보안 비공개에 대한 윤리적 Quandry [폐쇄]

3 년 전 저는 큰 전자 상거래 웹 사이트에 대한 보안 감사를 수행했습니다. 감사를 수행 할 때 트랜잭션이 완료된 후 액세스 할 수없는 데이터에 액세스 할 수있는 몇 가지 심각한 보안 문제가 발견되었습니다. 이 사이트에는 몇 가지 주요 위험이 있습니다. 첫째, 주문이 시스템을 통해 실시간으로 들어오는 것을 볼 수 있습니다. 모든 거래는이 회사에서 수동으로 처리합니다. 거래를 보면 이름, 주소 및 배송 목적지를 볼 수 있습니다. 여기에 2 개의 남용 지점이 있습니다. 1 – 주소를 지정하여 발송물을 직접 발송하고 발송물을 직접 보내실 수 있습니다. 2 – 주문이 접수 된 즉시 사용자에게 전화를 걸고 "전화 확인"을 통해 간단히 액세스 할 수 있습니다. 기본적인 사회 공학과 신용 카드 정보.

약간의 작업으로 CC 정보와 주문 ID 번호를 덤프 한 다음 주문 ID와 사용자 정보를 간단히 일치시킬 수도 있습니다.

이는 사이트에서 노출 된 기능을 사용하고 몇 가지 값을 수정하는 것입니다. 네, 이유가 모호합니다.

이 회사의 마케팅 책임자는 3 년 전에 이러한 위험에 대해 경고를 받았으며이를 해결하기위한 조치를 취하지 않았습니다. 내가 이것을 찾을 수 있다면 다른 사람들이 할 수 있다는 것을 의심하지 않습니다. 이 사이트는 연간 88K 건의 거래를 처리하며 모든 주문은 여전히 ​​데이터로 처리되어 액세스 가능합니다.

윤리적 인 질문은 ... 어떻게해야합니까? 우리 회사는 신경 쓰지 않습니다 ... 그래서 나는 거기에서 도움을받을 수 없습니다. 마케팅 담당자에게 연락하면 자신의 무능한 내부 개발 팀 (콜드 퓨전)의 엉덩이와 엉덩이를 계속 덮을 것입니다. 더 높은 사람에게 연락합니까? 회사를 돌아 다녀요? 데이터를 마이닝하여 경쟁 업체에 CC 정보를 뺀 값으로 판매합니까? 이것을 알고 무엇을해야합니까? 나에게 잔소리가 들려서 놓을 수 없습니다. 이것은 내가 아는 많은 사이트 중 하나 일 뿐이지 만 액세스가 쉽고 트래픽이 많기 때문에 이에 대해 깊이 생각하게됩니다.

상황을 해결하기 위해 영웅적인 조치를 취하는 것이 좋습니다. 그 이후로 더 잘 배웠습니다. 누군가 자신의 이익을 위해 행동하도록 강요 할 수는 없습니다. 그렇게하는 것은 종종 당신에게 불쾌한 결과를 초래할 수 있습니다.

생각 해봐 ... 너는

• 감사 보고서를 통해 회사에 통보
• 경영진에게 알렸다

따라서 집에 가서 CEO에게 전화하면 경영진을 끝내고 CYA 일을하는 내부 사람들이 당신을 악당으로 만들 상황을 만들었습니다. CEO는 3 년 전에 감사를 한 무작위 컨설턴트보다 무능한 직원의 말을 듣게됩니다.

내 조언 : 맥주를 마시거나 좋아하는 일을하고 다시는 웹 사이트를 방문하지 마십시오.

첫째, 당신은 당신이 아는 것을 팔지 않습니다. 그것은 확실히 비 윤리적이며 불법 일 수 있습니다 :)

두 번째 조언은 해당 회사의 CEO까지 마케팅 가이의 상사에게가는 것입니다. 감사 그룹에서 일하는 경우 회사는 정보를 사용하여 회사가하는 일을 신경 쓰지 않고 처음부터 서비스를 판매해야합니다.

셋째, 이처럼 큰 거래라면 실제로 사이트를 손상시키지 않으면 서 사이트의 안전에 관한 익명 (또는 비 익명) 마케팅 / 보이콧 캠페인을 시작할 수 있습니다.

그러나 많은 sysadmins에게 묻는 것보다 평판이 좋은 변호사와 대화하는 것이 좋습니다. :)

감사를 수행하도록 고용되었으므로 고객에게 감사 결과를 알려주는 의무가 있습니다. 그들이하는 일은 그들의 사업입니다. 그들은 위험과 변경 비용을 결정했습니다. 너 말고. 보안 문제가 심각하고 소환장을 받으면 감사 결과에 대해 증언해야합니다 (3 년 전). 그것은 당신의 의무에 달려 있습니다.

소식이 있습니다 대부분의 회사는 어떤 수준에서든 안전하지 않은 방식으로 고객 데이터를 처리합니다. 모든 고객 데이터에 완전히 액세스 할 수있는 DBA는 몇 명입니까? Oracle Vault를 운영하는 회사는 거의 없습니다.

"데이터를 마이닝하여 CC 정보를 뺀 경쟁 업체에 판매합니까?"

감옥에 가고 싶을 때만

당신이 뭔가를 공개하면 당신은 정말 얇은 얼음에있을 수 있습니다. 당신은 그것을 위해 진짜 문제에 빠질 수 있습니다.

펜 테스팅 계약이 체결 될 때 회사가 서로간에 엄격한 계약을 맺어야하는 이유가 있습니다. Pentesting 회사는 그들이 얻을 수있는 모든 보호가 필요합니다. 정보를 공개하면 고소 나 기소를 당할 수 없으며 피할 수 없습니다.

마케팅 담당자의 상사에게 갈 수 있습니다. 사장님은 마케팅 담당자를 사로 잡습니다. 마케팅 담당자가 엉덩이를 가리기 시작합니다. 그는 상사에게 당신이이 정보를 갖기 위해서는 불법적이거나 유사한 일을했다고 설득 할 수 있습니다. 당신이 결국 이길지라도, 당신은 오랫동안 법정에있을 수 있습니다.

그들이 처음 접근 할 때 진지하게 받아들이고 싶지 않다면 진지하게 받아들이도록 압력을 가하면 문제가 생길 수 있습니다.

당신을 위해 그것을 떨어 뜨립니다.

편집 : 또한 보안 감사에 대한 원래 계약에 특정 사람이 포함되어있는 경우 계약에 포함되지 않은 동일한 회사의 다른 사람에게 알리면 문제가 발생할 수 있습니다.

내가 아는 한 당신은 일을 끝냈습니다. 감사를 수행하고 결과를 권한이있는 관련 담당자에게 전달했습니다. 내 충고는 그것에서 물러나고, 더 이상 할 수있는 일은 없습니다. 물론 딜레마는 무고한 고객이 지속적인 보안 취약점에 노출 될 수 있지만 실제로 문제가 아니라는 것입니다. 당신은 당신의 직업의 송금 이상으로 어떤 부분에 대해서도 책임을 질 수 없습니다.

당신은 확실히이 정보를 유출하지 않으며, 확실히 외부인에게 판매하지도 않습니다.

여기에 뭔가가 내가 3 년 전 ... 이해가 안가? 3 년 전에 감사를 한 경우 어떻게 생각하십니까? 안전하지 않은 회사가 보안 / 감사 서비스를 위해 회사와 계약을 맺고 있습니까?

중요한 질문입니다. 지금이 회사와 3 년 동안 사업을하지 않았다면 저의 명확한 조언이 사라지기 때문입니다. 3 년 후에 다시 나타나고 비판을 시작하면 매우 이상하게 보일 것입니다. 3 년 전 이었다면 그때는 기회가 있었지만 가져 가지 못했습니다. 이제 걸어가

귀하의 회사가 여전히 안전하지 않은 회사와 사업을하고 있다면 , 본인의 상사에게 편지를 보내도록 강력하게 제안합니다. 당신의 상사는 이것을 즐기지 않을 것입니다; 그러나 편지가 당신이 아닌 회사에서 온다면 당신에게 훨씬 좋습니다. 택배와 함께 마케팅 관리자 보스 (CEO)에게 보내십시오. 정중하게 유지하고, 모호하게 유지하고 대부분 자신의 회사를 덮고 a **, 마케팅 관리자의 보안 결정에 대해 업계 최고 수준을 벗어난 보안 결정을 내림으로써 자신의 입장을 고수해야한다고 느꼈습니다. 당신의 목표는 모든 것을 말하려는 것이 아니라, 당신의 회사를 a *로 다루고, 다른 CEO가 당신의 원본 보고서의 사본을 요구할 수 있도록 약탈하는 것입니다.

마케팅 관리자의 책임을 맡는 것이 어떤 식 으로든 추천 할 수 있는 가장 강력한 조치 입니다. 그리고 그것은 정말로 강력하고 원치 않습니다. 한 측면에 대한 전문가 의견을 제공하기 위해 고용되었습니다. 그들의 사업을 운영하지 않습니다.

다소 슬픈 사이트 참고 사항 : 비 윤리적이거나 평범한 무능한 사업가를 보는 것은 드문 일이 아닙니다. 때때로 이들은 조사 결과를 사용하지 않고 보안 감사관을 고용 할 수 있습니다. 잘 알려진 보안 회사 X에 의해 감사를 받았다는 것만으로 의도 된 것입니다. 물론 이것은 슬프고 공격적입니다.하지만 실제로는 감사합니다. 보안 감사에서 일하고 싶다면 익숙해 져야합니다.

반면에, 고객에게 위험에 대해 적절히 알리지 못한 것에 대한 책임을 고려해야합니다. 회사에서 어떤 종류의 오류 및 누락 적용 범위를 고려해야하는지 고려해야합니다. 당신은 당신의 회사가 걱정하지 않는다고 말하지만, 그들이 클라이언트에 의해 고소 당하고 고객 중 한 명이 소송을 제기하면 모든 사람들의 관심을 끌 것입니다.

3 년 전, 당신은 아마도 임금을 받았던 일을했습니다. 해당 작업 수행에 필요한 모든 단계를 수행하면 작업이 완료됩니다. 위에. 끝마친.

나는 당신이 왜 이것에 대해 무언가를해야하는지 3 년이 지났고 이해하지 못한 것을 이해하는데 심각한 어려움을 겪고 있습니다. 윤리적 인 문제가있는 것처럼 들리지 않습니다. 실제로 정보 판매 가능성에 대한 귀하의 언급은 귀하가 다른 동기를 가질 수 있음을 나타냅니다. 최소한 나는 당신의 입장이 매우 의심 스럽다고 생각합니다.

지금까지 아무 조치도 취하지 않았으므로 전혀 조치를 취하지 않으면 가능한 법적 조치에 노출 될 수 있습니다. 법률은 장소에 따라 다르지만 내가있는 곳에서 누군가가 설명 된 메커니즘을 통해 데이터 도난에 빠졌고 이제는 조치를 취한 경우 실제로는 이전의 비 활동으로 알고있는 참가자입니다. 개인적으로 유일하게 안전한 코스는 버리는 것입니다.

"보안 감사"사업을하고 있다면 정보를 채굴하여 판매하는 것은 문제가되지 않습니다. 지옥, 당신이 그 질문을 할 것이라는 사실은 당신의 윤리에 대해 궁금해하고 있으며 당신이 내 보안 팀에 적합한 지 아닌지 확실히 나에게 질문 할 것입니다.

그렇게 말하면서, 당신은 일을했습니다. 보안 감사를 위해 고용되었으며 귀하는 그렇게했습니다. 회사는 그 결과를 서면으로 알게 되었습니까? 다른 사람들이 말했듯이 회사가 보안 허점을 닫도록 강요 할 수는 없습니다. 윤리적 문제는이 감사로부터 배우고 계속 진행됩니다.

일을 올바르게하는 것이 걱정된다면 일을 한 것입니다. 귀하의 추천에 대해 아무도 행동하지 않기 때문에 귀하를 반영하지 않습니다.

그러나 고객이 신분 또는 신용 카드 도용의 피해자가되는 것에 대해 합법적으로 우려하는 경우 FTC 불만 처리 부서 에 문의하시기 바랍니다 . (귀하가 미국에 있다고 가정합니다. 그렇지 않은 경우 해당 국가의 정부 부서와 유사 할 수 있습니다.)

저는 윤리학에서 몇 학기를했는데 정말 힘든 질문입니다.

"무엇을해야합니까?"라는 답변을 여기에 요청한다고해서 "올바른"답변을 얻을 수는 없습니다. 문제에 대한 개인적인 감정을 강화하거나 반대하는 답변 만 있으면됩니다.

또한, 당신이 여기까지 모든 해답이 될 것이다 강하게 그들이, 그들의 지역의 법률과 관습을 성장 그들이 사는 사람들의 과거의 행동이나 결정에 의해 영향을. 따라서 그들이 당신과 같은 상황에 있었더라도 그들의 경험은 완전히 다를 수 있습니다.

짧은 대답은 : 당신은 무엇을해야 할 당신이 옳다고 생각합니다. 분명히 당신은 무 활동이 옳은 일이 아니라고 믿는다. 당신이하지 않았다면, 당신은 이것을 묻지 않을 것입니다.

나는 개인적으로 "떨어지다"또는 "당신은 일을 끝냈다"고 말하는 모든 사람에 동의하지 않습니다. 윤리가 ServerFault에서 자랄 때마다 그것은 대중적인 의견 인 것 같습니다. 그리고 그것은 잘못된 대답 이 아닙니다. 그것은 단지 내 대답이 아닙니다 .