セキュリティの不開示に関する倫理的な問題[非公開]

3年前、大規模なeコマースWebサイトのセキュリティ監査を行いました。監査が実行されたときに、トランザクションの完了後にアクセスできないはずのデータへのアクセスを可能にするいくつかの重大なセキュリティ問題が見つかりました。このサイトには、いくつかの大きなリスクがあります。まず、システムを介してリアルタイムで注文が表示されます。すべてのトランザクションは、この会社によって手動で処理されます。取引を表示すると、名前、住所、配送先を確認できます。ここには2つの不正使用ポイントがあります。1-発送先の住所を編集して自分宛てに発送することができます。基本的なソーシャルエンジニアリングを使用したクレジットカード情報。

また、もう少し作業を行うと、CC情報と注文ID番号をダンプしてから、注文IDとユーザー情報を簡単に照合できます。

これはすべて、サイトで公開された関数を使用し、いくつかの値を変更することによって行われます。はい、理由があいまいです。

この会社のマーケティングディレクターは3年前にこれらのリスクについて警告を受け、それらを修正するために何もしていません。私はこれを見つけることができれば他の人ができることを疑いません。このサイトは年間88Kの取引を行っており、これまでに処理されたすべての注文がまだデータに含まれており、アクセス可能です。

だから倫理的な質問...私は何をしますか？私の会社は気にしない...だから私はそこで助けを得ることができません。マーケティング担当者に連絡した場合、彼は引き続き、自分のロバと彼らの無能な内部開発チームのロバ（冷たい融合）をカバーします。上にいる人に連絡しますか？会社を回るのですか？データをマイニングして、CC情報を除いた競合他社に販売するだけですか？これを知って何をしますか？しつこくて、手放せません。これは私が知っている多くのサイトの1つにすぎませんが、アクセスが簡単でトラフィックが多いため、この点について深く考える必要があります。

状況を解決するために英雄的な手段を講じることを提案する時期がありました。それ以来、私はよりよく学んだ-あなたは誰かが自分の最善の利益のために行動するように強制することはできません。そうすることは、あなたにとって好ましくない結果をもたらすことがあります。

考えてみてください...

• 監査報告書を通じて会社に通知しました
• 経営陣に知らせた

したがって、自宅のCEOに電話して、経営陣のエンドランを行い、CYAを行っている社内の人々があなたを悪役にする状況を作り出しました。CEOは、3年前に監査を行ったランダムコンサルタントよりも、無能なスタッフの話を聞きます。

私のアドバイス：ビールや好きなものを食べに行き、二度とウェブサイトにアクセスしないでください。

最初に-あなたはあなたが知っているものを売らない、それは確かに非倫理的であり、違法かもしれない:)

2番目のアドバイスは、Marketing Guyの上司、その会社のCEOまで行くことです。監査グループで働いている場合、企業が情報をどう扱うかは気にせず、そもそもサービスを販売しなければならないだけです。

それは本当にだ場合第三には、この大きなAの契約は、あなたがすることなく、匿名（または非匿名）サイトの不安に関するマーケティング/ボイコットキャンペーンを開始することができるかもしれ、実際にそれらを損ないます。

しかし、多くのシステム管理者に尋ねるよりも、評判の良い弁護士に相談する方が良いでしょう:)

あなたは監査を行うために雇われたので、あなたの義務はクライアントに彼らに監査の結果を知らせることです。彼らがそれですることは彼らのビジネスです。彼らはリスクと変化のコストを決定しました。あなたではない。彼らに大きなセキュリティ問題があり、召喚状を受け取った場合、監査結果について証言することができます（3年前）。それはあなたの義務に関する限りです。

お知らせがあります。大多数の企業は、何らかのレベルで安全でない方法で顧客データを処理しています。すべての顧客データに完全にアクセスできるDBAは何人ですか？Oracle Vaultを実行している企業はほとんどありません。

「データをマイニングし、CC情報を差し引いて競合他社に販売するだけですか？」

刑務所に行きたい場合のみ。

何かを開示すると、本当に薄い氷の上にいる可能性があります。そのために実際のトラブルに巻き込まれる可能性があります。

ペンテストが契約されている場合、企業間で厳格な契約が結ばれている理由があります。ペンテスト会社は、彼らが得ることができるすべての保護を必要とします。すべきではない情報を開示すると、訴えられたり起訴されたりします。

マーケティング担当者の上司に行くとしましょう。上司はマーケティング担当者を固定します。マーケティング担当者は彼のお尻をカバーし始めます。彼は、あなたがこの情報を手に入れるために、あなたが何か違法な、または同様のことをしたに違いないと上司を説得するかもしれません。あなたが最終的に勝つ場合でも、あなたは長い間法廷にいる可能性があります。

彼らが最初のアプローチで真剣に受け止めたくない場合、彼らに真剣に受け止めるように圧力をかけることは、おそらくあなたをトラブルに巻き込むでしょう。

あなたのためにそれをドロップします。

編集：さらに、セキュリティ監査の元の契約にあなただけが通知できる特定の人が含まれている場合、契約に含まれていない同じ会社の他の人に通知すると、トラブルが発生する可能性があります。

私が見る限り、あなたはあなたの仕事をしました。監査を実行し、結果を権限のある関係者に渡しました。私のアドバイスは、それから離れることです。あなたが本当にできることはこれ以上ありません。もちろん、ジレンマは、罪のない顧客が進行中のセキュリティの弱点にさらされる可能性があるということですが、それは本当にあなたの問題ではありませんか？あなたの仕事の任務を超えて、あなたはそれのいかなる部分に対しても責任を取ることはできません。

あなたは確かにこの情報を漏らさないし、あなたは確かにそれを部外者に売らない。

ここに私が理解できない何かがあります... 3年前？3年前に監査を行った場合、どうしてこれがまだ考えられているのでしょうか？あなたはそれについて悪いと感じていますか、または安全でない会社はまだあなたの会社にセキュリティ/監査サービスを請け負っていますか？

これは重要な質問です。もしあなたがこの会社と3年間ビジネスをしていないなら、私の明確なアドバイスはすぐそこにあるからです。3年後に再び現れて批判を始めると、非常に奇妙に思えます。3年前なら、当時はチャンスがありましたが、それは受けませんでした。さあ、歩きましょう。

あなたの会社がまだ安全でない会社とビジネスをしているなら、私はあなたの上司に強力な武器を与えて一緒に手紙を送ることを提案します。あなたの上司はこれを楽しみません。しかし、あなたからの手紙のほうがあなた自身からではなくあなたの会社から来た方がはるかに良いです。マーケティングマネージャーの上司（CEO）に宅配便で送信します。それを丁寧に保ち、曖昧に保ち、主にあなた自身の会社をカバーします**。そして、あなたが彼の頭を越えることを余儀なくされたと認められた業界基準をはるかに超えているマーケティングマネージャーのセキュリティ決定を暗示します。あなたの目的はすべてを伝えることではなく、あなたの会社をカバーすること**であり、他のCEOにあなたの元の報告書のコピーを要求するのに十分にガタガタさせることです。

マーケティングマネージャーの頭を越えることは、私がどんな方法でもお勧めできる最も強い動きです。そして、それは本当に非常に強く、望ましくありません。ある側面について専門家の意見を述べるために雇われました。彼らのビジネスを実行しないでください。

やや悲しいサイトのメモ：非倫理的または単なる無能なビジネスマンを見るのは珍しいことではありません。時には、これらは調査結果を使用する意図なしにセキュリティ監査人を雇うかもしれません。よく知られているセキュリティ会社Xによって監査されたとだけ言うつもりで、これはもちろん悲しくて不快です-しかし、それは現実的であり、セキュリティ監査で働きたいならそれに慣れる必要があります。

一方、クライアントにリスクを十分に通知しなかったことに対する責任を考慮する必要があります。あなたの会社がどのような種類のエラーや脱落を扱っているかを考慮する必要があります。あなたはあなたの会社は気にしないと言いますが、もし彼らが顧客によって訴えられ、彼らの顧客の1人が彼らに対して訴訟を起こしたなら、それは皆の注意を引くでしょう。

3年前にあなたは仕事をしました。そのジョブのパフォーマンスで必要なすべてのステップを実行した場合、ジョブは完了です。終わった。終わった。

私はあなたがなぜこれについて何かをするために3年持っていたのか理解していないのか深刻な問題を抱えています。あなたは倫理的な問題を抱えているように、これは私には聞こえません。実際、情報を販売する可能性についてのあなたの言及は、まったく異なる動機を持っている可能性があることを示唆しています。少なくとも、あなたの立場は非常に疑わしいと思います。

これまで何もしなかったので、なんらかのアクションを開始した場合、法的措置にさらされる可能性があります。法律は場所によって異なりますが、私がいる場所では、誰かがあなたが説明したメカニズムを介してデータ盗難の犠牲になり、あなたが今行動を起こすようになった場合、実際にはあなたは以前の不作為を通じて知っている参加者です。個人的に安全な唯一の方法は、それを落とすことです。

「セキュリティ監査」のビジネスをしている場合、情報をマイニングして販売することは問題外です。地獄、あなたがその質問をすることさえあるという事実は、私にあなたの倫理について疑問を抱かせ、あなたが私のセキュリティチームにふさわしいかどうか確かに私に質問させます。

それを言って、あなたはあなたの仕事をしました。セキュリティ監査を行うために雇われました。会社は調査結果を書面で認識しましたか？他の人が言ったように、セキュリティの抜け穴を塞ぐことを会社に強制することはできません。倫理的な問題は、この監査から学び、先に進むことです。

あなたが仕事をきちんとすることを心配しているなら、あなたは仕事をしました。誰もあなたの推奨事項に基づいて行動しないからといって、あなたに反映されません。

ただし、顧客がIDやクレジットカードの盗難の被害者であることに正当な懸念がある場合は、FTCの苦情部門に連絡することをお勧めします。（あなたが米国にいると仮定します。そうでない場合、あなたの国にはおそらく同様の政府部門があります。）

私は倫理学で数学期を過ごしてきましたが、それは本当に難しい質問です。

ここで「何をすべきか」という答えを求めても、「正しい」答えが得られることはありません。得られるのは、問題に対するあなたの個人的な気持ちを強化するか、反対する答えだけです。

また、ここで得られるすべての答えは、人々の過去の行動や決定、住んでいる場所、育った場所、地元の法律や慣習に強く影響されます。ですから、あなたがあなたと同じ状況にいたとしても、彼らの経験はまったく違うかもしれません。

短い答えは：あなたは何をする必要がありますあなたが正しいと信じています。明らかに、不作為は正しいことではないと信じています。そうしなかったら、これを尋ねることはないでしょう。

私は、個人的には、「ドロップ」または「あなたは仕事をやった」と言うすべての人に同意しません。これは、ServerFaultで倫理が確立されるたびに一般的な意見のようです。そして、それは間違った答えではなく、ただ私の答えではありません。