Pertengkaran etis tentang keamanan yang tidak diungkapkan [ditutup]

Tiga tahun lalu saya melakukan audit keamanan untuk situs web e-commerce besar. Ketika audit dilakukan, saya menemukan beberapa masalah keamanan parah yang memungkinkan akses ke data yang seharusnya tidak dapat diakses setelah transaksi selesai. Di situs ini ada beberapa risiko utama. Pertama, Anda dapat melihat pesanan datang melalui sistem waktu nyata; semua transaksi diproses secara manual oleh perusahaan ini. Jika Anda melihat transaksi, Anda dapat melihat nama, alamat, dan tujuan pengiriman. Saya melihat dua poin penyalahgunaan di sini, 1 - Anda dapat mengedit kapal ke alamat dan mengirim kiriman ke diri Anda sendiri, dan 2 - Anda dapat memanggil pengguna tepat saat pesanan dilakukan dan melakukan "konfirmasi telepon" untuk mendapatkan akses cukup ke info kartu kredit dengan rekayasa sosial dasar.

Anda juga dapat, dengan sedikit lebih banyak pekerjaan, membuang info CC dan nomor ID pesanan dan kemudian cukup mencocokkan ID pesanan dan info pengguna.

Ini semua dengan menggunakan fungsi terbuka di situs mereka dan memodifikasi nilai pasangan. Ya, saya tidak jelas karena suatu alasan.

Direktur pemasaran di perusahaan ini telah diperingatkan tentang risiko ini tiga tahun lalu dan tidak melakukan apa pun untuk memperbaikinya. Saya tidak ragu bahwa jika saya dapat menemukan ini orang lain dapat. Situs ini melakukan transaksi 88 ribu per tahun dan semua pesanan pernah diproses dalam data dan dapat diakses.

Jadi pertanyaan etis ... apa yang harus saya lakukan? Perusahaan saya tidak peduli ... jadi saya tidak bisa mendapatkan bantuan di sana. Jika saya menghubungi orang pemasaran dia hanya akan terus menutupi pantat dan keledai tim pengembangan internal mereka yang tidak kompeten (fusi dingin). Apakah saya menghubungi seseorang yang lebih tinggi? Apakah saya berkeliling perusahaan saya? Apakah saya hanya menambang data dan menjualnya ke pesaing dikurangi info CC? Apa yang saya lakukan mengetahui hal ini? Ini mengganggu saya dan saya tidak bisa membiarkannya pergi. Ini hanya salah satu dari banyak situs yang saya ketahui, tetapi kemudahan akses dan lalu lintas tinggi membuat saya banyak merenungkan hal ini.

Ada saat di mana saya akan menyarankan mengambil tindakan heroik untuk menyelesaikan situasi. Sejak itu saya belajar lebih baik - Anda tidak dapat memaksa seseorang untuk bertindak demi kepentingan terbaik mereka sendiri. Melakukan hal itu sering kali memiliki konsekuensi yang tidak diinginkan untuk Anda yang cenderung tidak menyenangkan.

Pikirkan tentang itu ... Anda sudah

• Menginformasikan perusahaan melalui laporan audit Anda
• Menginformasikan manajemen Anda

Jadi, jika Anda pergi dan menelepon CEO di rumah, Anda sekarang telah melakukan end-run di sekitar manajemen Anda dan menciptakan situasi di mana orang-orang internal yang melakukan hal CYA akan membuat Anda menjadi penjahat. CEO akan mendengarkan stafnya yang tidak kompeten lebih dari konsultan acak yang melakukan audit 3 tahun yang lalu.

Saran saya: pergi minum bir atau apa pun yang Anda suka dan tidak pernah mengunjungi situs web lagi.

Pertama - Anda tidak menjual apa yang Anda tahu, itu pasti tidak etis, dan mungkin ilegal :)

Saran kedua saya adalah pergi ke bos Marketing Guy, sampai ke CEO perusahaan itu. Jika Anda bekerja untuk grup audit, mereka tidak peduli apa yang dilakukan perusahaan dengan informasi tersebut, hanya saja mereka harus menjual layanan tersebut.

Ketiga, jika ini benar-benar masalah besar, Anda mungkin dapat memulai kampanye pemasaran / boikot anonim (atau non-anonim) terkait ketidakamanan situs, tanpa benar - benar membahayakan mereka.

Tetapi lebih baik daripada meminta sekelompok sysadmin adalah berbicara dengan seorang pengacara terkemuka :)

Anda disewa untuk melakukan audit, jadi tugas Anda adalah kepada klien untuk memberi tahu mereka tentang hasil audit. Apa yang mereka lakukan dengannya adalah urusan mereka. Mereka telah memutuskan risiko versus biaya perubahan. Bukan kamu. Jika mereka memiliki masalah keamanan besar-besaran dan Anda mendapatkan panggilan pengadilan, Anda harus memberikan kesaksian tentang hasil audit (3 tahun lalu). Itu sejauh kewajiban Anda.

Saya punya berita untuk Anda. Sebagian besar perusahaan menangani data pelanggan dengan cara yang tidak aman, pada tingkat tertentu. Berapa banyak DBA yang memiliki akses lengkap ke semua data pelanggan? Sangat sedikit perusahaan yang menjalankan Oracle Vault.

"Apakah saya hanya menambang data dan menjualnya ke pesaing dikurangi info CC?"

Hanya jika Anda ingin masuk penjara.

Anda mungkin berada di es yang sangat tipis jika Anda mengungkapkan sesuatu. Anda mungkin mendapatkan masalah nyata untuk itu.

Ada alasan bagi perusahaan memiliki perjanjian yang ketat antara satu sama lain ketika pentesting dikontrak. Perusahaan pentesting membutuhkan semua perlindungan yang bisa mereka dapatkan. Mengungkap informasi yang seharusnya tidak bisa dan akan membuat Anda digugat atau dituntut.

Katakanlah Anda pergi ke bos orang pemasaran. Bos menekan orang pemasaran. Orang pemasaran mulai menutupi pantatnya. Ia dapat membujuk bos bahwa agar Anda memiliki informasi ini, Anda harus melakukan sesuatu yang ilegal, atau serupa. Bahkan jika Anda akhirnya akan menang, Anda mungkin berada di pengadilan untuk waktu yang lama.

Jika mereka tidak ingin menganggapnya serius pada pendekatan pertama, menekan mereka untuk menganggapnya serius kemungkinan besar akan membuat Anda kesulitan.

Demi menjatuhkannya.

EDIT: Selanjutnya, jika perjanjian awal untuk audit keamanan mencakup orang-orang tertentu yang hanya dapat Anda beri tahu, memberi tahu orang lain di perusahaan yang sama , yang tidak termasuk dalam perjanjian, dapat membuat Anda mendapat masalah.

Sejauh yang saya lihat, Anda sudah melakukan pekerjaan Anda. Anda melakukan audit dan meneruskan hasilnya kepada orang yang relevan yang berwenang. Saran saya adalah mundur saja, tidak ada lagi yang bisa Anda lakukan. Tentu saja dilema adalah bahwa pelanggan yang tidak bersalah bisa terkena kelemahan keamanan yang sedang berlangsung, tetapi itu bukan masalah Anda, bukan? Anda tidak dapat mengambil tanggung jawab untuk bagian apa pun di luar tugas Anda.

Anda tentu tidak membocorkan informasi ini, dan tentu saja Anda tidak menjualnya kepada orang luar.

Ada sesuatu di sini yang tidak saya mengerti ... tiga tahun lalu?Jika Anda melakukan audit 3 tahun yang lalu, kenapa ini masih ada di pikiran Anda? Apakah Anda merasa seburuk itu, atau apakah perusahaan tidak aman masih mengontrak perusahaan Anda untuk layanan keamanan / audit?

Ini pertanyaan penting, karena jika Anda tidak memiliki bisnis dengan perusahaan ini selama 3 tahun sekarang, maka saran saya yang jelas adalah pergi. Akan terasa sangat aneh jika Anda muncul kembali setelah 3 tahun, dan mulai mengkritik. Jika 3 tahun yang lalu, maka Anda memiliki kesempatan Anda saat itu, dan Anda tidak mengambilnya. Sekarang pergilah.

Jika perusahaan Anda masih melakukan bisnis dengan perusahaan yang tidak aman , maka saya akan mengusulkan untuk mempersenjatai atasan Anda sendiri agar mengirimi mereka surat bersama. Bos Anda tidak akan menikmati ini; tetapi bagi Anda jauh lebih baik jika surat itu berasal dari perusahaan Anda daripada dari diri Anda sendiri. Kirimkan dengan kurir ke bos manajer pemasaran (CEO). Tetap sopan, tetap samar-samar dan sebagian besar menutupi perusahaan Anda sendiri **, dan mengacu pada keputusan keamanan manajer pemasaran yang begitu jauh di luar standar industri yang diterima yang Anda merasa terpaksa untuk mengalah. Tujuan Anda bukan untuk mengatakan semuanya, tujuan Anda adalah untuk menutupi perusahaan Anda sendiri **, dan untuk membuat CEO lain cukup bingung untuk meminta salinan laporan asli Anda.

Melangkahi kepala manajer pemasaran adalah langkah terkuat yang dapat saya rekomendasikan dengan cara apa pun. Dan itu sangat kuat, dan tidak diinginkan. Anda disewa untuk memberikan pendapat ahli tentang satu aspek; tidak menjalankan bisnis mereka.

Pada catatan situs yang agak menyedihkan: Bukan hal yang tidak biasa untuk melihat orang-orang bisnis yang tidak etis atau sekadar tidak kompeten. Kadang-kadang ini dapat mempekerjakan auditor keamanan tanpa bermaksud menggunakan temuan; dengan maksud hanya mengatakan bahwa mereka telah diaudit oleh perusahaan keamanan terkenal X. Ini tentu saja menyedihkan dan menyinggung - tetapi ini nyata, dan Anda harus terbiasa jika ingin bekerja dalam audit keamanan.

Di sisi lain, Anda harus mempertimbangkan tanggung jawab Anda karena gagal memberi tahu klien tentang risiko yang ada. Anda harus mempertimbangkan cakupan Kesalahan dan Kelalaian seperti apa yang dibawa perusahaan Anda. Anda mengatakan perusahaan Anda tidak peduli, tetapi saya bertaruh jika mereka dituntut oleh klien, dibawa oleh gugatan terhadap mereka oleh salah satu pelanggan mereka, itu akan mendapat perhatian semua orang.

3 tahun yang lalu Anda melakukan pekerjaan, di mana Anda mungkin dibayar. Jika Anda mengambil semua langkah yang diperlukan dari Anda dalam kinerja pekerjaan itu maka pekerjaan Anda selesai. Lebih. Jadi.

Saya memiliki masalah serius memahami mengapa Anda memiliki 3 tahun untuk melakukan sesuatu tentang ini dan belum. Bagi saya ini tidak terdengar seperti Anda memiliki masalah etika. Sebenarnya, penyebutan Anda tentang kemungkinan menjual informasi itu memberi kesan kepada saya bahwa Anda mungkin memiliki motif yang sangat berbeda. Paling tidak saya menemukan posisi Anda sangat dipertanyakan.

Karena Anda tidak melakukan apa-apa sampai sekarang, jika Anda mulai mengambil tindakan apa pun, Anda mungkin membuka diri terhadap tindakan hukum yang mungkin. Hukum berbeda dari satu tempat ke tempat lain tetapi di mana saya berada, jika seseorang telah menjadi korban pencurian data melalui mekanisme yang Anda jelaskan dan Anda baru sekarang mengambil tindakan, Anda sebenarnya adalah peserta yang mengetahui melalui kelambanan Anda sebelumnya. Satu-satunya jalan yang aman bagi Anda adalah dengan menjatuhkannya.

Jika Anda berada dalam bisnis "audit keamanan", menambang informasi dan menjualnya adalah hal yang mustahil. Neraka, fakta bahwa Anda bahkan akan mengajukan pertanyaan itu, membuat saya bertanya-tanya tentang etika Anda dan tentu saja akan mempertanyakan saya apakah Anda akan tepat atau tidak untuk tim keamanan saya.

Karena itu, Anda melakukan pekerjaan Anda. Anda disewa untuk melakukan audit keamanan dan Anda melakukannya. Apakah perusahaan dibuat sadar akan temuan secara tertulis? Seperti yang orang lain katakan, Anda tidak bisa memaksa perusahaan untuk menutup celah keamanan. Pertanyaan etis adalah belajar dari audit ini dan terus maju.

Jika Anda khawatir melakukan pekerjaan dengan benar, Anda telah melakukan pekerjaan Anda. Hanya karena tidak ada yang bertindak berdasarkan rekomendasi Anda tidak mencerminkan Anda.

Namun, jika Anda secara sah khawatir tentang pelanggan mereka yang menjadi korban pencurian identitas atau kartu kredit, saya akan mengatakan untuk menghubungi departemen keluhan FTC . (Dengan asumsi Anda berada di AS. Jika tidak, negara Anda mungkin memiliki departemen pemerintah yang serupa.)

Saya telah melakukan beberapa semester di bidang Etika, dan ini benar-benar pertanyaan yang sulit.

Bertanya di sini untuk jawaban "Apa yang harus saya lakukan" tidak akan pernah memberi Anda jawaban "Benar", yang akan Anda dapatkan hanyalah jawaban yang menegakkan kembali atau melawan apa perasaan pribadi Anda tentang masalah tersebut.

Juga, semua jawaban yang Anda dapatkan di sini akan sangat dipengaruhi oleh tindakan atau keputusan masa lalu orang-orang, di mana mereka tinggal, di mana mereka tumbuh dewasa, hukum dan kebiasaan setempat mereka. Jadi, bahkan jika mereka berada dalam situasi yang sama dengan Anda, pengalaman mereka mungkin sangat berbeda.

Jawaban singkatnya adalah: Anda perlu melakukan apa yang ANDA yakini benar. Jelas Anda percaya bahwa tidak bertindak tidak tepat untuk dilakukan. Jika tidak, Anda tidak akan menanyakan ini.

Saya, secara pribadi, tidak setuju dengan semua orang yang mengatakan "Jatuhkan" atau "Anda telah melakukan pekerjaan Anda". Itu tampaknya menjadi pendapat populer setiap kali etika muncul di ServerFault. Dan itu bukan jawaban yang salah , itu bukan jawaban saya .