競合他社のサイトに脆弱性が見つかった場合はどうすればよいですか？

私の会社のプロジェクトに取り組んでいる間、ユーザーが競合他社のサイトとの間でデータをインポート/エクスポートできる機能を構築する必要がありました。これを行っている最中に、要するに、競合他社のWebサイトでスクリプトを実行できる非常に深刻なセキュリティ上の悪用を発見しました。

私の自然な気持ちは、善意の精神で彼らに問題を報告することです。利益を得るために問題を利用することは私の心を越えましたが、私はその道をたどりたくありません。

それで、私の質問は、彼らを助けるためにあなたの直接の競争に深刻な脆弱性を報告しますか？または、口を閉じたままにしますか？おそらく、私が問題を報告することで彼らを助けているという事実から少なくともいくつかの利点を得るために、これについてより良い方法がありますか？

更新（明確化）：

これまでのすべてのフィードバックに感謝します。感謝します。問題の競争が市場の巨大なもの（複数の大陸の数百人の従業員）であり、私の会社がほんの数週間前（3人の従業員）に始まったと付け加えれば、あなたの答えは変わりますか？言うまでもなく、彼らは間違いなく私たちを覚えていないでしょうし、もしあれば、彼らのサイトが仕事を必要としていることに気づくだけです（それが私たちが最初にこの市場に参入した理由です）。

これは、道徳的対ビジネス的なやり取りの1つかもしれませんが、すべてのアドバイスに感謝しています。

彼らに知らせるためにメモを落とすだけで完全に安全な世界に住みたいと思っていますが、まずあなたの法務部を巻き込むことをお勧めします。現実的には、あなたのバグレポートがどのように意図されていても、競合組織の誰かがそれを「当社のサイトをハッキングするために従業員の1人に支払った」と解釈する可能性があります。その認識は、あなたとあなたの会社の両方に法的またはPRの問題を引き起こす可能性があります。通知に法務部を含めることは、不正の出現から全員を保護するのに役立つはずです。もちろん、それは法務部が競合他社に通知することは容認できない法的リスクを生むと結論付け、情報に座るだけでよいと言う可能性を生み出します。でもそれは'

これはひどく聞こえます（少なくともここのほとんどの答えと比較して）が、ここに私の2セントがあります：

なぜあなたはそれについて何をすべきなのですか？

まず第一に、彼らはすでにそのような仕事をするべきである従業員を抱えています（問題を見つけて、それらを修正します）。

第二に、質問を形成した方法は、これが何らかの道徳的ジレンマであるかのように聞こえます。そうではありません。あなたはそもそもその問題を引き起こすために何もしませんでした。

第三に、あなたは彼らと競争しています。あなたは**あなたの製品を彼らの製品ではなく最高のものにすることに集中すべきです。

まだ疑問がある場合は、私のポイント2に戻って読み直してください。

脆弱性の調査と産業スパイの間に細い線があり、あなたはあなたの雇用主と提携しているので、競争相手はそれを後者とみなすことができます。

あなたがそれを報告し、法的/ PRの悪夢がある場合、あなたはスケープゴートになります。

法務部門に相談し、彼らが適切と思うように処理させてください-エンジニアよりも道を開く理由があります。

自社にリスクを与えずに競合他社に情報を提供する、まだ推奨されていない代替メカニズムは、さまざまな脆弱性報告会社の1つに脆弱性を知らせ、競合他社に報告するよう依頼することです。彼ら（脆弱性報告会社）はあなたの名前を報告から除外します-あなたはあなたの競争相手に匿名になるでしょう。そのような会社の1つが、ZDI ゼロイニシアチブ、ZDIです。他にも多くの会社があります。

もちろん匿名でメディアに漏えいさせてから、競合他社の顧客に迅速に移行を提供します。これは低打撃のように思えるかもしれませんが、これを考慮してください、あなたがしていることについて違法または非倫理的なことはありません。さらに、それが南西の犬を食べる犬の世界であり、デビッドがゴリアテに反対するとき、あなたはすべてのてこ比を必要とするでしょう。覚えておいてください、それは個人的なものではなく、厳密にビジネスです。彼らはハートビートであなたに同じことをします。

（FWIWこの回答が投票されると完全に期待していますが、それは問題ではありませんが、私が言っているのは真実であるにもかかわらずです。）

ソフトウェアにセキュリティ上の脆弱性が見つかった場合、彼らに何をしてほしいですか？それが最初の質問です。答えが「彼らが私に言ったら本当に感謝します」であるなら、あなたはあなたの答えを持っています！

彼らが巨大な会社であろうと3人の店であろうと、あなたが3人の店であろうと巨大な会社であろうと問題ではありません。すでに述べたように、特にソフトウェアとして知られるこの小さなコミュニティでは、あなたの評判がすべてです。

あなたは自分のシステムと独自の間でデータをインポート/エクスポートしている場合は、そのセキュリティ上の脆弱性が簡単になる可能性があなたのセキュリティ上の脆弱性。

技術的かつ合法的にお尻をカバーしたいと思うでしょう。それが修正されることを確認しますが、あなたの法務部がそれらに通知する手を持っていることを確認してください。

明らかに、彼らに知らせてください。

「あなたの心の良さ」が十分な理由ではない場合、この機能をあなた自身の顧客の利益として実装していると考えてください。このバグを報告することにより、間接的にデータを保護しています。

名誉ある選択肢は1つだけです。それらを教えてください。

個人的に私は彼らに言います。

他の人々がPR /法的問題の可能性を指摘しており、レイヤーまたはPRエージェントと話した後、それを報告しないようにアドバイスされた場合、私はまだそれを報告しますが、匿名で。

データの保護を支援することで、潜在的な顧客に好意的なサービスを提供しています。

原則として、私はここで言うほとんどのことに同意します：それをステップアップして報告してください。海上でのようなプロフェッショナルな名誉の規範があります。船が問題を抱えている場合、誰が属しているかに関係なく、あなたは助けます。

しかし、あなたの更新を読んで、私はおそらく、@ Uriが言うように産業スパイとして間違った方法で行われる可能性があり、より危険な敵対行為につながるリスクがあるため、彼らに伝えることを決定します彼らがこれまでにないほどあなたの3人の店。

匿名のメモをドロップするかもしれません。多分何もしません あなたがデビッドなら、ゴリアテに背中に座っている蜂があることを告げる必要はありません。

自然には、その厳しい側面にもかかわらず、そのような機会があります。そして、二度考えずにそれらを演じます。

犬は犬を食べません。むしろ、退屈な人々は不法な犬の戦いの代価を払う。そして弁護士はお金を集めます。あなたの上司を含む。あなたが今したい以上のもの。彼らはまばたきせずにスタートアップを喜んで流出させることができる。

また、「競合他社」の誰かが既に知っている可能性もあります。ニュースを届けることは、単純な追い越しのメッセンジャーであることよりも多くの責任を意味します。それは壁と話すよりも良いですか？

セキュリティビジネス：大きな穴のある多くのサーバーがオンラインになっています。この1つのサーバーは別のサーバーです。一部のフルタイムの仕事。自分の穴をチェックしましたか？それらのすべて？

足元に気を付けて。

顧客データは重要な強迫観念です。

それらを教えてください。その後、履歴書を送信します。彼らは雇っているかもしれません。:)

それらを教えてください！それは正しいことです。また、あなたが彼らの場所にいた場合、彼らは何をしたいですか？

これから生まれる善意に価値を置くことはできません。