Dilemas éticos sobre a não divulgação de segurança [fechado]

Há três anos, fiz uma auditoria de segurança em um site de comércio eletrônico grande. Quando a auditoria foi realizada, encontrei vários problemas graves de segurança que permitem o acesso a dados que não devem ser acessíveis após a conclusão de uma transação. Neste site, existem vários riscos importantes. Primeiro, você pode ver os pedidos que chegam pelo sistema em tempo real; todas as transações são processadas manualmente por esta empresa. Se você visualizar uma transação, poderá ver o nome, endereço e destino da remessa. Vejo dois pontos de abuso aqui: 1 - você pode simplesmente editar a remessa para o endereço e enviar a remessa para si mesmo; e 2 - você pode ligar para o usuário assim que o pedido foi feito e fazer uma "confirmação por telefone" para obter acesso simplesmente às informações do cartão de crédito com engenharia social básica.

Você também pode, com um pouco mais de trabalho, despejar as informações do CC e os números de ID do pedido e, em seguida, simplesmente combinar o ID do pedido e as informações do usuário.

Tudo isso usando funções expostas no site e modificando alguns valores. Sim, estou sendo vaga por um motivo.

O diretor de marketing desta empresa foi alertado sobre esses riscos há três anos e não fez nada para corrigi-los. Não duvido que, se eu puder encontrar isso, outros possam. Este site realiza 88 mil transações por ano e tem todos os pedidos já processados ​​ainda em dados e acessíveis.

Então a questão ética ... o que eu faço? Minha empresa não se importa ... então não consigo ajuda lá. Se eu entrar em contato com o cara do marketing, ele continuará a cobrir sua bunda e a de sua equipe de desenvolvimento interno incompetente (fusão a frio). Entro em contato com alguém mais alto? Eu ando pela minha empresa? Acabo de minerar os dados e vender para um concorrente menos as informações do CC? O que eu faço sabendo disso? Está me incomodando e não posso deixar passar. Este é apenas um dos muitos sites que conheço, mas a facilidade de acesso e o alto tráfego me fazem refletir muito sobre isso.

Houve um tempo em que eu sugeriria tomar medidas heróicas para resolver a situação. Desde então, aprendi melhor - você não pode forçar alguém a agir em seu próprio interesse. Fazer isso com frequência tem consequências indesejadas para você que provavelmente serão desagradáveis.

Pense nisso ... você

• Informou a empresa através do seu relatório de auditoria
• Informou sua gerência

Então, se você ligar e chamar o CEO em casa, agora fará uma corrida final em torno de sua gerência e criará uma situação em que as pessoas internas que estão fazendo a coisa do CYA farão de você o vilão. O CEO ouvirá mais sua equipe incompetente do que um consultor aleatório que fez uma auditoria há três anos.

Meu conselho: vá tomar uma cerveja ou o que quiser e nunca mais visite o site.

Primeiro - você não vende o que sabe, isso certamente é antiético e pode ser ilegal :)

Meu segundo conselho seria ir ao chefe do Marketing Guy, até o CEO dessa empresa. Se você trabalha para um grupo de auditoria, eles não se importam com o que a empresa faz com as informações, apenas com a venda do serviço.

Em terceiro lugar, se é realmente esse negócio um grande, você pode ser capaz de iniciar um anônimo (ou não-anônimo) marketing / boicotando campanha sobre a insegurança do local, sem realmente comprometer-los.

Mas melhor do que perguntar a um monte de administradores de sistemas seria conversar com um advogado respeitável :)

Você foi contratado para realizar uma auditoria; portanto, seu dever é com o cliente informá-lo dos resultados da auditoria. O que eles fazem com isso é problema deles. Eles decidiram os riscos versus o custo da mudança. Você não. Se eles tiverem um grande problema de segurança e você receber uma intimação, poderá testemunhar sobre os resultados da auditoria (há 3 anos). É isso que diz respeito às suas obrigações.

Eu tenho novidades para você. A grande maioria das empresas lida com dados de clientes de maneira insegura, em um nível ou outro. Quantos DBAs têm acesso completo a todos os dados do cliente? Pouquíssimas empresas executam o Oracle Vault.

"Eu apenas extraio os dados e os vendo para um concorrente menos as informações do CC?"

Somente se você quiser ir para a cadeia.

Você pode estar com gelo muito fino se divulgar alguma coisa. Você pode ter problemas reais por isso.

Há uma razão para as empresas terem acordos rigorosos entre si quando o pentesting é contratado. A empresa de pentesting precisa de toda a proteção que puder obter. Divulgar informações que você não deve e poderá processá-lo ou processá-lo.

Digamos que você vá ao chefe do cara do marketing. O chefe aperta o cara do marketing. O cara do marketing começa a cobrir sua bunda. Ele pode convencer o chefe de que, para você ter essas informações, você deve ter feito algo ilegal ou semelhante. Mesmo que você acabe ganhando, você pode estar no tribunal por muito tempo.

Se eles não querem levar isso a sério na primeira abordagem, pressioná-los a levá-lo a sério provavelmente irá causar problemas.

Por sua causa, largue.

EDIT: Além disso, se o contrato original da auditoria de segurança incluir pessoas específicas que você apenas pode informar, informar outras pessoas na mesma empresa, não incluídas no contrato, poderá causar problemas.

Até onde eu sei, você fez seu trabalho. Você realizou a auditoria e passou os resultados para a pessoa relevante em autoridade. Meu conselho é recuar, não há mais nada que você possa fazer. É claro que o dilema é que clientes inocentes podem ser expostos às deficiências contínuas de segurança, mas esse não é realmente o seu problema, é? Você não pode se responsabilizar por nenhuma parte além da competência de seu trabalho.

Você certamente não vaza essas informações e certamente não as vende para pessoas de fora.

Há algo aqui que eu não entendo ... três anos atrás? Se você fez uma auditoria há três anos, como isso ainda está em sua mente? Você está se sentindo tão mal com isso ou a empresa insegura ainda está contratando sua empresa para serviços de segurança / auditoria?

É uma pergunta importante, porque se você não tem negócios com essa empresa há três anos, meu conselho claro é ir embora. Parece muito estranho se você reaparecer após 3 anos e começar a criticar. Se foi há 3 anos, você teve uma chance naquela época e não a aceitou. Agora vá embora.

Se sua empresa ainda estiver negociando com uma empresa insegura , proponho que você forneça um forte apoio a seu próprio chefe, enviando uma carta juntos. Seu chefe não vai gostar disso; mas para você é muito melhor se a carta vier da sua empresa e não de si mesma. Envie com correio para o chefe de gerentes de marketing (CEO). Mantenha-o educado, mantenha-o vago e, principalmente, cubra a sua própria empresa **, e alude ao fato de as decisões de segurança dos gerentes de marketing estarem tão longe dos padrões aceitos do setor que você se sentiu obrigado a passar por cima dele. Seu objetivo não é contar tudo, seu objetivo é cobrir a ** da sua empresa e deixar o outro CEO perturbado o suficiente para pedir uma cópia do seu relatório original.

Examinar a cabeça dos gerentes de marketing é a atitude mais forte que posso recomendar. E é realmente muito forte e indesejável. Você foi contratado para fornecer uma opinião de especialista sobre um aspecto; para não administrar seus negócios.

Em uma nota um tanto triste do site: não é incomum ver pessoas de negócios antiéticas ou simplesmente incompetentes. Às vezes, eles podem contratar auditores de segurança sem a intenção de usar as descobertas; com a intenção de dizer apenas que foram auditadas pela conhecida empresa de segurança X. Isso é obviamente triste e ofensivo - mas é real, e você precisará se acostumar com isso se quiser trabalhar na auditoria de segurança.

Por outro lado, você deve considerar sua responsabilidade por não informar adequadamente o cliente sobre os riscos. Você deve considerar que tipo de cobertura de erros e omissões sua empresa possui. Você diz que sua empresa não se importa, mas eu aposto que se eles forem processados ​​pelo cliente, movidos por um processo contra eles por um de seus clientes, isso chamaria a atenção de todos.

Há três anos, você fez um trabalho pelo qual era presumivelmente pago. Se você executou todas as etapas necessárias na execução desse trabalho, seu trabalho estará concluído. Sobre. Acabado.

Tenho sérios problemas para entender por que você teve três anos para fazer algo sobre isso e não o fez. Isso não me parece que você esteja tendo problemas éticos. De fato, sua própria menção de possivelmente vender a informação sugere para mim que você pode ter motivos bastante diferentes. No mínimo, acho sua posição altamente questionável.

Como você não fez nada até agora, se você começar a tomar qualquer tipo de ação, poderá se expor a uma possível ação legal. As leis variam de um lugar para outro, mas onde eu estou, se alguém foi vítima de roubo de dados através dos mecanismos que você descreveu e agora você só toma medidas, você é de fato um participante conhecedor de sua inação anterior. O único curso seguro para você pessoalmente é abandoná-lo.

Se você está no ramo de "auditorias de segurança", a mineração e a venda das informações estão fora de questão. Inferno, o fato de você fazer essa pergunta me faz pensar sobre sua ética e certamente me faz questionar se você seria ou não certo para minha equipe de segurança.

Dito isto, você fez o seu trabalho. Você foi contratado para fazer uma auditoria de segurança e foi o que fez. A empresa tomou conhecimento das descobertas por escrito? Como já foi dito, você não pode forçar uma empresa a fechar brechas na segurança. A questão ética é aprender com essa auditoria e seguir em frente.

Se você está preocupado em fazer seu trabalho corretamente, você já fez seu trabalho. Só porque ninguém age de acordo com suas recomendações não reflete em você.

No entanto, se você estiver legitimamente preocupado com o fato de os clientes serem vítimas de roubo de identidade ou cartão de crédito, diria que entre em contato com o departamento de reclamações da FTC . (Supondo que você esteja nos EUA. Caso contrário, seu país provavelmente tem um departamento governamental semelhante.)

Eu fiz alguns semestres em ética, e é realmente uma pergunta difícil.

Pedir aqui uma resposta "O que devo fazer" nunca lhe dará uma resposta "Correta", tudo o que você obterá são respostas que reforçam ou vão contra os sentimentos pessoais sobre o assunto.

Além disso, todas as respostas que você obtém aqui serão fortemente influenciadas pelas ações ou decisões passadas das pessoas, onde elas moram, onde cresceram, suas leis e costumes locais. Portanto, mesmo que eles estejam na mesma situação que você, a experiência deles pode ser completamente diferente.

A resposta curta é: Você precisa fazer o que você acredita que é certo. Claramente, você acredita que a inação não é a coisa certa a se fazer. Se não o fizesse, não perguntaria isso.

Eu, pessoalmente, não concordo com todos que dizem "Largue" ou "Você fez o seu trabalho". Essa parece ser uma opinião popular sempre que a ética surge no ServerFault. E não é uma resposta errada , apenas não é a minha resposta.