安全道德保密

时间:2009-09-29 06:42:04

标签: security

3年前,我为一家大型电子商务网站进行了安全审核。在进行审计时,我发现了几个严重的安全问题,这些问题允许访问在事务完成后无法访问的数据。在这个网站上有几个主要的风险。首先,您可以看到实时通过系统的订单;所有交易均由该公司手动处理。如果您查看交易,则可以看到姓名,地址和送货目的地。我在这里看到2个滥用点,1 - 您可以简单地编辑发货地址并将货物发送给您自己,2 - 您可以在下订单时调用用户并执行“电话确认”以获取访问权限与基本社会工程的cc信息。

您还可以通过更多工作转储cc信息和订单ID号,然后简单地匹配订单ID和用户信息。 这都是通过在其网站上使用公开函数并修改几个值来实现的。是的我有点模糊是有原因的。

这家公司的营销总监3年前曾被警告过这些风险,并没有采取任何措施来纠正这些风险。我不怀疑我是否能找到其他人可以。该网站每年进行88,000笔交易,并且所有订单仍处理数据并且可访问。

所以道德问题......我该怎么办?我的公司不关心...所以我无法在那里得到帮助。如果我联系营销人员,他将继续掩盖他的屁股和那些无能的内部开发团队(冷聚变)的评估。我可以联系更高层的人吗?我去我的公司吗?我只是挖掘数据并将其卖给竞争对手减去cc信息吗?知道这件事我该怎么办?它唠叨着我,我不能放手。这只是我所知道的众多网站中的一个,但访问的便利性和高流量让我思考了很多。

7 个答案:

答案 0 :(得分:7)

从常规客户的角度来看,我认为该公司的客户服务程度应该公之于众。他们真的不关心任何可能泄露客户私人数据的漏洞。所以,他们必须受到惩罚。但揭露这些漏洞不仅会损害它们,还会损害它们的客户。

如果您获得了安全审核的报酬,那么您有道德权利既不会公布您找到的信息,也不会以任何方式使用它。谁会相信安全专家揭示他几年后发现了什么?我认为你无能为力。

答案 1 :(得分:4)

在公司内找到合适的人选。

如果没有合适的人可以获得最高级别的观众,可以用一些简单的非技术性句子解释问题。

“现在,每个使用过这项服务信息的客户都会被一个知识渊博的人偷走。我把这种情况发生在明年的%50%。如果发生这种情况,诉讼费用为5百万,加班费用为1百万,声誉为1百万,未来客户/订单损失为100万“。

过去这对我有用,如果你这样做,你会尽力做正确的事。

答案 2 :(得分:3)

有两种思想流派:负责任的披露和充分的披露。但是,如果你在公司的时间(评估)上做到这一点,那么我认为你严格禁止公开披露。

答案 3 :(得分:2)

我会记录第一次这样的事件,如你的学习经历。您和客户(以及您的管理层)没有澄清您的责任范围。

我认为你真正的问题是“如何防止这种情况再次发生?”

答案 4 :(得分:1)

实际应用中,您已找到安全漏洞并发出警告。如果他们不想修复它们,那就是他们的业务。

营销总监可能不是处理这些信息的合适人选。您可以尝试使用您的外交技巧并联系高层管理人员。但不要责怪任何人。因为这会适得其反。

我不会向竞争对手出售任何东西,因为这肯定会给你带来很多麻烦。

答案 5 :(得分:0)

过去我遇到过similar scenario。虽然我偶然发现了这个漏洞而不是通过笔试或安全审核来获得报酬。

我很想在2年后没有采取任何行动的情况下向我们的州报,然后是完全披露的邮件列表(以及政府联系人)发布详细信息,但我认为这些数据风险太大而无法公开(可能)是恶意的人。

虽然很难做出选择。

答案 6 :(得分:0)

如果它是一个私人组织,并且您认为自己已经履行了与他们签订的合同条款,我会说您已尽力而为。

如果它是一个以任何方式获得公共资金的组织,我建议再给他们一次机会,然后再去(科技)报刊。