关于安全保密的道德杂语[关闭]


13

三年前,我对一个大型电子商务网站进行了安全审核。在执行审计时,我发现了几个严重的安全问题,这些问题允许访问在事务完成后不应访问的数据。在此站点上,存在几个主要风险。首先,您可以实时查看系统中的订单;所有交易均由该公司手动处理。如果您查看交易,则可以看到名称,地址和运送目的地。我在这里看到两个滥用点:1 –您可以简单地编辑船的地址并将其发送给自己; 2 –您可以在下订单时立即致电用户,并进行“电话确认”以简单地访问使用基本的社会工程学获取信用卡信息。

您还可以通过做更多的工作来转储抄送信息和订单ID号,然后简单地将订单ID和用户信息进行匹配。

所有这些都可以通过在其站点上使用公开的功能并修改几个值来实现。是的,我由于某种原因含糊不清。

该公司的市场总监三年前就被警告过这些风险,并且没有采取任何纠正措施。我毫不怀疑,如果我能找到其他人也可以。该网站每年进行88K笔交易,所有已处理的订单仍在数据中并且可以访问。

所以是道德问题……我该怎么办?我的公司不在乎……所以我在那里找不到帮助。如果我与营销人员联系,他将继续掩盖自己的资产以及他们无能为力的内部开发团队(冷融合)的资产。我会联系更高的人吗?我会四处逛逛吗?我是否只是挖掘数据并将其出售给竞争对手(减去CC信息)?我知道些什么?它在me我,我不能放手。这只是我所知道的众多站点之一,但是便捷的访问和高流量使我对此深思。


The marketing director at this company was warned about these risks three years ago嗯...这家公司没有应报告的CTO或CIO吗?市场营销总监不应该是负责IT的人。
Powerlord

在当前的话题性规则下,这个问题是题外话。
HopelessN00b

Answers:


15

曾经有一段时间我建议采取英勇的措施来解决这种情况。从那以后,我学得更好了-您不能强迫某人为自己的最大利益而行动。经常这样做会对您造成意想不到的后果,可能会令人不快。

考虑一下...你已经

  • 通过您的审核报告通知公司
  • 通知您的管理层

因此,如果您去家里打电话给CEO,您现在已经绕过了管理层,并造成了内部情况,即从事CYA事务的内部人员将使您成为反派。与三年前进行审计的随机顾问相比,首席执行官将倾听他无能的员工的声音。

我的建议:去喝啤酒或任何您想做的事,再也不要访问该网站。


9
+1“不能强迫某人以自己的最大利益行事”。
pjc50

但这不是他们的最大利益,或者仅仅是间接的。这是他们客户的最大利益。
wfaulk

@wfaulk:可能是对的,但是这也不是几年前引入的顾问的业务。不幸的是,世界上到处都是无能,无知或坏演员的人。解决每个问题我们没有个人责任-IT专业人员不是超级英雄。
duffbeer703

8

首先-您不卖出您所知道的东西,那肯定是不道德的,并且可能是非法的:)

我的第二个建议是去拜访Marketing Guy的老板,一直到该公司的首席执行官。如果您在审核组工作,他们将不在乎公司如何处理信息,而只是在第一时间就出售了该服务。

第三,如果它真的这样大的交易,你可以启动一个匿名的(或者非匿名)对网站的不安全营销/抵制活动,没有真正影响他们。

但是,最好不要让一堆系统管理员跟一位著名的律师聊天:)


5
+1以联系律师。
暂停,直到另行通知。

7

您被雇用来执行审核,因此您的职责是委托人将审核结果告知他们。他们所做的就是他们的生意。他们已经确定了风险与变更成本。不是你。如果他们遇到了严重的安全问题,并且您得到传票,则可以作证关于审计结果的信息(3年前)。尽您所能。

我有消息要告诉你。绝大多数公司在某种程度上以不安全的方式处理客户数据。多少个DBA可以完全访问所有客户数据?很少有公司运行Oracle Vault。

“我是否只是挖掘数据并将其出售给竞争对手(减去CC信息)?”

仅当您想入狱时。


2
这是完全正确的。每家公司都会对所提出的任何问题进行成本效益分析,有时他们确实选择大扫除,希望他们不会引起注意。您已经尽力了。
Ed Leighton-Dick

6

如果您透露任何信息,您可能会陷入困境。您可能为此陷入真正的麻烦。

签订渗透测试时,公司之间有严格的协议是有原因的。渗透测试公司需要他们所能获得的所有保护。泄露您不应该而且会被起诉或起诉的信息。

假设您去找市场部老板。老板严厉打击营销人员。营销人员开始掩盖自己的屁股。他可能会说服老板,为了使您拥有此信息,您必须做过一些非法的或类似的事情。即使您最终会获胜,您也可能会长期待在法庭上。

如果他们不想一开始就认真对待它,就迫使他们认真对待它很可能会给您带来麻烦。

为了你的缘故,放弃它。

编辑:此外,如果对安全审计的原始协议包括你只可以告知具体的人,通知其他在同一公司,不包括在该协议,可能让你陷入困境。


好点。同样,如果讨论深入到法律和商业领域,那么多年后发现您已意识到问题确实可以使您面临一些不舒服的问题。协议的一部分内容不太可能是您要在未来几年继续“检查”它们。
damorg

6

就我所知,您已经完成了工作。您执行了审核,并将结果传递给了相关的负责人。我的建议是退后一步,您实际上无能为力。当然,难题是无辜的客户可能会遇到持续存在的安全漏洞,但这不是您的问题吗?您不能承担超出工作职责范围的任何部分。


6

您当然不会泄漏此信息,也不会将其出售给外界。

这里有些我不明白的……三年前?如果您在3年前进行了审核,那么您仍怎么想到呢?您是否对此感到难过,还是不安全的公司仍在与您的公司签约以提供安全/审核服务?

这是一个重要的问题,因为如果您与这家公司已有3年没有业务往来了,那么我的明确建议就是不去做。如果三年后重新出现并开始批评,这似乎很奇怪。如果是3年前,那么您那时就有机会了,但您并没有接受。现在走开。

如果您的公司仍在与不安全的公司开展业务,那么我建议您动用自己的老板来给他们寄信。你的老板不会喜欢这个。但对您来说,如果这封信来自您的公司而不是您本人,那就更好了。以快递方式将其发送给营销经理老板(CEO)。保持礼貌,含糊其词并主要覆盖您自己的公司**,并暗示市场营销经理的安全性决策远远超出了公认的行业标准,以至于您不得不超越他的头。您的目标并不是要说所有事情,而是要覆盖自己的公司**,并让另一位首席执行官感到不安,要求您提供原始报告的副本。

无论如何,我都建议采取最强有力的举措推销营销经理。而且它确实非常强大,而且不需要。雇用您是为了在某一方面提供专家意见;不经营他们的生意。

在一个有点可悲的网站上注意到:看到不道德的人或仅仅是普通无能的商人并不少见。有时,他们可能会雇用安全审核员,而无意使用调查结果。只是想说他们已经被著名的安全公司X审核过。这固然令人伤心且令人反感-但这是真实的,如果您想从事安全审核工作,就必须习惯它。


3

另一方面,您必须考虑未能将风险充分告知客户的责任。您必须考虑贵公司承担何种类型的错误和遗漏。您说您的公司不在乎,但是我敢打赌,如果他们受到客户的起诉,并且由他们的一个客户对他们提起诉讼,它将引起所有人的关注。


3

3年前,您做了一份工作,据推测您已获得了报酬。如果您执行了该工作所需的所有步骤,那么您的工作就完成了。过度。完了

我很难理解您为什么要花3年时间对此做些什么而没有做。在我看来,这听起来并不像您遇到道德问题。实际上,您对可能出售信息的提法向我暗示,您的动机可能完全不同。至少我发现您的位置值得怀疑。

到目前为止,您什么也没做,因此,如果您确实开始采取任何行动,则很可能会使您面临法律诉讼的可能。法律因地而异,但我在哪里,如果有人通过您描述的机制成为数据盗窃的受害者,而您现在才采取行动,那么实际上您就是您先前的无所作为的知情参与者。对您个人来说唯一安全的方法是放下它。


1

如果您从事的是“安全审核”,那么就无法挖掘信息并将其出售。地狱,您甚至会问这个问题,这让我想知道您的道德规范,并且肯定会问我您是否适合我的安全团队。

话虽如此,你干了你的工作。您被雇用来进行安全审核,并且您做到了。公司是否以书面形式知悉调查结果?正如其他人所说,您不能强迫公司关闭安全漏洞。道德问题是从这次审核中学习并继续前进。


1

如果您担心正确地完成工作,那么您已经完成了工作。仅仅因为没有人对您的建议采取行动就不会反映您。

但是,如果您有理由担心他们的客户是身份或信用卡盗窃的受害者,那么我想与FTC投诉部门联系。(假设您在美国。否则,您所在的国家可能拥有类似的政府部门。)


1

我已经完成了伦理学的几个学期,这确实是一个棘手的难题。

在这里要求“我应该怎么做”的答案永远不会给您“正确”的答案,您所获得的只是答案,这些答案会强化或违背您在此问题上的个人感受。

此外,您在这里得到的所有答案都将受到人们过去的行为或决定,他们居住的地方,他们的成长地方,当地法律和习俗的强烈影响。因此,即使他们与您处于相同的境地,他们的经历也可能完全不同。

简短的答案是:您需要做认为正确的事情。显然,您认为无所事事是不正确的。如果没有,您就不会问这个。

我个人不同意说“放弃”或“您完成工作”的所有人。每当道德在ServerFault上出现时,这似乎是一种流行的观点。这不是一个错误的答案,这不是我的答案。


这里的基本问题是边界之一。如果您的邻居在另一个邻居的土地上修建了篱笆,您是打电话给执法人员还是警察?
duffbeer703
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.