경쟁 업체 사이트에서 취약점을 발견하면 어떻게해야합니까?

회사의 프로젝트를 진행하는 동안 사용자가 경쟁 업체 사이트에서 데이터를 가져 오거나 내보낼 수있는 기능을 구축해야했습니다. 이를 수행하는 동안 경쟁 업체 웹 사이트에서 스크립트를 수행 할 수있는 매우 심각한 보안 취약점을 발견했습니다.

저의 자연스러운 느낌은 선의의 정신으로 문제를보고하는 것입니다. 이점을 얻기 위해이 문제를 악용하는 것은 제 생각을 넘어 섰지 만 그 길을 가고 싶지 않습니다.

내 질문은, 당신이 그들을 돕기 위해 직접 경쟁에 심각한 취약점을보고 하시겠습니까? 아니면 입을 다물고 있습니까? 이 문제를 해결하는 더 좋은 방법이 있습니까, 아마도 내가 문제를보고하여 그들을 돕고 있다는 사실로부터 적어도 몇 가지 이점을 얻을 수 있습니까?

업데이트 (설명) :

지금까지 모든 의견을 보내 주셔서 감사합니다. 감사합니다. 문제의 경쟁이 시장에서 엄청나게 많으며 (여러 대륙에있는 수백 명의 직원) 회사가 몇 주 전에 시작한 경우 (3 명의 직원) 대답이 바뀌겠습니까? 말할 필요도없이, 그들은 분명히 우리를 기억하지 못할 것이며, 무엇이든 그들의 사이트가 제대로 작동해야한다는 것을 깨닫게됩니다.

이것은 도덕 대 비즈니스 던지기 중 하나 일 수 있지만 모든 조언에 감사드립니다.

그들에게 알리기 위해 메모를 남기는 것이 안전 할 수있는 세상에서 살고 싶지만 법무 부서에 먼저 참여하는 것이 좋습니다. 현실적으로, 버그 보고서가 의도 한 바에 따르면, 경쟁사 조직의 누군가가 그것을 "우리의 경쟁자가 직원 중 한 명에게 사이트를 해킹하기 위해 돈을 지불했다"고 해석 할 것입니다. 이러한 인식은 귀하와 회사 모두에게 법적 또는 PR 문제를 야기 할 수 있습니다. 법률 부서를 알림에 포함 시키면 모든 사람이 부적절하게 보이는 것을 막을 수 있습니다. 물론, 그것은 법무 부서가 경쟁사에게 알리는 것이 용납 할 수없는 법적 위험을 초래한다고 결론을 내릴 수 있으며 정보에 앉아 있다고 말합니다. 하지만 그건

이것은 끔찍하게 들릴 것입니다 (적어도 대부분의 답변과 비교할 때). 그러나 여기에는 2 센트가 걸립니다.

왜 그것에 대해 무엇을해야합니까?

우선, 그들은 이미 이런 종류의 작업을 수행해야하는 직원이 있습니다 (문제를 찾아서 해결).

두 번째로, 질문을 구성한 방식이 마치 일종의 도덕적 딜레마 인 것처럼 들립니다. 그렇지 않습니다. 처음에는 그 문제를 일으키기 위해 아무 것도하지 않았습니다.

셋째, 당신은 그들과 경쟁하고 있습니다. ** YOUR 제품을 최고의 제품으로 만드는 데 집중해야합니다.

여전히 의심 스러우면 제 2 포인트로 돌아가서 다시 읽으십시오.

취약성 탐색과 산업 스파이 간 경계는 좁으며, 고용주와 제휴하기 때문에 경쟁 업체는 후자를 고려할 수 있습니다.

신고하고 법적 / PR 악몽이 있다면 희생양이 될 것입니다.

법무 부서에 문의하여 적절하다고 생각되는대로 처리하도록하십시오. 엔지니어보다 더 많은 이유가 있습니다.

AFAICS가 아직 제안하지 않은 다른 회사에 위험없이 경쟁 업체에 정보를 가져 오는 다른 메커니즘은 다양한 취약성보고 회사 중 하나에 취약성에 대해 알리고이를 경쟁 업체에보고하도록 요청하는 것입니다. 그들은 (취약점보고 회사) 당신의 이름을보고에서 제외시킬 것입니다 – 당신은 당신의 경쟁자에 대해 익명입니다. 이러한 회사 중 하나는 ZDI ( Zero Day Initiative) 이며 ZDI 는 여러 회사가 있습니다.

물론 익명으로 미디어에 유출 한 다음 경쟁사 고객에게 빠른 마이그레이션을 제공합니다. 이것은 낮은 타격처럼 보일지 모르지만, 이것을 고려하십시오, 당신이하는 일에 대해 불법이거나 비 윤리적 인 것이 없으며, SW에서 개를 먹는 개 세계라고 생각하십시오 .David는 골리앗을 상대로 갈 때 모든 레버리지가 필요합니다. 개인적인 것이 아니라 엄밀히 사업 적이 라는 것을 기억하십시오 . 그들은 심장 박동에서 당신에게 똑같이 할 것입니다.

(FWIW 나는이 대답이 완전히 투표 될 것으로 기대하지만, 내가 말하는 것은 진실이지만 가혹한 것이기 때문에 괜찮습니다.)

소프트웨어에서 보안 취약점을 발견 한 경우 어떻게 하시겠습니까? 그게 첫 번째 질문입니다. 대답이 "그들이 말하면 정말 고맙겠습니다"라면, 당신은 당신의 대답이 있습니다!

그들이 거대한 회사 나 3 인 상점인지는 중요하지 않으며, 3 인 상점이나 거대한 회사인지는 중요하지 않습니다. 이미 말했듯이, 특히 소프트웨어로 알려진이 소규모 커뮤니티에서 당신의 평판은 모든 것입니다.

당신이 그들의 시스템과 자신의 사이 / 내보내기 데이터를 가져 오는 경우, 자신의 보안 취약점이 쉽게 될 수 귀하의 보안 취약점을 해결합니다.

기술적으로나 법적으로 엉덩이를 덮고 싶을 것입니다. 문제가 해결되었는지 확인하되 법무 부서에 알리십시오.

분명히, 그들에게 알려주십시오.

"마음의 선에서 벗어난 것"이 충분한 이유가 아닌 경우,이 기능을 자신의 고객에게 이익으로 구현하는 것을 고려하십시오. 이 버그를보고하여 데이터를 간접적으로 보호하고 있습니다.

훌륭한 선택은 하나뿐입니다. 그들에게.

개인적으로 나는 그들에게 말할 것입니다.

다른 사람들이 가능한 PR / 법적 문제를 지적했으며, 계층 또는 PR 에이전트와 대화 한 후보고하지 말 것을 권고하는 경우, 여전히보고하지만 익명으로 처리해야합니다.

데이터 보호를 통해 잠재적 인 고객에게 유리합니다.

원칙적으로 저는 여기서 가장 많이 말하는 것에 전적으로 동의합니다. 해상에서와 같이 전문적인 명예 규정이 있습니다. 배가 곤경에 처한 경우, 누가 소속되어 있든 도움이됩니다.

그러나 업데이트를 읽으면 의도가 좋은 행동이 잘못된 방식으로 수행 될 수 있기 때문에 (@Uri가 말한 산업 스파이 활동으로 인해) 훨씬 더 위험한 적대감을 초래할 위험이 있기 때문에 그들에게 알리지 않기로 결정했을 것입니다. 당신의 세 사람 가게는 그들보다 더합니다.

익명의 메모를 버리십시오. 어쩌면 아무것도하지 않을 수도 있습니다. 다윗이라면 골리앗에게 꿀벌이 등 뒤에 앉아 있다고 말할 필요는 없습니다.

자연은 가혹한 측면에도 불구하고 친절한 경우가 있습니다. 그리고 두 번 생각하지 않고 행동합니다.

개는 개를 먹지 않습니다. 오히려 지루한 사람들은 불법 개 싸움에 돈을 지불합니다. 그리고 변호사들은 돈을 모 읍니다. 당신의 상사를 포함 해서요 당신이 지금 원하는 것보다 더. 깜박임없이 시작을 행복하게 할 수 있습니다.

또한 "경쟁자"라는 사람도 이미 알고 있습니다. 뉴스를 가져 오는 것은 단순한 전달 메신저보다 더 많은 책임을 의미 할 수 있습니다. 벽에 말하는 것보다 낫습니까?

보안 비즈니스 : 많은 구멍이있는 많은 서버가 온라인 상태입니다. 이 서버는 다른 서버입니다. 일부를위한 풀 타임 직업. 당신은 당신의 자신의 구멍을 확인 했습니까? 그들 모두?

당신의 단계를 시청.

고객 데이터는 중요한 집착입니다.

그들에게. 그런 다음 이력서를 보내십시오. 그들은 고용 할 수 있습니다. :)

그들에게! 이다 옳은 일. 또한 당신이 그 자리에 있다면 어떻게하겠습니까?

당신은 이것으로부터 나올 수있는 선의에 가치를 둘 수 없습니다.