三年前,我做了一个大型电子商务网站的安全审计。 在执行审计时,我发现了几个严重的安全问题,允许访问交易完成后不应访问的数据。 在这个网站上有几个主要的风险。 首先,您可以实时看到通过系统的订单; 所有交易都由该公司手动处理。 如果您查看交易,您可以看到名称,地址和送货目的地。 我在这里看到两个弊端:1 – 您可以简单地编辑船只地址并将货物发送给您自己; 2 – 您可以在订单发出时打电话给用户,并通过“电话确认”进行简单访问到基本的社会工程信用卡信息。
您也可以多做一些工作,转储CC信息和订单ID号码,然后简单地匹配订单ID和用户信息。
这是通过在他们的网站上使用暴露的函数,并修改一些值。 是的,我有一个模糊的理由。
这家公司的营销总监三年前就被告知这些风险,并没有采取任何措施来纠正这些风险。 我不怀疑,如果我能find这个别人可以。 该网站每年进行88K次交易,并且所有订单仍然处于数据处理状态。
所以道德问题…我该怎么办? 我的公司不在乎…所以我不能在那里得到帮助。 如果我联系营销人员,他会继续掩盖他的屁股和他们无能的内部发展团队(冷聚变)的驴子。 我可以和更高层的人联系吗? 我可以绕过我的公司吗? 我只是挖掘数据,并将其销售给竞争对手减去CC信息? 我该怎么做才知道这一点? 这是唠叨我,我不能放过它。 这只是我所知道的许多网站之一,但访问的便利性和高stream量使我思考了很多。
有一段时间我会build议采取英勇的措施来解决这个问题。 我学到了更好的东西 – 你不能强迫某人为自己的最大利益行事。 这样做经常会给你带来意想不到的后果,而这可能是不愉快的。
想想…你已经
所以如果你去家里打电话给首席执行官,你现在已经对pipe理层做了一个彻头彻尾的回应,并且创造了一个情况,就是那些正在做CYA事情的内部人会让你变成恶棍。 首席执行官将听取他的无能的工作人员,而不是一个3年前进行审计的随机顾问。
我的build议是:去喝一杯啤酒或者任何你喜欢做的事情,而不要再次访问网站。
首先 – 你不卖你知道的,这当然是不道德的,可能是非法的:)
我的第二个build议是去找Marketing Guy的老板,一直到那家公司的首席执行官。 如果你为一个审计团队工作,他们并不关心公司如何处理这些信息,只是他们必须首先销售这个服务。
第三,如果真的是这么大的话,你可能会开始一个关于网站不安全的匿名(或非匿名)营销/抵制运动,而不会实际上妥协。
但是,问问一堆系统pipe理员会不会是一个有信誉的律师:)
你被聘请进行审计,所以你的责任是向客户通报他们的审计结果。 他们所做的是他们的业务。 他们已经决定了风险与成本的变化。 不是你。 如果他们有一个大规模的安全问题,你会得到传票,你会作证审计结果(3年前)。 这就是你的义务。
我有消息给你。 绝大多数公司在某种程度上以不安全的方式处理客户数据。 有多lessDBA可以完全访问所有客户数据? 很less有公司运行Oracle Vault。
“我只是把这些数据挖掘出来,然后把它卖给竞争对手减去CC信息?
只有当你想进监狱。
如果你泄露任何东西,你可能真的很瘦。 你可能会遇到麻烦。
在签字合同时,公司之间有严格的协议是有原因的。 pentesting公司需要所有的保护,他们可以得到。 披露信息你不应该可以,会让你起诉或起诉。
假设你去找营销人员的老板。 老板紧紧抓住营销人员。 营销人员开始掩盖他的屁股。 他可能会说服老板,为了让你掌握这些信息,你必须做一些非法的事情,或者类似的事情。 即使你最终获胜,也可能会在法庭上逗留很长一段时间。
如果他们不想在第一时间认真对待,要求他们认真对待,很可能会让你陷入困境。
为了你的缘故,放下它。
编辑:此外,如果最初的安全审计协议包括具体的人,你只能通知,通知其他公司,不包括在协议,可能会让你陷入困境。
就我所见,你已经完成了你的工作。 您进行审计并将结果传递给相关的权威人士。 我的build议是退后一步,没有什么可以做的。 当然,这个困境是无辜的客户可能会面临持续的安全弱点,但这不是真的是你的问题吗? 除了工作范围以外,你不能承担任何责任。
你当然不会泄露这些信息,你当然不会把它卖给外人。
这里有什么我不明白的…三年前? 如果你3年前做过审计,你怎么还在想呢? 你对此感觉不好吗?还是这个不安全的公司仍在为你的公司承包安全/审计服务?
这是一个重要的问题,因为如果你现在已经和这家公司有三年没有业务了,那么我明确的build议就是走开。 如果3年后再次出现,并开始批评,这似乎很奇怪。 如果是3年前,那么当时你有机会,而你没有接受。 现在走开。
如果你的公司还在和这个不安全的公司做生意 ,那么我会build议你自己的老板一起给他们寄一封信。 你的老板不会喜欢这个; 但是对于你来说,如果这封信来自你的公司,而不是你自己,那么它会好得多。 用快递寄给营销经理老板(CEO)。 保持礼貌,保持模糊,大部分覆盖你自己的公司a **,并暗示营销经理的安全决定远远超出公认的行业标准,你感到必须超越他的头。 你的目标不是要告诉你所有的事情,你的目标是把你自己的公司包括在内,并让另一位首席执行官足够啰嗦,要求提供一份原始报告的副本。
走过市场经理的头是我可以以任何方式推荐的最强的举措 。 这真的很强大,不需要。 你被聘请在一个方面提供专家意见; 不要经营他们的业务。
在一个有点悲伤的网站上说:看到不道德的商业人士或普通的无能的商人并不罕见。 有时候,这些人可能会雇用安全审计员而无意使用调查结果; 只是说他们已经被知名的安全公司X审计过了。这当然是伤心和冒犯的 – 但这是真实的,如果你想从事安全审计工作,你将不得不习惯它。
另一方面,你必须考虑你的责任,因为没有充分告知客户风险。 你必须考虑你的公司承担什么样的错误和遗漏报道。 你说你的公司不在乎,但是我敢打赌,如果他们被客户起诉,被他们的一个客户对他们起诉,就会引起大家的注意。
3年前你做了一份工作,你大概是为此付出的。 如果你在执行这项工作时采取了所有必要的步骤,那么你的工作就完成了。 过度。 成品。
我很难理解为什么你有3年的时间来做这件事,而没有。 这听起来不像你有道德问题。 事实上,你提到可能出售的信息暗示了你可能有完全不同的动机。 至less我觉得你的立场是非常可疑的。
由于到现在为止你什么也没有做,如果你开始采取任何行动,你可能会暴露自己可能的法律行动。 每个地方的法律都有所不同,但是我所在的地方,如果有人通过您描述的机制成为数据盗窃的受害者,而您现在只采取行动,您实际上是通过您以前的无所作为的认识参与者。 你个人唯一安全的方法就是放弃它。
如果您从事“安全审计”业务,那么挖掘信息并进行销售是不可能的。 地狱,事实上,你甚至会问这个问题,我有没有想过你的道德问题,并且肯定会让我质疑你是否适合我的安全团队。
说了这么多,你做了你的工作。 你被雇来做安全审计,你做了。 公司是否以书面forms意识到这些发现? 正如其他人所说,你不能强迫一家公司来弥补安全漏洞。 道德问题是从这个审计中学习并继续。
如果你担心你的工作做得不错,你已经完成了你的工作。 只因为没有人对你的build议采取行动并不反映在你身上。
但是,如果您合法地担心自己的客户身份或信用卡被盗事件的受害者,我会说联系FTC投诉部门 。 (假设你在美国,如果没有,你的国家可能有一个类似的政府部门)
我在道德方面做了几个学期,这确实是一个艰难而棘手的问题。
在这里要求“我该做什么”的答案永远不会给你一个“正确的”答案,你所得到的只是答案的重新执行或者违背你对这个问题的个人感受。
此外,您所得到的所有答案都将受到人们过去的行为或决定,他们居住的地方,他们长大的地方,当地的法律和习俗的强烈影响。 所以,即使他们遇到了同样的情况,他们的经历可能完全不同。
简短的回答是:你需要做你认为正确的事情。 显然你相信无所作为是不对的。 如果你没有,你不会问这个。
我个人不同意每个人都说“放弃”或“你已经完成了你的工作”。 这似乎是一个stream行的观点,每当伦理出现在ServerFault上。 这不是一个错误的答案,这不是我的答案。