Problème éthique concernant la non-divulgation de la sécurité [clôturé]

Il y a trois ans, j'ai fait un audit de sécurité pour un grand site de commerce électronique. Lorsque l'audit a été effectué, j'ai trouvé plusieurs problèmes de sécurité graves qui permettent l'accès à des données qui ne devraient pas être accessibles une fois la transaction terminée. Sur ce site, il existe plusieurs risques majeurs. Tout d'abord, vous pouvez voir les commandes passer par le système en temps réel; toutes les transactions sont traitées manuellement par cette société. Si vous affichez une transaction, vous pouvez voir le nom, l'adresse et la destination d'expédition. Je vois deux points d'abus ici, 1 - vous pouvez simplement modifier l'adresse du navire et envoyer l'envoi à vous-même, et 2 - vous pouvez appeler l'utilisateur directement lors de la commande et faire une "confirmation téléphonique" pour y accéder simplement aux informations de carte de crédit avec l'ingénierie sociale de base.

Vous pouvez également, avec un peu plus de travail, vider les informations CC et les numéros d'ID de commande, puis simplement faire correspondre l'ID de commande et les informations utilisateur.

Tout cela en utilisant des fonctions exposées sur leur site et en modifiant quelques valeurs. Oui, je suis vague pour une raison.

Le directeur marketing de cette entreprise a été prévenu de ces risques il y a trois ans et n'a rien fait pour les corriger. Je ne doute pas que si je trouve cela, les autres le peuvent. Ce site effectue 88 000 transactions par an et toutes les commandes sont toujours traitées en données et accessibles.

Alors la question éthique… que dois-je faire? Mon entreprise s'en fiche… donc je ne peux pas obtenir d'aide là-bas. Si je contacte le marketing, il continuera juste à couvrir son cul et les culs de leur équipe de développement interne incompétente (fusion froide). Dois-je contacter quelqu'un plus haut? Dois-je faire le tour de mon entreprise? Dois-je simplement extraire les données et les vendre à un concurrent moins les informations CC? Que dois-je faire en sachant cela? Ça me harcèle et je ne peux pas le laisser partir. Ce n'est qu'un des nombreux sites que je connais, mais la facilité d'accès et le trafic élevé me font beaucoup réfléchir.

Il fut un temps où je suggérerais de prendre des mesures héroïques pour résoudre la situation. Depuis, j'ai mieux appris - vous ne pouvez pas forcer quelqu'un à agir dans son propre intérêt. Le faire souvent a des conséquences imprévues pour vous qui sont susceptibles d'être désagréables.

Pensez-y ... vous avez

• Informé l'entreprise via votre rapport d'audit
• Informé votre direction

Donc, si vous allez appeler le PDG à la maison, vous avez maintenant fait le tour de votre gestion et créé une situation où les gens internes qui font la chose CYA vont faire de vous le méchant. Le PDG écoutera son personnel incompétent plus qu'un consultant aléatoire qui a fait un audit il y a 3 ans.

Mon conseil: allez prendre une bière ou tout ce que vous aimez faire et ne revenez plus jamais sur le site.

Tout d'abord - vous ne vendez pas ce que vous savez, c'est certainement contraire à l'éthique et peut être illégal :)

Mon deuxième conseil serait d'aller voir le patron de Marketing Guy, jusqu'au PDG de cette entreprise. Si vous travaillez pour un groupe d'audit, ils ne se soucient pas de ce que fait une entreprise avec les informations, juste qu'ils doivent vendre le service en premier lieu.

Troisièmement, si c'est vraiment ce gros problème, vous pouvez être en mesure de lancer un marketing / campagne boycottant anonyme (ou non anonyme) en ce qui concerne l'insécurité du site, sans réellement les compromettre.

Mais mieux que de demander à un groupe d'administrateurs système serait de parler à un avocat réputé :)

Vous avez été embauché pour effectuer un audit, votre devoir est donc envers le client de l'informer des résultats de l'audit. Ce qu'ils en font, c'est leur affaire. Ils ont décidé des risques par rapport au coût du changement. Pas toi. S'ils ont un énorme problème de sécurité et que vous obtenez une assignation, vous pouvez témoigner des résultats de l'audit (il y a 3 ans). C'est tout pour vos obligations.

J'ai des nouvelles pour toi. La grande majorité des entreprises gèrent les données clients de manière non sécurisée, à un niveau ou à un autre. Combien de DBA ont un accès complet à toutes les données clients? Très peu d'entreprises utilisent Oracle Vault.

"Dois-je simplement extraire les données et les vendre à un concurrent sans les informations CC?"

Seulement si tu veux aller en prison.

Vous pouvez être sur de la glace très mince si vous divulguez quelque chose. Vous pourriez avoir de vrais ennuis pour cela.

Il existe une raison pour laquelle les entreprises ont des accords rigoureux entre elles lors de la sous-traitance. L'entreprise pentestante a besoin de toute la protection qu'elle peut obtenir. La divulgation d'informations que vous ne devriez pas peut et pourra vous faire poursuivre ou poursuivre.

Disons que vous allez au patron du marketing. Le patron sévit contre le marketing. Le gars du marketing commence à couvrir son cul. Il peut persuader le patron que pour que vous ayez ces informations, vous devez avoir fait quelque chose d'illégal ou similaire. Même si vous finirez par gagner, vous pourriez être en cour pendant longtemps.

S'ils ne veulent pas le prendre au sérieux à la première approche, les obliger à le prendre au sérieux vous causera très probablement des ennuis.

Pour ton bien, laisse tomber.

EDIT: En outre, si l'accord initial pour l'audit de sécurité comprend des personnes spécifiques que vous seul pouvez informer, informer d'autres personnes de la même entreprise, non incluses dans l'accord, pourrait vous causer des ennuis.

Pour autant que je le vois, vous avez fait votre travail. Vous avez effectué l'audit et transmis les résultats à la personne compétente. Mon conseil est de simplement reculer, il n'y a rien de plus que vous puissiez vraiment faire. Bien sûr, le dilemme est que des clients innocents pourraient être exposés aux failles de sécurité en cours, mais ce n'est pas vraiment votre problème, n'est-ce pas? Vous ne pouvez pas prendre la responsabilité d'une partie de celle-ci au-delà de la mission de votre travail.

Vous ne divulguez certainement pas ces informations et vous ne les vendez certainement pas à des étrangers.

Il y a quelque chose ici que je ne comprends pas ... il y a trois ans?Si vous avez fait un audit il y a 3 ans, comment se fait-il que cela vous tienne encore à l'esprit? Vous sentez-vous si mal à ce sujet, ou l'entreprise précaire embauche-t-elle toujours votre entreprise pour des services de sécurité / d'audit?

C'est une question importante, car si vous n'avez pas eu d'affaires avec cette entreprise depuis 3 ans maintenant, alors mon conseil clair est de s'en aller. Il semblerait très étrange que vous réapparaissiez après 3 ans et que vous commenciez à critiquer. Si c'était il y a 3 ans, alors vous aviez votre chance à l'époque, et vous ne l'avez pas prise. Maintenant, va-t'en.

Si votre entreprise fait toujours affaire avec la société précaire , je proposerais d'armer votre propre patron pour lui envoyer une lettre ensemble. Votre patron n'appréciera pas cela; mais pour vous, c'est beaucoup mieux si la lettre vient de votre entreprise plutôt que de vous-même. Envoyez-le avec courrier au chef des directeurs marketing (PDG). Restez poli, vague et couvrant la plupart du temps votre propre entreprise, et faites allusion au fait que les décisions de sécurité des directeurs marketing sont si éloignées des normes acceptées de l'industrie que vous vous sentiez obligé d'aller au-delà de sa tête. Votre objectif n'est pas de tout dire, votre objectif est de couvrir votre propre entreprise a **, et d'obtenir l'autre PDG assez secoué pour demander une copie de votre rapport original.

Dépasser la tête des directeurs marketing est la décision la plus forte je puisse recommander. Et c'est vraiment assez fort et indésirable. Vous avez été engagé pour fournir un avis d'expert sur un aspect; de ne pas gérer leur entreprise.

Sur un site un peu triste, il n'est pas rare de voir des gens d'affaires contraires à l'éthique ou tout simplement incompétents. Parfois, ceux-ci peuvent embaucher des auditeurs de sécurité sans avoir l'intention d'utiliser les résultats; avec l'intention de dire seulement qu'ils ont été audités par une société de sécurité bien connue X. C'est bien sûr triste et offensant - mais c'est réel, et vous devrez vous y habituer si vous voulez travailler dans l'audit de sécurité.

En revanche, vous devez considérer votre responsabilité en cas de non-information adéquate du client sur les risques. Vous devez considérer quel type de couverture Erreurs et Omissions votre entreprise propose. Vous dites que votre entreprise s'en fiche, mais je parie que s'ils sont poursuivis par le client, suite à un procès contre eux par l'un de leurs clients, cela attirerait l'attention de tous.

Il y a 3 ans, vous avez fait un travail pour lequel vous étiez probablement payé. Si vous avez pris toutes les mesures requises pour l'exécution de ce travail, votre travail est terminé. Plus de. Fini.

J'ai de la difficulté à comprendre pourquoi vous avez eu 3 ans pour faire quelque chose et que vous ne l'avez pas fait. Cela ne me semble pas comme si vous rencontriez des problèmes éthiques. En fait, votre simple mention de vendre éventuellement les informations me donne à penser que vous pouvez très bien avoir des motivations très différentes. À tout le moins, je trouve votre position très discutable.

Comme vous n'avez rien fait jusqu'à présent, si vous commencez à prendre n'importe quelle action, vous risquez de vous exposer à une éventuelle action en justice. Les lois varient d'un endroit à l'autre, mais là où je suis, si quelqu'un a été victime de vol de données par le biais des mécanismes que vous avez décrits et que vous n'agissez que maintenant, vous êtes en fait un participant connaissant grâce à votre inaction précédente. Le seul cours sûr pour vous personnellement est de l'abandonner.

Si vous êtes dans le domaine des "audits de sécurité", il est hors de question d'explorer les informations et de les vendre. Enfer, le fait que vous posiez même cette question me fait me poser des questions sur votre éthique et me ferait certainement savoir si vous auriez raison pour mon équipe de sécurité.

Cela dit, vous avez fait votre travail. Vous avez été embauché pour faire un audit de sécurité et vous l'avez fait. L'entreprise a-t-elle été informée des conclusions par écrit? Comme d'autres l'ont dit, vous ne pouvez pas forcer une entreprise à fermer les failles de sécurité. La question éthique est d'apprendre de cet audit et de passer à autre chose.

Si vous vous souciez de faire votre travail correctement, vous avez fait votre travail. Ce n'est pas parce que personne n'agit sur vos recommandations que vous réfléchissez.

Cependant, si vous êtes légitimement préoccupé par le fait que leurs clients soient victimes d'identité ou de vol de carte de crédit, je dirais de contacter le service des plaintes de la FTC . (En supposant que vous êtes aux États-Unis. Sinon, votre pays a probablement un ministère similaire.)

J'ai fait quelques semestres en éthique, et c'est vraiment une question difficile, difficile.

Demander ici une réponse «Que dois-je faire» ne vous donnera jamais une réponse «correcte», tout ce que vous obtiendrez sera des réponses qui renforcent ou vont à l'encontre de vos sentiments personnels sur la question.

De plus, toutes les réponses que vous obtiendrez ici seront fortement influencées par les actions ou décisions passées des peuples, où ils vivent, où ils ont grandi, leurs lois et coutumes locales. Donc, même s'ils ont été dans la même situation que vous, leur expérience pourrait bien être complètement différente.

La réponse courte est: vous devez faire ce que VOUS croyez être juste. De toute évidence, vous pensez que l'inaction n'est pas la bonne chose à faire. Sinon, vous ne poseriez pas cette question.

Personnellement, je ne suis pas d'accord avec tous ceux qui disent "laissez tomber" ou "vous avez fait votre travail". Cela semble être une opinion populaire chaque fois que l'éthique est apparue sur ServerFault. Et ce n'est pas une mauvaise réponse, ce n'est tout simplement pas ma réponse.