Que faire si vous trouvez une vulnérabilité sur le site d'un concurrent?

Lorsque je travaillais sur un projet pour mon entreprise, je devais créer une fonctionnalité permettant aux utilisateurs d'importer / d'exporter des données vers / depuis le site de nos concurrents. Ce faisant, j'ai découvert un très grave exploit de sécurité qui pourrait, en bref, exécuter n'importe quel script sur le site Web du concurrent.

Mon sentiment naturel est de leur signaler le problème dans un esprit de bonne volonté. Il m’a été question d’exploiter la question pour en tirer avantage, mais je ne veux pas suivre cette voie.

Ma question est donc la suivante: signaleriez-vous une vulnérabilité sérieuse à votre concurrence directe afin de les aider? Ou voudriez-vous garder votre bouche fermée? Y a-t-il une meilleure façon de s'y prendre, peut-être pour tirer au moins un avantage du fait que je les aide en rapportant le problème?

Mise à jour (clarification) :

Merci pour tous vos commentaires jusqu'à présent, je l'apprécie. Vos réponses changeraient-elles si je devais ajouter que la concurrence en question est un géant sur le marché (des centaines d’employés sur plusieurs continents) et que mon entreprise a démarré il ya quelques semaines à peine (trois employés)? Cela va sans dire, ils ne se souviendront certainement pas de nous, et s’ils réalisent que leur site a besoin de travail (c’est pourquoi nous sommes entrés sur ce marché en premier lieu).

Cela pourrait être un de ces affrontements moraux ou commerciaux, mais j'apprécie tous les conseils.

Bien que j'aimerais vivre dans un monde où il serait parfaitement prudent de leur laisser un mot pour le leur faire savoir, je suggérerais de faire intervenir votre service juridique en premier. De manière réaliste, il est tout à fait possible que, même si votre rapport de bogue est bien intentionné, un membre de l'organisation du concurrent l'interprétera comme "notre concurrent vient de payer un de ses employés pour pirater notre site". Cette perception pourrait créer des problèmes juridiques ou de relations publiques pour vous et votre entreprise. Le fait d’impliquer votre service juridique dans la notification devrait aider à protéger tout le monde de l’apparence d’une irrégularité. Bien sûr, cela crée la possibilité que le service juridique conclue que notifier le concurrent crée un risque juridique inacceptable et vous dit simplement de rester assis sur les informations. Mais ça'

Cela va paraître horrible (au moins par rapport à la plupart des réponses ici), mais voici mes 2 centimes:

Pourquoi devriez-vous faire quelque chose à ce sujet?

D'abord, ils ont déjà des employés qui devraient faire ce genre de travail (trouver des problèmes et les résoudre).

Deuxièmement, la façon dont vous avez formulé votre question donne l’impression que c’est une sorte de dilemme moral. Ce n'est pas. Vous n'avez rien fait pour causer ce problème en premier lieu.

Troisièmement, vous leur faites concurrence. Vous devez vous efforcer de faire de ** VOTRE produit le meilleur qui existe, pas le leur.

Si vous avez encore des doutes, revenez au point 2 et relisez-le.

Il y a une ligne de démarcation entre l'exploration des vulnérabilités et l'espionnage industriel, et puisque vous êtes affilié à votre employeur, le concurrent peut le considérer comme ce dernier.

Si vous le signalez et qu'il y a un cauchemar juridique / relations publiques, vous serez le bouc émissaire.

Parlez à votre service juridique et laissez-les gérer comme bon leur semble - il y a une raison pour laquelle ils gagnent bien plus que des ingénieurs.

Un moyen alternatif, pas encore suggéré par AFAICS, de transmettre les informations à votre concurrent sans risque pour votre propre entreprise est d'informer l'une des différentes sociétés signalant les vulnérabilités de la vulnérabilité - et de leur demander de la signaler à votre concurrent. Ils (la société qui signale les vulnérabilités) garderaient votre nom en dehors du rapport - vous seriez anonyme pour votre concurrent. Une de ces sociétés est la Zero Day Initiative , ZDI - il en existe plusieurs autres.

Diffusez-le dans les médias, anonymement bien sûr, puis proposez une migration rapide aux clients du concurrent. Cela peut sembler un coup bas, mais considérez ceci, il n’ya rien d’illégal ou d’ethique dans ce que vous faites, considérez plus loin que c’est un monde de chiens dévorés en SW et que David va contre Goliath, vous aurez besoin de tout l’effet de levier. N'oubliez pas que ce n'est pas personnel, c'est strictement professionnel . Ils feraient la même chose pour vous dans un battement de coeur.

(FWIW, je m'attends à ce que cette réponse soit votée à la baisse, mais ce n'est pas grave, car ce que je dis est la vérité, même si elle est dure.)

Que voudriez-vous qu'ils fassent s'ils découvrent une faille de sécurité dans votre logiciel? Ce devrait être la première question que vous posez. Si la réponse est "Je l'apprécierais vraiment s'ils me le disaient", alors vous avez votre réponse!

Peu importe qu’il s’agisse d’une société géante ou d’un magasin à trois personnes, et que vous soyez un magasin à trois personnes ou une société géante. Comme on l’a dit, votre réputation est primordiale, en particulier dans cette petite communauté appelée logiciel.

Si vous importez / exportez des données entre leurs systèmes et les vôtres, leur vulnérabilité en matière de sécurité pourrait facilement devenir votre vulnérabilité en matière de sécurité.

Vous voudrez couvrir vos fesses technologiquement et légalement. Assurez-vous que tout soit réparé, mais assurez-vous que votre service juridique a le pouvoir de le notifier.

Évidemment, laissez-les savoir.

Si "ne tenez pas à cœur", ne considérez pas que vous implémentez cette fonctionnalité comme un avantage pour vos propres clients. Vous protégez indirectement leurs données en signalant ce bogue.

Il n'y a qu'un seul choix honorable. Dis leur.

Personnellement je leur dirais.

D'autres personnes ont signalé les éventuels problèmes de relations publiques / juridiques, et si après avoir parlé à un agent hiérarchique ou à un agent de relations publiques, il vous est conseillé de ne pas le signaler, je vous le signalerais de manière anonyme.

Cela rend service à vos clients potentiels en aidant à protéger leurs données.

En principe, je suis tout à fait d'accord avec ce que la plupart des gens ici disent: Intensifiez et signalez-le. Il existe un code d’honneur professionnel comme en mer: si un navire a des problèmes, vous aidez, peu importe à qui il appartient.

En lisant votre mise à jour, cependant, je déciderais probablement de ne pas le leur dire en raison du risque que l'action bien intentionnée soit mal prise (comme l'espionnage industriel, comme le dit @Uri), et aboutisse à des hostilités beaucoup plus dangereuses pour l'homme. votre boutique de trois hommes qu'ils ne seront jamais pour eux.

Peut-être laisser tomber une note anonyme; peut-être ne rien faire du tout. Si vous êtes David, vous n'avez pas à dire à Goliath qu'il a une abeille sur son dos.

La nature, malgré ses durs côtés, a ses bonnes occasions. Et les agit sans réfléchir à deux fois.

Chien ne mange pas de chien. Plutôt, les gens ennuyés paient pour des combats de chiens illégaux. Et les avocats collectent l'argent. Y compris de votre patron. Plus que ce que vous voulez maintenant. Ils peuvent heureusement drainer les startups sans cligner des yeux.

Aussi très possible, quelqu'un chez "un concurrent" le sait déjà. Annoncer la nouvelle peut signifier plus de responsabilités que d'être un simple messager de passage. Est-ce mieux que de parler aux murs?

Secteur de la sécurité: de nombreux serveurs avec de gros trous sont en ligne. ce serveur est un autre. Travail à temps plein pour certains. Avez-vous vérifié vos propres trous? tous ?

Attention a la marche.

Les données clients constituent une obsession importante.

Dis leur. Alors envoyez votre CV. Ils pourraient embaucher. :)

Dis leur! il est la bonne chose à faire. Aussi, que voudrait-il qu'ils fassent si vous étiez à leur place?

Vous ne pouvez pas accorder de valeur à la bonne volonté qui pourrait en découler.