경쟁 업체 사이트에서 취약점을 발견하면 어떻게해야합니까?


37

회사의 프로젝트를 진행하는 동안 사용자가 경쟁 업체 사이트에서 데이터를 가져 오거나 내보낼 수있는 기능을 구축해야했습니다. 이를 수행하는 동안 경쟁 업체 웹 사이트에서 스크립트를 수행 할 수있는 매우 심각한 보안 취약점을 발견했습니다.

저의 자연스러운 느낌은 선의의 정신으로 문제를보고하는 것입니다. 이점을 얻기 위해이 문제를 악용하는 것은 제 생각을 넘어 섰지 만 그 길을 가고 싶지 않습니다.

내 질문은, 당신이 그들을 돕기 위해 직접 경쟁에 심각한 취약점을보고 하시겠습니까? 아니면 입을 다물고 있습니까? 이 문제를 해결하는 더 좋은 방법이 있습니까, 아마도 내가 문제를보고하여 그들을 돕고 있다는 사실로부터 적어도 몇 가지 이점을 얻을 수 있습니까?

업데이트 (설명) :

지금까지 모든 의견을 보내 주셔서 감사합니다. 감사합니다. 문제의 경쟁이 시장에서 엄청나게 많으며 (여러 대륙에있는 수백 명의 직원) 회사가 몇 주 전에 시작한 경우 (3 명의 직원) 대답이 바뀌겠습니까? 말할 필요도없이, 그들은 분명히 우리를 기억하지 못할 것이며, 무엇이든 그들의 사이트가 제대로 작동해야한다는 것을 깨닫게됩니다.

이것은 도덕 대 비즈니스 던지기 중 하나 일 수 있지만 모든 조언에 감사드립니다.


4
당신이 도덕적이거나 비도덕적인지에 달려 있습니다.
dietbuddha

5
현재 직장에 연결하지 않고 프록시 뒤에서 일회용 전자 메일 주소로 익명으로보고하십시오.
직업

14
회사의 규모가 윤리적 행동을 구성하는 요소와 관련이있는 이유는 무엇입니까?
JohnFx

6
펩시 콜라에서 비밀을 팔려고했던 남자에 대한 작은 일화가있다. 펩시는 그에게 경찰을 불렀다. 경쟁이 아무리 치열하더라도 경쟁은 항상 공정하고 윤리적 인 비즈니스 관행을 기반으로해야합니다. 당신이 더 낫다면, 당신은 그들이 얼마나 크거나 강건한 지에 관계없이 그들을 이길 것입니다. 밤새 일어나지 않을 수도 있지만 브라우저 전쟁을 살펴보십시오. IE가 사전 설치된 경우에도 느리지 만 확실하게 대안이 IE와 공유되지 않습니다!
Chris Thompson

@JohnFx +1 : 질문 선생님 자리! 상황이 바뀌었다면 같은 주장을 사용할 수도 있습니다. "저의 회사는 잘 정립되고 존경받는 거대 기업이며 조만간 실패 할 가능성이있는 소규모 회사 일뿐입니다." 회사의 상대적 규모에 관계없이 윤리는 동일합니다.
bedwyr

답변:


63

그들에게 알리기 위해 메모를 남기는 것이 안전 할 수있는 세상에서 살고 싶지만 법무 부서에 먼저 참여하는 것이 좋습니다. 현실적으로, 버그 보고서가 의도 한 바에 따르면, 경쟁사 조직의 누군가가 그것을 "우리의 경쟁자가 직원 중 한 명에게 사이트를 해킹하기 위해 돈을 지불했다"고 해석 할 것입니다. 이러한 인식은 귀하와 회사 모두에게 법적 또는 PR 문제를 야기 할 수 있습니다. 법률 부서를 알림에 포함 시키면 모든 사람이 부적절하게 보이는 것을 막을 수 있습니다. 물론, 그것은 법무 부서가 경쟁사에게 알리는 것이 용납 할 수없는 법적 위험을 초래한다고 결론을 내릴 수 있으며 정보에 앉아 있다고 말합니다. 하지만 그건


어쩌면 그들은 그들과 함께 가겠다 고 말할 것입니다-그러나 그들은 당신이나 당신의 회사를 원치 않는 법적 백 드래프트에 노출시키지 않고 그것에 대해 갈 수있는 최선의 방법을 알 것입니다.
HorusKol

법무 부서에서 거부하면 익명의 이메일 아이디어를 사용합니다. 그리고 그들이 예라고 대답하면, 당신의 이름이 어딘가에 있는지 확인하십시오!
Benjol

17
물론, 세 회사에서 "법률 부서"를 찾는 것은 꽤 어려울 것입니다. :)
Benjol

@Benjol True, 그러나 이러한 경우 반드시 법률 자문이 필요합니다. 그들이 당신을 그들의 사이트를 해킹했다고 비난 할 수 없더라도, 그들은 여전히 ​​당신의 편지가 위협하고 있으며 당신이 그 편지를 협박하려했다고 주장 할 수 있습니다.
biziclop

9
이 대답에 동의하는 것은 고통 스럽습니다. 코드 버그 보고서에 변호사가 필요할 때 사회에 대한 슬픈 논평입니다.
jdl

30

이것은 끔찍하게 들릴 것입니다 (적어도 대부분의 답변과 비교할 때). 그러나 여기에는 2 센트가 걸립니다.

왜 그것에 대해 무엇을해야합니까?

우선, 그들은 이미 이런 종류의 작업을 수행해야하는 직원이 있습니다 (문제를 찾아서 해결).

두 번째로, 질문을 구성한 방식이 마치 일종의 도덕적 딜레마 인 것처럼 들립니다. 그렇지 않습니다. 처음에는 그 문제를 일으키기 위해 아무 것도하지 않았습니다.

셋째, 당신은 그들과 경쟁하고 있습니다. ** YOUR 제품을 최고의 제품으로 만드는 데 집중해야합니다.

여전히 의심 스러우면 제 2 포인트로 돌아가서 다시 읽으십시오.


9
현실감 +1 불법적 인 행동은하지 마십시오. 부도덕한가요? 사업에는 도덕적이거나 부도덕 한 것이 없습니다. 회사는 도덕의 개념과 같은 것을 가지고 있지 않습니다.
Davor Ždralo

3
@HorusKol-+1은 회사의 급여와 비용을 지불하지 않습니다. 그러나 경쟁 업체보다 더 나은 제품을 제공 할 수 있습니다.
Jas

4
-1. 이런 종류의 사고는 커먼즈의 비극의 전형적인 예입니다. 보안 허점은 모두의 문제입니다.
메이슨 휠러

6
@Mason Wheeler : 커먼즈의 비극은 여러 개인이 독립적이고 합리적으로 자신의 자기 이익을 상담하고 행동하는 상황에서 발생하는 딜레마입니다. 이 일에 대한 장기적인 관심. 이것이 어떻게 적용되는지 알 수 없습니다.
user17610

3
솔직히 나는 당신이 경쟁자에게 그들의 보안 버그에 대해 말하지 말 것을 제안한다는 것에 충격을 받았다. 보도 자료 또는 프로모션 이메일 형식으로 버그 보고서를 제출하지 않겠습니까? 이러한 버그 보고서는 제품에 해당 버그가없고 사용자에게 미칠 수있는 영향에 주목해야합니다.
emory

22

취약성 탐색과 산업 스파이 간 경계는 좁으며, 고용주와 제휴하기 때문에 경쟁 업체는 후자를 고려할 수 있습니다.

신고하고 법적 / PR 악몽이 있다면 희생양이 될 것입니다.

법무 부서에 문의하여 적절하다고 생각되는대로 처리하도록하십시오. 엔지니어보다 더 많은 이유가 있습니다.


20

AFAICS가 아직 제안하지 않은 다른 회사에 위험없이 경쟁 업체에 정보를 가져 오는 다른 메커니즘은 다양한 취약성보고 회사 중 하나에 취약성에 대해 알리고이를 경쟁 업체에보고하도록 요청하는 것입니다. 그들은 (취약점보고 회사) 당신의 이름을보고에서 제외시킬 것입니다 – 당신은 당신의 경쟁자에 대해 익명입니다. 이러한 회사 중 하나는 ZDI ( Zero Day Initiative) 이며 ZDI 는 여러 회사가 있습니다.


11

물론 익명으로 미디어에 유출 한 다음 경쟁사 고객에게 빠른 마이그레이션을 제공합니다. 이것은 낮은 타격처럼 보일지 모르지만, 이것을 고려하십시오, 당신이하는 일에 대해 불법이거나 비 윤리적 인 것이 없으며, SW에서 개를 먹는 개 세계라고 생각하십시오 .David는 골리앗을 상대로 갈 때 모든 레버리지가 필요합니다. 개인적인 것이 아니라 엄밀히 사업 적이 라는 것을 기억하십시오 . 그들은 심장 박동에서 당신에게 똑같이 할 것입니다.

(FWIW 나는이 대답이 완전히 투표 될 것으로 기대하지만, 내가 말하는 것은 진실이지만 가혹한 것이기 때문에 괜찮습니다.)


나에게 좋은 것 같습니다 : 당신은 그들에게 알리고 동시에 이익을냅니다. 그러나 사이트에서 취약점이 발생하여 낚시를 시작할 가능성이 있습니다.
apoorv020

@apoorv 그것은 당신이 골리앗을 걱정할만큼 커졌다는 것을 의미 할 것입니다 :-).
Gaurav

왜 "누수"와 "익명"이라는 단어를 사용하는지 이해가되지 않습니다. OP는 잘못되거나 부도덕 한 행동을하지 않았다
emory

@ apporv020 u는 사이트 4의 취약점을 지속적으로 낚시하고 있다고 가정해야합니다.
emory

시장에서 "거대한"회사이기 때문에 고려해야 할 사항은 미디어에 취약점이 널리보고 된 경우 시장 고객이 어떻게 대응할 것인지입니다. "<< 베헤모스 회사 >>와의 데이터를 신뢰할 수 없으면이 작업을 수행해야합니까?" 이에 대한 답변은 취약점 보고서 공개 방법을 결정하는 데 도움이 될 수 있습니다. 귀하의 행동은 전체 시장 인식에 영향을 줄 수 있습니다.
Zusukar

8

소프트웨어에서 보안 취약점을 발견 한 경우 어떻게 하시겠습니까? 그게 첫 번째 질문입니다. 대답이 "그들이 말하면 정말 고맙겠습니다"라면, 당신은 당신의 대답이 있습니다!

그들이 거대한 회사 나 3 인 상점인지는 중요하지 않으며, 3 인 상점이나 거대한 회사인지는 중요하지 않습니다. 이미 말했듯이, 특히 소프트웨어로 알려진이 소규모 커뮤니티에서 당신의 평판은 모든 것입니다.


3
경쟁 업체가 일반적인 비즈니스 전략을 원하는 것과 정반대가 아닌가?
user17610

@ user17610-상황에 따라 다릅니다 ... 담요 진술을하고 모든 결정을 내릴 수는 없습니다. 당신의 경쟁이 많은 돈을 벌기를 원한다면 반대의 행동을 하시겠습니까?
Jesse McCulloch

아니, 그럼 그들이 돈을 많이 벌지 않도록 할 것이다;)
user17610

2
"소프트웨어에서 취약점을 발견 한 경우 어떻게 하시겠습니까?"
Craige

-1 : 나는 그들이 산업 스파이를 고발하는 것이 그들의 시장 점유율을 부식시키는 데 도움이 될 것이기 때문에 저에게 말하고 싶습니다! 경쟁자에게 자선을 베풀지 마십시오 ...
recursion.ninja

8

당신이 그들의 시스템과 자신의 사이 / 내보내기 데이터를 가져 오는 경우, 자신의 보안 취약점이 쉽게 될 수 귀하의 보안 취약점을 해결합니다.

기술적으로나 법적으로 엉덩이를 덮고 싶을 것입니다. 문제가 해결되었는지 확인하되 법무 부서에 알리십시오.


5

분명히, 그들에게 알려주십시오.

"마음의 선에서 벗어난 것"이 충분한 이유가 아닌 경우,이 기능을 자신의 고객에게 이익으로 구현하는 것을 고려하십시오. 이 버그를보고하여 데이터를 간접적으로 보호하고 있습니다.



0

개인적으로 나는 그들에게 말할 것입니다.

다른 사람들이 가능한 PR / 법적 문제를 지적했으며, 계층 또는 PR 에이전트와 대화 한 후보고하지 말 것을 권고하는 경우, 여전히보고하지만 익명으로 처리해야합니다.

데이터 보호를 통해 잠재적 인 고객에게 유리합니다.


예 : seclists.org/fulldisclosure 에게 익명의 메일 , 그는 그가 ...;)
Henrik

@Downvoter, 이유에 대한 의견이 있으십니까?
도미니크 맥도넬

0

원칙적으로 저는 여기서 가장 많이 말하는 것에 전적으로 동의합니다. 해상에서와 같이 전문적인 명예 규정이 있습니다. 배가 곤경에 처한 경우, 누가 소속되어 있든 도움이됩니다.

그러나 업데이트를 읽으면 의도가 좋은 행동이 잘못된 방식으로 수행 될 수 있기 때문에 (@Uri가 말한 산업 스파이 활동으로 인해) 훨씬 더 위험한 적대감을 초래할 위험이 있기 때문에 그들에게 알리지 않기로 결정했을 것입니다. 당신의 세 사람 가게는 그들보다 더합니다.

익명의 메모를 버리십시오. 어쩌면 아무것도하지 않을 수도 있습니다. 다윗이라면 골리앗에게 꿀벌이 등 뒤에 앉아 있다고 말할 필요는 없습니다.


-1

자연은 가혹한 측면에도 불구하고 친절한 경우가 있습니다. 그리고 두 번 생각하지 않고 행동합니다.

개는 개를 먹지 않습니다. 오히려 지루한 사람들은 불법 개 싸움에 돈을 지불합니다. 그리고 변호사들은 돈을 모 읍니다. 당신의 상사를 포함 해서요 당신이 지금 원하는 것보다 더. 깜박임없이 시작을 행복하게 할 수 있습니다.

또한 "경쟁자"라는 사람도 이미 알고 있습니다. 뉴스를 가져 오는 것은 단순한 전달 메신저보다 더 많은 책임을 의미 할 수 있습니다. 벽에 말하는 것보다 낫습니까?

보안 비즈니스 : 많은 구멍이있는 많은 서버가 온라인 상태입니다. 이 서버는 다른 서버입니다. 일부를위한 풀 타임 직업. 당신은 당신의 자신의 구멍을 확인 했습니까? 그들 모두?

당신의 단계를 시청.

고객 데이터는 중요한 집착입니다.


2
좋아, 나는이 게시물을 두 번 읽었습니다-그리고 여전히 논쟁의 어느 쪽이 그것을지지하고 있는지 확실하지 않습니다 ... :)
Cyclops

-1

그들에게. 그런 다음 이력서를 보내십시오. 그들은 고용 할 수 있습니다. :)


18
나는 15 분의 검사로 심각한 취약점을 발견하게하는 나쁜 코드를 작성하는 사람들을 위해 일하고 싶지 않다.)
user17610

@ user17610 : 좋아, 수정 된 변형 : 그들에게 말하고 고치는 지 확인하십시오. 그들이 적당한 시간에 그것을 고치지 않으면 그들에게 이력서를 보내지 마십시오.
sharptooth

-1

그들에게! 이다 옳은 일. 또한 당신이 그 자리에 있다면 어떻게하겠습니까?

당신은 이것으로부터 나올 수있는 선의에 가치를 둘 수 없습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.