競合他社のサイトに脆弱性が見つかった場合はどうすればよいですか?


37

私の会社のプロジェクトに取り組んでいる間、ユーザーが競合他社のサイトとの間でデータをインポート/エクスポートできる機能を構築する必要がありました。これを行っている最中に、要するに、競合他社のWebサイトでスクリプトを実行できる非常に深刻なセキュリティ上の悪用を発見しました。

私の自然な気持ちは、善意の精神で彼らに問題を報告することです。利益を得るために問題を利用することは私の心を越えましたが、私はその道をたどりたくありません。

それで、私の質問は、彼らを助けるためにあなたの直接の競争に深刻な脆弱性を報告しますか?または、口を閉じたままにしますか?おそらく、私が問題を報告することで彼らを助けているという事実から少なくともいくつかの利点を得るために、これについてより良い方法がありますか?

更新(明確化)

これまでのすべてのフィードバックに感謝します。感謝します。問題の競争が市場の巨大なもの(複数の大陸の数百人の従業員)であり、私の会社がほんの数週間前(3人の従業員)に始まったと付け加えれば、あなたの答えは変わりますか?言うまでもなく、彼らは間違いなく私たちを覚えていないでしょうし、もしあれば、彼らのサイトが仕事を必要としていることに気づくだけです(それが私たちが最初にこの市場に参入した理由です)。

これは、道徳的対ビジネス的なやり取りの1つかもしれませんが、すべてのアドバイスに感謝しています。


4
あなたが道徳か非道徳かによって異なります。
-Dietbuddha

5
現在の職場とは関係なく、プロキシの背後にある使い捨てのメールアドレスから匿名で報告します。
ジョブ

14
なぜ会社の規模は倫理的行動を構成するものに関係があるのですか?
JohnFx

6
ペプシにコーラの秘密を売ろうとした男についてのちょっとした逸話があります...ペプシは彼に警官を呼びました。どんなに激しい競争が起きても、競争は常に公正で倫理的なビジネス慣行に基づくべきです。君たちがより良いなら、彼らがどれだけ大きいか、定着しているかに関係なく、あなたは彼らを倒すでしょう。一晩では発生しないかもしれませんが、ブラウザの戦争を見てください。IEがプリインストールされていても、ゆっくりと、しかし確実に、代替手段がIEからシェアを奪っています!
クリストンプソン

@JohnFx +1:質問にスポットサー!状況が逆転した場合、同じ議論を使用することもできます。「私の会社は定評があり、尊敬されている巨人であり、彼らはとにかく遅かれ早かれ失敗する可能性のある小さな会社です。」企業の相対的な規模に関係なく、倫理は同じです。
ベッドウィアー

回答:


63

彼らに知らせるためにメモを落とすだけで完全に安全な世界に住みたいと思っていますが、まずあなたの法務部を巻き込むことをお勧めします。現実的には、あなたのバグレポートがどのように意図されていても、競合組織の誰かがそれを「当社のサイトをハッキングするために従業員の1人に支払った」と解釈する可能性があります。その認識は、あなたとあなたの会社の両方に法的またはPRの問題を引き起こす可能性があります。通知に法務部を含めることは、不正の出現から全員を保護するのに役立つはずです。もちろん、それは法務部が競合他社に通知することは容認できない法的リスクを生むと結論付け、情報に座るだけでよいと言う可能性を生み出します。でもそれは'


おそらく彼らはそれで行くと言うだろう-しかし、彼らはあなたやあなたの会社を不必要な法的バックドラフトにさらすことなくそれを行うための最良のアプローチを知っているだろう。
-HorusKol

法務部がノーと答えた場合、匿名の電子メールのアイデアを採用します。そして、彼らがイエスと言ったら、あなたの名前がどこかにあることを確認してください!
ベンジョー

17
もちろん、3人の会社で「法務部門」を見つけるのはかなり難しいと思います:)
Benjol

@Benjol本当ですが、これらの場合には必ず法的助言が必要です。彼らがあなたのサイトをハッキングしたと非難できないとしても、彼らはあなたの手紙が脅迫されていると主張でき、あなたは彼らを脅迫しようとしました。
-biziclop

9
この答えに同意するのは苦痛です。コードバグレポートのために弁護士が必要になるとき、それは社会に対する悲しい解説です。
jdl

30

これはひどく聞こえます(少なくともここのほとんどの答えと比較して)が、ここに私の2セントがあります:

なぜあなたはそれについて何をすべきなのですか?

まず第一に、彼らはすでにそのような仕事をするべきである従業員を抱えています(問題を見つけて、それらを修正します)。

第二に、質問を形成した方法は、これが何らかの道徳的ジレンマであるかのように聞こえます。そうではありません。あなたはそもそもその問題を引き起こすために何もしませんでした。

第三に、あなたは彼らと競争しています。あなたは**あなたの製品を彼らの製品ではなく最高のものにすることに集中すべきです。

まだ疑問がある場合は、私のポイント2に戻って読み直してください。


9
現実的であるために+1。違法なことは絶対にしないでください。不道徳?ビジネスでは、道徳的または不道徳はありません。会社には道徳という概念はありません。
DavorŽdralo

3
@HorusKol-+1は会社の給与と費用を支払うことはありません。ただし、競合他社よりも優れた製品を提供する可能性があります。
ジャス

4
-1。この種の考え方は、コモンズの悲劇の典型的な例です。セキュリティホールは皆の問題です。
メイソンウィーラー

6
@メイソン・ウィーラー:コモンズの悲劇は、独立して行動し、自分の利害を合理的に相談する複数の個人が、誰の内にもないことが明らかであっても、最終的に共有の限られたリソースを枯渇させる状況から生じるジレンマですこれに対する長期的な関心。ここでこれがどのように適用されるかわかりません。
user17610

3
率直に言って、競合他社にセキュリティバグについて話さないように提案することにショックを受けます。バグレポートをプレスリリースまたはプロモーションメールの形式で提出してください。このようなバグレポートでは、製品に前述のバグがないことと、ユーザーに潜在的な影響があることに注意する必要があります。
エモリー

22

脆弱性の調査と産業スパイの間に細い線があり、あなたはあなたの雇用主と提携しているので、競争相手はそれを後者とみなすことができます。

あなたがそれを報告し、法的/ PRの悪夢がある場合、あなたはスケープゴートになります。

法務部門に相談し、彼らが適切と思うように処理させてください-エンジニアよりも道を開く理由があります。


20

自社にリスクを与えずに競合他社に情報を提供する、まだ推奨されていない代替メカニズムは、さまざまな脆弱性報告会社の1つに脆弱性を知らせ、競合他社に報告するよう依頼することです。彼ら(脆弱性報告会社)はあなたの名前を報告から除外します-あなたはあなたの競争相手に匿名になるでしょう。そのような会社の1つが、ZDI ゼロイニシアチブ、ZDIです。他にも多くの会社があります。


11

もちろん匿名でメディアに漏えいさせてから、競合他社の顧客に迅速に移行を提供します。これは低打撃のように思えるかもしれませんが、これを考慮してください、あなたがしていることについて違法または非倫理的なことはありません。さらに、それが南西の犬を食べる犬の世界であり、デビッドがゴリアテに反対するとき、あなたはすべてのてこ比を必要とするでしょう。覚えておいてください、それは個人的なものではなく、厳密にビジネスです。彼らはハートビートであなたに同じことをします。

(FWIWこの回答が投票されると完全に期待していますが、それは問題ではありませんが、私が言っているのは真実であるにもかかわらずです。)


私には良いようです:あなたはそれらに通知し、同時に利益を上げます。ただし、サイトの脆弱性をチェックして、釣りを開始する可能性があります。
apoorv020

@apoorvあなたがゴリアテを心配するほど大きくなったことを意味するだけです:-)。
ガウラフ

「漏れ」と「匿名で」という言葉を使用する理由がわかりません。OPは何も悪いことや不道徳なことはしませんでした
エモリー

@ apporv020 u(サイト4の脆弱性)を常に釣り上げていると想定する必要があります
エモリー

市場では「巨大な」企業であるため、メディアで脆弱性が広く報告されている場合、市場の顧客がどのように反応するかを検討する必要があります。「<behemoth company >>とのデータを信頼できない場合、これを行うべきでしょうか?」と応答しますか?その答えは、脆弱性レポートをどの程度公開するかを決定するのに役立ちます。あなたの行動は、市場全体の認識に影響を与える可能性があります。
ズスカー

8

ソフトウェアにセキュリティ上の脆弱性が見つかった場合、彼らに何をしてほしいですか?それが最初の質問です。答えが「彼らが私に言ったら本当に感謝します」であるなら、あなたはあなたの答えを持っています!

彼らが巨大な会社であろうと3人の店であろうと、あなたが3人の店であろうと巨大な会社であろうと問題ではありません。すでに述べたように、特にソフトウェアとして知られるこの小さなコミュニティでは、あなたの評判がすべてです。


3
競争が通常のビジネス戦略を望んでいることの反対をしていませんか?
user17610

@ user17610-それは状況に依存していると思います...全面的な声明を出して、それによってすべての決定を下すことはできません。競争相手が大量のお金を稼ぐことを望んでいるなら、反対のことをするつもりですか?
ジェシーマカロック

いいえ、私は彼らがお金のボートを作らないことを保証します;)
user17610

2
+1「ソフトウェアに脆弱性が見つかった場合、何をしてほしいですか?」
クレイジュ

-1:彼らに産業スパイを非難することは彼らの市場シェアを腐食させるので、彼らに教えて欲しい!競合他社に慈悲を持たないでください
recursion.ninja

8

あなたは自分のシステムと独自の間でデータをインポート/エクスポートしている場合は、そのセキュリティ上の脆弱性が簡単になる可能性があなたのセキュリティ上の脆弱性。

技術的かつ合法的にお尻をカバーしたいと思うでしょう。それが修正されることを確認しますが、あなたの法務部がそれらに通知する手を持っていることを確認してください。


5

明らかに、彼らに知らせてください。

「あなたの心の良さ」が十分な理由ではない場合、この機能をあなた自身の顧客の利益として実装していると考えてください。このバグを報告することにより、間接的にデータを保護しています。



0

個人的に私は彼らに言います。

他の人々がPR /法的問題の可能性を指摘しており、レイヤーまたはPRエージェントと話した後、それを報告しないようにアドバイスされた場合、私はまだそれを報告しますが、匿名で。

データの保護を支援することで、潜在的な顧客に好意的なサービスを提供しています。


うんseclists.org/fulldisclosureへの匿名メール、彼は彼です...;)
ヘンリック

@Downvoter、理由について何かコメントはありますか?
ドミニクマクドネル

0

原則として、私はここで言うほとんどのことに同意します:それをステップアップして報告してください。海上でのようなプロフェッショナルな名誉の規範があります。船が問題を抱えている場合、誰が属しているかに関係なく、あなたは助けます。

しかし、あなたの更新を読んで、私はおそらく、@ Uriが言うように産業スパイとして間違った方法で行われる可能性があり、より危険な敵対行為につながるリスクがあるため、彼らに伝えることを決定します彼らがこれまでにないほどあなたの3人の店。

匿名のメモをドロップするかもしれません。多分何もしません あなたがデビッドなら、ゴリアテに背中に座っている蜂があることを告げる必要はありません。


-1

自然には、その厳しい側面にもかかわらず、そのような機会があります。そして、二度考えずにそれらを演じます。

犬は犬を食べません。むしろ、退屈な人々は不法な犬の戦いの代価を払う。そして弁護士はお金を集めます。あなたの上司を含む。あなたが今したい以上のもの。彼らはまばたきせずにスタートアップを喜んで流出させることができる。

また、「競合他社」の誰かが既に知っている可能性もあります。ニュースを届けることは、単純な追い越しのメッセンジャーであることよりも多くの責任を意味します。それは壁と話すよりも良いですか?

セキュリティビジネス:大きな穴のある多くのサーバーがオンラインになっています。この1つのサーバーは別のサーバーです。一部のフルタイムの仕事。自分の穴をチェックしましたか?それらのすべて?

足元に気を付けて。

顧客データは重要な強迫観念です。


2
さて、私はこの記事を二度読みました-そして、それが議論のどちら側をサポートしているのかまだわかりません... :)
Cyclops

-1

それらを教えてください。その後、履歴書を送信します。彼らは雇っているかもしれません。:)


18
15分間の検査で深刻な脆弱性が発見されるような悪いコードを書いている人には働き
たくない

@ user17610:わかりました、調整されたバリアント:それらを伝え、修正するかどうかを確認します。彼らが合理的な時間内にそれを修正しない場合、履歴書を彼らに送らないでください。
sharptooth

-1

それらを教えてください!それ正しいことです。また、あなたが彼らの場所にいた場合、彼らは何をしたいですか?

これから生まれる善意に価値を置くことはできません。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.