique de la tragédie des communes. Les failles de sécurité sont le problème de tous.
Mason Wheeler le
6
@Mason Wheeler: La tragédie des biens communs est un dilemme découlant de la situation dans laquelle plusieurs individus, agissant de manière indépendante et rationnelle, consultant leur propre intérêt, épuiseront en fin de compte une ressource limitée partagée, même s'il est clair que cela ne concerne personne. intérêt à long terme pour que cela se produise. Je ne vois pas comment cela est applicable ici.
user17610
3
Franchement, je suis choqué que vous suggériez de ne pas parler à votre concurrent de son problème de sécurité. Pourquoi ne pas déposer un rapport de bogue sous la forme d'un communiqué de presse ou d'un courrier électronique promotionnel. Un tel rapport de bogue devrait noter l’absence dudit bogue dans votre produit et les implications potentielles pour les utilisateurs.
emory
22

Il y a une ligne de démarcation entre l'exploration des vulnérabilités et l'espionnage industriel, et puisque vous êtes affilié à votre employeur, le concurrent peut le considérer comme ce dernier.

Si vous le signalez et qu'il y a un cauchemar juridique / relations publiques, vous serez le bouc émissaire.

Parlez à votre service juridique et laissez-les gérer comme bon leur semble - il y a une raison pour laquelle ils gagnent bien plus que des ingénieurs.

Uri
la source
20

Un moyen alternatif, pas encore suggéré par AFAICS, de transmettre les informations à votre concurrent sans risque pour votre propre entreprise est d'informer l'une des différentes sociétés signalant les vulnérabilités de la vulnérabilité - et de leur demander de la signaler à votre concurrent. Ils (la société qui signale les vulnérabilités) garderaient votre nom en dehors du rapport - vous seriez anonyme pour votre concurrent. Une de ces sociétés est la Zero Day Initiative , ZDI - il en existe plusieurs autres.

Jonathan Leffler
la source
11

Diffusez-le dans les médias, anonymement bien sûr, puis proposez une migration rapide aux clients du concurrent. Cela peut sembler un coup bas, mais considérez ceci, il n’ya rien d’illégal ou d’ethique dans ce que vous faites, considérez plus loin que c’est un monde de chiens dévorés en SW et que David va contre Goliath, vous aurez besoin de tout l’effet de levier. N'oubliez pas que ce n'est pas personnel, c'est strictement professionnel . Ils feraient la même chose pour vous dans un battement de coeur.

(FWIW, je m'attends à ce que cette réponse soit votée à la baisse, mais ce n'est pas grave, car ce que je dis est la vérité, même si elle est dure.)

Gaurav
la source
Cela me semble bien: vous les notifiez et vous réalisez un bénéfice en même temps. Cependant, ils risquent d'être cochés et de commencer à pêcher les vulnérabilités de votre site.
apoorv020
@apoorv Cela signifie simplement que vous êtes devenu assez grand pour inquiéter les Goliath :-).
Gaurav
Je ne comprends pas pourquoi utiliser les mots "fuite" et "anonymement". Le PO n'a rien fait de mal ou d'immoral
emory
@ apporv020 - Vous devriez supposer qu’ils (et tout un tas d’autres) r exploitent constamment les vulnérabilités de votre site 4.
Emory
S'agissant d'une entreprise "gigantesque" sur votre marché, il convient d'examiner la réaction des clients de votre marché si la vulnérabilité est largement relatée dans les médias. Auraient-ils répondu avec "Si je ne peux pas faire confiance à mes données avec << société géante >> devrais-je le faire du tout?" La réponse à cette question peut aider à déterminer à quel point vous souhaitez que votre rapport de vulnérabilité soit public. Vos actions peuvent affecter la perception de votre marché dans son ensemble.
Zusukar
8

Que voudriez-vous qu'ils fassent s'ils découvrent une faille de sécurité dans votre logiciel? Ce devrait être la première question que vous posez. Si la réponse est "Je l'apprécierais vraiment s'ils me le disaient", alors vous avez votre réponse!

Peu importe qu’il s’agisse d’une société géante ou d’un magasin à trois personnes, et que vous soyez un magasin à trois personnes ou une société géante. Comme on l’a dit, votre réputation est primordiale, en particulier dans cette petite communauté appelée logiciel.

Jesse McCulloch
la source
3
N’est-ce pas faire l’opposé de ce que la concurrence veut une stratégie d’entreprise normale?
user17610
@ user17610 - J'imagine que cela dépend de la situation ... ne peut pas faire de déclaration générale et prendre toutes vos décisions en conséquence. Si vos concurrents veulent gagner beaucoup d'argent, allez-vous faire le contraire?
Jesse McCulloch le
Non, alors je ferai en sorte qu'ils ne gagnent pas beaucoup d'argent par bateau;)
utilisateur17610
2
+1 pour "que voudriez-vous qu'ils fassent s'ils trouvent la vulnérabilité dans votre logiciel?"
Craige
-1: J'aimerais qu'ils me le disent, car les accuser d'espionnage industriel les aidera par la suite à corroder leurs parts de marché! Ne supposez jamais la bienveillance de votre concurrent ...
récursion.ninja
8

Si vous importez / exportez des données entre leurs systèmes et les vôtres, leur vulnérabilité en matière de sécurité pourrait facilement devenir votre vulnérabilité en matière de sécurité.

Vous voudrez couvrir vos fesses technologiquement et légalement. Assurez-vous que tout soit réparé, mais assurez-vous que votre service juridique a le pouvoir de le notifier.

Ben L
la source
5

Évidemment, laissez-les savoir.

Si "ne tenez pas à cœur", ne considérez pas que vous implémentez cette fonctionnalité comme un avantage pour vos propres clients. Vous protégez indirectement leurs données en signalant ce bogue.

jdl
la source
2

Il n'y a qu'un seul choix honorable. Dis leur.

Eric King
la source
0

Personnellement je leur dirais.

D'autres personnes ont signalé les éventuels problèmes de relations publiques / juridiques, et si après avoir parlé à un agent hiérarchique ou à un agent de relations publiques, il vous est conseillé de ne pas le signaler, je vous le signalerais de manière anonyme.

Cela rend service à vos clients potentiels en aidant à protéger leurs données.

Dominique McDonnell
la source
Yup: courrier anonyme à seclists.org/fulldisclosure , il il il ...;)
Henrik
@Downvoter, des commentaires sur pourquoi?
Dominique McDonnell
0

En principe, je suis tout à fait d'accord avec ce que la plupart des gens ici disent: Intensifiez et signalez-le. Il existe un code d’honneur professionnel comme en mer: si un navire a des problèmes, vous aidez, peu importe à qui il appartient.

En lisant votre mise à jour, cependant, je déciderais probablement de ne pas le leur dire en raison du risque que l'action bien intentionnée soit mal prise (comme l'espionnage industriel, comme le dit @Uri), et aboutisse à des hostilités beaucoup plus dangereuses pour l'homme. votre boutique de trois hommes qu'ils ne seront jamais pour eux.

Peut-être laisser tomber une note anonyme; peut-être ne rien faire du tout. Si vous êtes David, vous n'avez pas à dire à Goliath qu'il a une abeille sur son dos.

Pekka
la source
-1

La nature, malgré ses durs côtés, a ses bonnes occasions. Et les agit sans réfléchir à deux fois.

Chien ne mange pas de chien. Plutôt, les gens ennuyés paient pour des combats de chiens illégaux. Et les avocats collectent l'argent. Y compris de votre patron. Plus que ce que vous voulez maintenant. Ils peuvent heureusement drainer les startups sans cligner des yeux.

Aussi très possible, quelqu'un chez "un concurrent" le sait déjà. Annoncer la nouvelle peut signifier plus de responsabilités que d'être un simple messager de passage. Est-ce mieux que de parler aux murs?

Secteur de la sécurité: de nombreux serveurs avec de gros trous sont en ligne. ce serveur est un autre. Travail à temps plein pour certains. Avez-vous vérifié vos propres trous? tous ?

Attention a la marche.

Les données clients constituent une obsession importante.

utilisateur17685
la source
2
D'accord, j'ai lu ce billet deux fois - et je ne sais toujours pas de quel côté du débat il est favorable ... :)
Cyclops
-1

Dis leur. Alors envoyez votre CV. Ils pourraient embaucher. :)

davidhaskins
la source
18
Je préférerais ne pas travailler pour des personnes qui écrivent un code si mauvais que 15 minutes d'inspection nous conduisent à la découverte d'une vulnérabilité sérieuse;)
user17610
@ user17610: OK, une variante ajustée: dites-leur et voyez s'ils y parviennent. S'ils ne le corrigent pas dans un délai raisonnable, n'envoyez pas votre CV à eux.
Sharptooth
-1

Dis leur! il est la bonne chose à faire. Aussi, que voudrait-il qu'ils fassent si vous étiez à leur place?

Vous ne pouvez pas accorder de valeur à la bonne volonté qui pourrait en découler.

KM01
la source