您还可以通过更多工作转储cc信息和订单ID号,然后简单地匹配订单ID和用户信息。 这都是通过在其网站上使用公开函数并修改几个值来实现的。是的我有点模糊是有原因的。
这家公司的营销总监3年前曾被警告过这些风险,并没有采取任何措施来纠正这些风险。我不怀疑我是否能找到其他人可以。该网站每年进行88,000笔交易,并且所有订单仍处理数据并且可访问。
所以道德问题......我该怎么办?我的公司不关心...所以我无法在那里得到帮助。如果我联系营销人员,他将继续掩盖他的屁股和那些无能的内部开发团队(冷聚变)的评估。我可以联系更高层的人吗?我去我的公司吗?我只是挖掘数据并将其卖给竞争对手减去cc信息吗?知道这件事我该怎么办?它唠叨着我,我不能放手。这只是我所知道的众多网站中的一个,但访问的便利性和高流量让我思考了很多。
答案 0 :(得分:7)
从常规客户的角度来看,我认为该公司的客户服务程度应该公之于众。他们真的不关心任何可能泄露客户私人数据的漏洞。所以,他们必须受到惩罚。但揭露这些漏洞不仅会损害它们,还会损害它们的客户。
如果您获得了安全审核的报酬,那么您有道德权利既不会公布您找到的信息,也不会以任何方式使用它。谁会相信安全专家揭示他几年后发现了什么?我认为你无能为力。
答案 1 :(得分:4)
在公司内找到合适的人选。
如果没有合适的人可以获得最高级别的观众,可以用一些简单的非技术性句子解释问题。
“现在,每个使用过这项服务信息的客户都会被一个知识渊博的人偷走。我把这种情况发生在明年的%50%。如果发生这种情况,诉讼费用为5百万,加班费用为1百万,声誉为1百万,未来客户/订单损失为100万“。
过去这对我有用,如果你这样做,你会尽力做正确的事。
答案 2 :(得分:3)
有两种思想流派:负责任的披露和充分的披露。但是,如果你在公司的时间(评估)上做到这一点,那么我认为你严格禁止公开披露。
答案 3 :(得分:2)
我会记录第一次这样的事件,如你的学习经历。您和客户(以及您的管理层)没有澄清您的责任范围。
我认为你真正的问题是“如何防止这种情况再次发生?”
答案 4 :(得分:1)
实际应用中,您已找到安全漏洞并发出警告。如果他们不想修复它们,那就是他们的业务。
营销总监可能不是处理这些信息的合适人选。您可以尝试使用您的外交技巧并联系高层管理人员。但不要责怪任何人。因为这会适得其反。
我不会向竞争对手出售任何东西,因为这肯定会给你带来很多麻烦。
答案 5 :(得分:0)
过去我遇到过similar scenario。虽然我偶然发现了这个漏洞而不是通过笔试或安全审核来获得报酬。
我很想在2年后没有采取任何行动的情况下向我们的州报,然后是完全披露的邮件列表(以及政府联系人)发布详细信息,但我认为这些数据风险太大而无法公开(可能)是恶意的人。
虽然很难做出选择。
答案 6 :(得分:0)
如果它是一个私人组织,并且您认为自己已经履行了与他们签订的合同条款,我会说您已尽力而为。
如果它是一个以任何方式获得公共资金的组织,我建议再给他们一次机会,然后再去(科技)报刊。