1. ホーム
  2. 質問と答え
  3. セキュリティ倫理の非開示

セキュリティ倫理の非開示

2009-09-29 5 views
8

3年前私は大規模なeコマースウェブサイトのセキュリティ監査を行った。監査が実行されたときに、トランザクションが完了した後にアクセスできないデータへのアクセスを可能にする重大なセキュリティ問題がいくつか見つかった。このサイトにはいくつかの大きなリスクがあります。まず、システムを介して注文がリアルタイムで受信されていることがわかります。すべてのトランザクションはこの会社によって手動で処理されます。取引を見ると、名前、住所、配送先がわかります。私はここに2つの虐待ポイントがあることを知っています。1 - あなたは船を編集して自分宛に発送してもらうことができます.2 - あなたは注文があったときにユーザーに電話し、簡単にアクセスできる基本的なソーシャルエンジニアリングのCC情報へ。セキュリティ倫理の非開示

また、cc情報と注文ID番号をもう少しダンプして、注文IDとユーザー情報を単純に一致させることもできます。 これは、サイト上の公開された関数を使用し、2つの値を変更することによるものです。はい、私は理由であいまいです。

この会社のマーケティングディレクターは、3年前にこれらのリスクについて警告され、修正するために何もしていませんでした。私は他の人がこれを見つけることができるかどうかは疑いがない。このサイトは年間88K件のトランザクションを処理しており、これまでに処理されたすべての注文がまだデータとアクセス可能な状態で処理されています。

倫理的な質問...私は何をしますか?私の会社は気にしないので、私はそこで助けを得ることができません。マーケティング担当者に連絡すれば、彼は自分のお尻と無能な内部開発チーム(風邪の融合)のお尻をカバーし続けるだけです。私は誰かに連絡しますか?私は私の会社を回っていますか?私はデータを掘り出して、それを競合他社に差し込んでcc情報をマイナスしますか?私はこれを知っていますか?私のそばにいると私はそれを行かせることはできません。これは私が知っている多くのサイトのうちの1つに過ぎませんが、アクセスが簡単でトラフィックが多いので、これについて多くのことを熟考しています。

出典

2009-09-29 tom

+0

私は、プログラミングではなくプログラマを対象にしているため、この質問を議論の対象外としています。 – gunr2171

答えて

3

2つの考え方があります:責任ある開示と完全な開示。しかし、あなたの会社の時間(評価)でそれをした場合、私はあなたが公に開示しないよう厳しく拘束されていると思います。

出典

2009-09-29 06:45:18

+0

合意と+1。しかし、ジレンマトムの顔は、他の(悪意のある)人々がこの穴を見つけた可能性があることを知っているので、完全な開示部分を行わないことによって、無実の人々が切り裂かれることがあります。 – si618

+0

無実の人々は、一般的にこれらのことによって裂かれません。クレジットカード会社はそのような詐欺をカバーしています。もし彼が部外者だったら、私は倫理的な問題があることに同意しますが、彼がこの情報を公に開示すれば、会社の仕事の一環としてそれを行い、それは彼に戻ってリンクすることができます。彼はおそらく訴訟を起こし、業界で再び働くことはできません(それは以前に起こったことです)。だから非常に注意してください。 –

+1

あなたがID盗難の対象としていない限り、その名前、住所、CCの詳細が公開されているので、確かに危険です。 – si618

1

実用的なアプリケーションでは、セキュリティホールを見つけて警告しました。彼らがそれらを修正したくなければ、それは彼らのビジネスです。

多分マーケティングディレクターはこの情報を扱う正しい人物ではありません。あなたは外交的スキルを使い、上級管理職に連絡することができます。しかし、誰かを非難しないでください。これは逆行するだろうから。

競合他社には何も売っていませんが、それは確かに大変なトラブルにつながるからです。

出典

2009-09-29 06:51:24

7

通常の顧客から見ると、この会社の顧客ケアの程度は一般に公開されるべきだと思います。彼らは本当に顧客の個人情報を開示する可能性のある穴については気にしません。だから、彼らは本当に罰せられなければなりません。しかし穴を明らかにすることは、彼らだけでなく顧客を傷つけるでしょう。

あなたがセキュリティ監査のために支払われた場合、あなたは見つかったものに関する情報を公表することも、何らかの方法で使用することもできない倫理的権利があります。セキュリティ専門家は何年後にも彼が見つけたことを明らかにする者を誰が信頼するでしょうか?私はあなたができることは何もないと思います。

出典

2009-09-29 06:52:27

2

私はあなたの学習経験として、このような事件を最初に書くでしょう。あなたとクライアント(およびあなたの管理職)は、あなたの責任の範囲を明確にしていませんでした。

あなたの本当の疑問は、「これが再び起こらないようにするにはどうしたらよいですか?

出典

2009-09-29 07:06:59 dkretz

0

私は過去にsimilar scenarioに直面しました。私はペンテストやセキュリティ監査を行うために支払われるのではなく、穴を偶然見つけましたが。

私は、2年後に何の措置も講じなかったときに、州の新聞に完全な開示メーリングリスト(政府の連絡先と一緒に)を投稿することに真剣に誘惑されましたが、データが公開するのは危険すぎる(潜在的に)悪意のある人に

ハードな選択ですが。

出典

2009-09-29 07:19:27 si618

0

個人の団体で、契約条件を満たしていると思われる場合は、できる限りやり遂げたと言います。

ただし、公的資金を何らかの形で受け取っている団体であれば、私は彼らにもう一度チャンスを与えてから(技術)プレスに行くことをお勧めします。

出典

2009-09-29 07:26:21 AakashM

4

社内の適切な人材を探しましょう。

もし適切な人がいない場合は、最高レベルの聴衆を得ることができ、いくつかの簡単な非専門的な文章で問題を説明することができます。

"このサービス情報を使用したことがあるすべての顧客は、今日、半知り合いの人によって今すぐ盗まれる可能性があります。それは訴訟で5百万ドル、残業で1百万ドル、評判で百万ドル、将来の失われた顧客/注文で百万ドルを要する」と述べた。

それは過去に私のために働いていました。もしあなたがそれをすれば、正しいことをやるために最善を尽くすでしょう。

出典

2009-09-29 07:27:57 Collin

関連する問題

 関連する問題