13 votos

Ética quandry sobre la seguridad de confidencialidad

Hace tres años me hicieron una auditoría de seguridad para un gran sitio web de comercio electrónico. Cuando la auditoría se llevó a cabo, he encontrado varios graves problemas de seguridad que permiten el acceso a datos que no debería ser accesible después de que una transacción se ha completado. En este sitio hay varios de los principales riesgos. En primer lugar, usted puede ver los pedidos que llegan a través del sistema de tiempo real; todas las transacciones se procesan de forma manual por parte de esta empresa. Si usted ve una transacción que usted puede ver el nombre, la dirección y destino de envío. Veo dos abuso de los puntos, 1 – puedes editar el envío a la dirección y la carga enviada a sí mismo, y 2 – usted puede llamar el derecho de usuario como se hizo el pedido y hacer un "teléfono de confirmación" para acceder simplemente a la información de tarjeta de crédito básica de ingeniería social.

También puede, con un poco más de trabajo, el volcado de los CC info y orden de los números de ID y, a continuación, simplemente coincidir el ID de pedido y la información de usuario.

Todo esto es mediante el uso de funciones expuestas en su sitio y modificar un par de valores. Sí, estoy siendo vaga por una razón.

El director de marketing de esta empresa se le advirtió acerca de estos riesgos hace tres años y no ha hecho nada para corregirlos. No me cabe duda de que si puedo encontrar este. Este sitio hace 88K transacciones por año y tiene todas las órdenes de compra de procesado todavía en datos y accesible.

Así que la cuestión ética... ¿qué debo hacer? Mi empresa no le importa... así que no puedo obtener ayuda allí. Si entro en contacto con la comercialización chico que va a continuar con la cobertura de su culo y de los asnos de su incompetente equipo de desarrollo interno (fusión fría). Me pongo en contacto con alguien más? Tengo que ir alrededor de mi empresa? Sólo debo extraer los datos y la venden a un competidor menos en el CC info? ¿Qué hago saber esto? Es persistente en mí y no puedo dejar que se vaya. Este es sólo uno de los muchos sitios yo sepa, pero la facilidad de acceso y de alto tráfico me hace reflexionar mucho sobre esto.

15voto

duffbeer703 Puntos 9747

Hubo un tiempo en donde yo sugeriría tomar medidas heroicas para resolver la situación. Desde entonces he aprendido mejor, usted no puede obligar a alguien a actuar en su mejor interés. Hacerlo a menudo tiene consecuencias no deseadas para los que son propensos a ser desagradable.

Pensar acerca de esto... has

  • Informado la compañía a través de su informe de auditoría
  • Informó a su gestión

Así que si usted se vaya y llame al CEO en casa, ahora que ha hecho un final de correr alrededor de su gestión y ha creado una situación en la que la gente interna que están haciendo la CYA cosa se va a hacer de villano. El CEO va a escuchar a su incompetente personal de más de una al azar consultor que realizó una auditoría de hace 3 años.

Mi consejo: ir a tomar una cerveza o lo que sea que te gusta hacer y nunca visite el sitio web de nuevo.

8voto

bigmattyh Puntos 9167

En primer lugar - que no venda lo que se sabe, eso es ciertamente inmoral, y puede ser ilegal :)

Mi segundo consejo es ir a la Comercialización Chico del jefe, todo el camino hasta el CEO de la empresa. Si usted trabaja para una auditoría del grupo, no les importa lo que una empresa hace con la información, sólo que se llegó a vender el servicio en el primer lugar.

Tercero, si realmente esto es gran cosa, usted puede ser capaz de iniciar una anónima (o no anónimas) marketing/boicotear la campaña con respecto a la inseguridad en el sitio, sin que en realidad comprometerlos.

Pero mejor que pedir un montón de administradores del sistema, sería hablar con un abogado de buena reputación :)

7voto

kmarsh Puntos 2791

Usted fue contratado para realizar una auditoría, por lo que su deber es para con el cliente para informarle de los resultados de la auditoría. Lo que hacen con ella es su negocio. Ellos han decidido los riesgos versus los costos de cambio. No a usted. Si tienen un enorme problema de seguridad y usted recibe una citación, se llega a testificar acerca de los resultados de la auditoría (hace 3 años). Eso es todo en cuanto a sus obligaciones.

Tengo noticias para usted. La gran mayoría de las empresas de manejar los datos de los clientes, dada la inseguridad de la moda, en algún nivel o en otro. Cómo muchos de los administradores de bases de tener acceso completo a todos los datos de los clientes? Muy pocas empresas ejecutar Oracle Bóveda.

"No me acaba de extraer los datos y la venden a un competidor menos en el CC info?"

Sólo si usted quiere ir a la cárcel.

6voto

artifex Puntos 1172

Puede ser en realidad una fina capa de hielo si usted divulga nada. Usted puede entrar en un verdadero problema para eso.

Hay una razón para las empresas que tienen riguroso de los acuerdos entre el uno con el otro cuando pentesting es contratado. El pentesting empresa necesita toda la protección que puede obtener. Divulgación de información no debe y puede llegar de procesado o procesados.

Digamos que usted vaya a la comercialización chico es el jefe. El jefe se sujeta en la comercialización chico. La comercialización chico comienza a cubrir su culo. Él puede convencer al jefe de que en orden para que usted tenga esta información, usted debe haber hecho algo ilegal, o similar. Incluso si usted va a ganar con el tiempo, usted podría estar en la corte por un largo tiempo.

Si no quieren tomar en serio en el primer enfoque, presionando para que tomando en serio más probable es que meterlo en problemas.

Por causa de la gota.

EDIT: Además, si el contrato original para la auditoría de seguridad incluye a personas específicas que sólo pueden informar, informar a otros en la misma empresa, no incluidos en el acuerdo, podría meterlo en problemas.

6voto

BlankVerse Puntos 85

Tan lejos como puedo ver que usted ha hecho su trabajo. Se realiza la auditoría y pasa los resultados a la persona en autoridad. Mi consejo es que simplemente alejarse de ella, no hay nada más que usted realmente puede hacer. Por supuesto, el dilema es que los inocentes clientes que podrían estar expuestos a los continuos fallos de seguridad, pero no es realmente su problema es? Usted no puede asumir la responsabilidad de cualquier parte de ella más allá de las atribuciones de su trabajo.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: