Question Un dilemme éthique sur la non-divulgation de la sécurité [fermé]


Il y a trois ans, j'ai effectué un audit de sécurité pour un grand site de commerce électronique. Lors de la vérification, j'ai constaté plusieurs problèmes de sécurité graves qui autorisaient l'accès à des données qui ne devraient pas l'être après la fin d'une transaction. Sur ce site, il existe plusieurs risques majeurs. Tout d’abord, vous pouvez voir les commandes passer dans le système en temps réel; toutes les transactions sont traitées manuellement par cette société. Si vous visualisez une transaction, vous pouvez voir le nom, l'adresse et le lieu d'expédition. Je vois deux points d’abus ici, 1 - vous pouvez simplement modifier l’adresse de livraison et vous faire expédier l’envoi, et 2 - vous pouvez appeler l’utilisateur dès que la commande a été passée et faire une «confirmation téléphonique» pour y accéder simplement. aux informations de carte de crédit avec l'ingénierie sociale de base.

Vous pouvez également, avec un peu plus de travail, vider les numéros d’information CC et d’ID de commande, puis faire simplement correspondre l’ID de commande et les informations d’utilisateur.

Tout cela en utilisant des fonctions exposées sur leur site et en modifiant quelques valeurs. Oui, je suis vague pour une raison.

Le directeur marketing de cette société a été averti de ces risques il y a trois ans et n'a rien fait pour les corriger. Je ne doute pas que si je peux trouver cela, d’autres le peuvent. Ce site effectue 88 000 transactions par an et toutes les commandes déjà traitées sont toujours dans les données et accessibles.

Alors la question éthique… que dois-je faire? Mon entreprise ne s'en soucie pas… je ne peux donc pas obtenir d’aide là-bas. Si je contacte le responsable marketing, il continuera simplement de couvrir son cul et les ânes de leur équipe de développement interne incompétente (fusion à froid). Est-ce que je contacte quelqu'un de plus haut? Est-ce que je fais le tour de mon entreprise? Dois-je simplement exploiter les données et les vendre à un concurrent moins les informations CC? Qu'est-ce que je fais en sachant cela? Il me harcèle et je ne peux pas le laisser partir. Ce n’est qu’un des nombreux sites que je connaisse, mais la facilité d’accès et le trafic intense me font beaucoup réfléchir.


13
2017-09-29 06:41


origine


The marketing director at this company was warned about these risks three years ago euh ... cette entreprise n’a-t-elle pas un CTO ou un CIO auquel cela devrait être signalé? Le directeur du marketing ne devrait pas être le responsable informatique. - Powerlord
Cette question est hors sujet en vertu des règles d'actualité actuelles. - HopelessN00b


Réponses:


Il fut un temps où je suggérerais de prendre des mesures héroïques pour résoudre la situation. J'ai depuis appris mieux: vous ne pouvez pas forcer quelqu'un à agir dans son propre intérêt. Faire si souvent a des conséquences imprévues pour vous qui sont susceptibles d'être désagréables.

Pensez-y ... vous avez

  • Informé l'entreprise via votre rapport d'audit
  • Informé de votre gestion

Donc, si vous appelez le chef de la direction à la maison, vous avez maintenant terminé votre travail de gestion et créé une situation dans laquelle les personnes internes qui s'occupent de la CYA vont faire de vous le méchant. Le PDG écoutera davantage son personnel incompétent qu'un consultant choisi au hasard qui a effectué un audit il y a trois ans.

Mon conseil: allez boire une bière ou ce que vous aimez et ne visitez plus jamais le site Web.


15
2017-09-29 09:24



+1 "ne peut pas forcer quelqu'un à agir dans son propre intérêt". - pjc50
Mais ce n'est pas leur meilleur intérêt, ou seulement indirectement. C'est le meilleur intérêt de leurs clients. - wfaulk
@wfaulk: C'est peut-être vrai, mais ce n'est pas non plus l'affaire d'un consultant qui a été recruté il y a des années. Malheureusement, le monde est plein de gens qui sont inepte, ignorants ou mauvais acteurs. Nous n'avons pas la responsabilité individuelle de résoudre tous les problèmes - les professionnels de l'informatique ne sont pas des super-héros. - duffbeer703


Tout d'abord, vous ne vendez pas ce que vous savez, c'est certainement contraire à l'éthique, et peut être illégal :)

Mon deuxième conseil serait d’aller chez le patron de Marketing Guy, jusqu’au PDG de cette entreprise. Si vous travaillez pour un groupe d'audit, ils se soucient peu de savoir ce qu'une entreprise fait avec les informations, mais seulement de pouvoir vendre le service.

Troisièmement, si c'est vraiment ce Une grosse affaire, vous pourrez peut-être lancer une campagne de marketing / boycott anonyme (ou non anonyme) concernant l'insécurité du site, sans réellement les compromettre.

Mais mieux que de demander à un groupe d’administrateurs système de parler à un avocat de bonne réputation :)


8
2017-09-29 06:52



+1 pour avoir contacté un avocat. - Dennis Williamson


Vous avez été embauché pour effectuer un audit. Vous devez donc informer le client des résultats de cet audit. Ce qu’ils en font, c’est leur affaire. Ils ont décidé des risques par rapport au coût du changement. Pas toi. S'ils ont un problème de sécurité important et que vous recevez une assignation à comparaître, vous pouvez témoigner sur les résultats de l'audit (il y a trois ans). Voilà pour vos obligations.

J'ai des nouvelles pour vous. La grande majorité des entreprises traitent les données des clients de manière peu sûre, à un niveau ou à un autre. Combien de DBA ont un accès complet à toutes les données clients? Très peu d'entreprises utilisent Oracle Vault.

"Dois-je simplement exploiter les données et les vendre à un concurrent moins les informations CC?"

Seulement si tu veux aller en prison.


7
2017-09-29 12:00



C'est exactement ça. Chaque entreprise effectuera une analyse coûts-avantages pour chaque problème présenté. Parfois, elle choisit de balayer les problèmes sous le tapis et espère qu’ils passent inaperçus. Vous avez fait votre part. - Ed Leighton-Dick


Vous pouvez être sur de la glace très fine si vous divulguez quelque chose. Vous pouvez avoir de vrais problèmes pour cela.

Il y a une raison pour que les entreprises aient des accords rigoureux entre elles lors de la contraction des tests. L'entreprise de test a besoin de toute la protection possible. En divulguant des informations que vous ne devriez pas, vous pourrez et vous poursuivrez en justice.

Disons que vous allez chez le patron du marketing. Le patron s'attaque au gars du marketing. Le gars du marketing commence à couvrir son cul. Il peut persuader le patron que pour que vous ayez cette information, vous devez avoir fait quelque chose d'illégal, ou similaire. Même si vous finissez par gagner, vous risquez d’être longtemps en cour.

S'ils ne veulent pas le prendre au sérieux dès la première approche, le forcer à le faire sérieusement vous causera probablement des ennuis.

Pour votre bien, laissez tomber.

EDIT: En outre, si le contrat initial pour l’audit de sécurité inclut des personnes spécifiques, vous ne pouvez en informer que les autres. même société, non incluse dans l'accord, pourrait vous causer des ennuis.


6
2017-09-29 07:30



bons points. De même, révéler que vous êtes au courant des problèmes, des années plus tard, vous ouvre vraiment la voie à des questions inconfortables si la discussion s'inscrit dans les domaines juridique et commercial. Il est peu probable qu'une partie de l'accord prévoie que vous continuiez à "les surveiller" pendant des années. - damorg


Autant que je sache, vous avez fait votre travail. Vous avez effectué l'audit et transmis les résultats à la personne compétente en autorité. Mon conseil est de simplement reculer, vous ne pouvez plus rien faire de plus. Bien sûr, le dilemme est que des clients innocents puissent être exposés aux faiblesses de sécurité actuelles, mais ce n’est pas vraiment votre problème, c’est ça? Vous ne pouvez pas assumer la responsabilité de quoi que ce soit au-delà du mandat de votre travail.


6
2017-09-29 08:29





Vous ne divulguez certainement pas ces informations et ne les vendez certainement pas à des tiers.

Il y a quelque chose ici Je ne comprends pas ... il y a trois ans? Si vous avez effectué une vérification il y a 3 ans, comment se fait-il que vous en ayez encore à l'esprit? Vous sentez-vous si mal à propos de cela, ou la société non sécurisée fait-elle encore appel à vous pour des services de sécurité / d'audit?

C'est une question importante, car si vous n'avez pas eu affaire à cette entreprise depuis 3 ans, mon conseil est de partir. Cela semblerait très étrange si vous réapparaissez après trois ans et commencez à critiquer. Si c'était il y a 3 ans, alors vous aviez votre chance à l'époque, et vous ne l'avez pas prise. Maintenant éloigne-toi.

Si votre entreprise fait toujours affaire avec cette entreprise peu sûre, alors je proposerais de forcer votre propre patron à leur envoyer une lettre ensemble. Votre patron n'appréciera pas cela; mais pour vous c'est beaucoup mieux si la lettre vient de votre compagnie plutôt que de vous-même. Envoyez-le par courrier au chef des directeurs marketing (PDG). Restez poli, gardez le vague et couvrez le plus souvent votre propre entreprise **, et faites allusion aux décisions de sécurité des directeurs marketing qui sont si loin de correspondre aux normes acceptées du secteur que vous vous êtes senti obligé de dépasser. Votre objectif n’est pas de tout dire, mais de couvrir votre propre entreprise et de faire en sorte que l’autre PDG soit suffisamment ému pour demander une copie de votre rapport original.

Aller au-dessus de la tête des directeurs marketing est le mouvement le plus fort Je ne peux en aucun cas recommander. Et c'est vraiment très fort et non désiré. Vous avez été embauché pour fournir une expertise sur un aspect; ne pas diriger leurs affaires.

Sur une note de site un peu triste: il n’est pas rare de voir des hommes d’affaires contraires à l’éthique ou tout simplement incompétents. Parfois, ceux-ci peuvent engager des auditeurs de sécurité sans intention d'utiliser jamais les résultats; avec l’intention de dire seulement qu’ils ont été audités par la célèbre société de sécurité X. C’est bien sûr triste et offensant - mais c’est réel, et vous devrez vous y habituer si vous souhaitez travailler dans le domaine de l’audit de sécurité.


6
2017-09-29 09:34





D'autre part, vous devez considérer votre responsabilité si vous n'informez pas le client de manière adéquate des risques. Vous devez déterminer le type de couverture d'erreurs et d'omissions de votre entreprise. Vous dites que votre entreprise ne s'en soucie pas, mais je parie que si elle est poursuivie par le client à la suite d'un procès intenté à son encontre par l'un de ses clients, elle attirera l'attention de tous.


3
2017-09-29 08:05





Il y a 3 ans, vous avez effectué un travail pour lequel vous avez probablement été payé. Si vous avez suivi toutes les étapes requises dans l'exécution de ce travail, votre travail est terminé. Plus de. Fini.

J'ai du mal à comprendre pourquoi vous avez eu 3 ans pour faire quelque chose à ce sujet et vous ne l'avez pas fait. Cela ne me semble pas avoir des problèmes d'éthique. En fait, votre mention même de la vente éventuelle de l’information m’indique que vous avez peut-être des motifs très différents. À tout le moins, je trouve votre position très discutable.

Comme vous n'avez rien fait jusqu'à présent, si vous commencez à prendre des mesures, vous vous exposez peut-être à des poursuites judiciaires. Les lois varient d'un endroit à l'autre, mais là où je suis, si une personne a été victime d'un vol de données par le biais des mécanismes que vous avez décrits et que vous agissez seulement maintenant, vous êtes en fait un participant averti grâce à votre inaction précédente. Le seul moyen sûr pour vous personnellement est de le laisser tomber.


3
2017-09-29 22:23





Si vous êtes dans le domaine des "audits de sécurité", extraire les informations et les vendre est hors de question. Enfer, le fait que vous posiez même cette question me fait me poser des questions sur votre éthique et me ferait certainement me demander si vous conviendriez ou non pour mon équipe de sécurité.

Cela dit, vous avez fait votre travail. Vous avez été embauché pour faire une vérification de sécurité et vous l'avez fait. L'entreprise a-t-elle été informée des résultats par écrit? Comme d'autres l'ont dit, vous ne pouvez pas forcer une entreprise à supprimer des échappatoires en matière de sécurité. La question d'éthique est d'apprendre de cet audit et d'aller de l'avant.


1
2017-09-29 14:21





Si vous êtes soucieux de bien faire votre travail, vous avez fait votre travail. Ce n’est pas parce que personne ne donne suite à vos recommandations que vous réfléchissez.

Cependant, si vous craignez légitimement que leurs clients soient victimes de vol d'identité ou de vol de carte de crédit, je vous conseillerais de contacter le Département des plaintes de la FTC. (En supposant que vous soyez aux États-Unis. Dans le cas contraire, votre pays a probablement un ministère similaire.)


1
2017-09-29 15:37