Apa yang harus dilakukan jika Anda menemukan kerentanan di situs pesaing?

Saat mengerjakan proyek untuk perusahaan saya, saya perlu membangun fungsionalitas yang memungkinkan pengguna untuk mengimpor / mengekspor data ke / dari situs pesaing kami. Saat melakukan ini, saya menemukan eksploitasi keamanan yang sangat serius yang, singkatnya, dapat melakukan skrip apa pun di situs web pesaing.

Perasaan alami saya adalah melaporkan masalah ini kepada mereka dengan semangat niat baik. Memanfaatkan masalah untuk mendapatkan keuntungan terlintas di benak saya, tetapi saya tidak ingin menempuh jalan itu.

Jadi pertanyaan saya adalah, apakah Anda akan melaporkan kerentanan serius terhadap pesaing langsung Anda, untuk membantu mereka? Atau apakah Anda akan tutup mulut? Apakah ada cara yang lebih baik untuk menyelesaikan ini, mungkin untuk mendapatkan setidaknya beberapa keuntungan dari fakta bahwa saya membantu mereka dengan melaporkan masalah ini?

Pembaruan (Klarifikasi) :

Terima kasih atas semua tanggapan Anda sejauh ini, saya menghargainya. Apakah jawaban Anda akan berubah jika saya ingin menambahkan bahwa persaingan yang dipermasalahkan adalah raksasa di pasar (ratusan karyawan di beberapa benua), dan perusahaan saya baru mulai beberapa minggu yang lalu (tiga karyawan)? Tak perlu dikatakan, mereka pasti tidak akan mengingat kami, dan jika ada, hanya menyadari bahwa situs mereka perlu bekerja (itulah sebabnya kami memasuki pasar ini di tempat pertama).

Ini mungkin salah satu dari undian moral vs bisnis, tapi saya menghargai semua saran.

Meskipun saya ingin tinggal di dunia di mana akan sangat aman untuk hanya memberi mereka catatan agar mereka tahu, saya sarankan melibatkan departemen hukum Anda terlebih dahulu. Secara realistis, sangat mungkin bahwa betapapun maksud laporan bug Anda, seseorang dalam organisasi pesaing akan menafsirkannya sebagai "pesaing kami baru saja membayar salah satu karyawan mereka untuk meretas situs kami". Persepsi itu dapat menciptakan masalah hukum atau PR untuk Anda dan perusahaan Anda. Melibatkan departemen hukum Anda dalam pemberitahuan harus membantu melindungi semua orang dari kesan tidak pantas. Tentu saja, itu menciptakan kemungkinan bahwa departemen hukum menyimpulkan bahwa memberi tahu pesaing akan menimbulkan risiko hukum yang tidak dapat diterima dan memberi tahu Anda untuk hanya duduk pada informasi. Tapi itu'

Ini akan terdengar mengerikan (setidaknya dibandingkan dengan sebagian besar jawaban di sini) tetapi, inilah 2 sen saya:

Mengapa Anda harus melakukan sesuatu?

Hal pertama yang pertama, mereka sudah memiliki karyawan yang seharusnya melakukan pekerjaan semacam itu (menemukan masalah dan memperbaikinya).

Kedua, cara Anda membentuk pertanyaan Anda membuatnya terdengar seolah-olah ini semacam dilema moral. Ini bukan. Anda tidak melakukan apa pun yang menyebabkan masalah itu sejak awal.

Ketiga, Anda bersaing melawan mereka. Anda harus fokus membuat ** produk ANDA yang terbaik, bukan milik mereka.

Jika Anda masih ragu, kembali ke poin saya no. 2 dan baca kembali.

Ada garis tipis antara mengeksplorasi kerentanan dan spionase industri, dan karena Anda berafiliasi dengan perusahaan Anda, pesaing dapat menganggapnya sebagai yang terakhir.

Jika Anda melaporkannya dan ada mimpi buruk hukum / PR, Anda akan menjadi kambing hitam.

Bicaralah dengan departemen hukum Anda dan biarkan mereka menanganinya sesuai keinginan - ada alasan mereka membuat lebih dari sekadar insinyur.

Mekanisme alternatif, yang belum disarankan AFAICS, untuk memberikan informasi kepada pesaing Anda tanpa risiko bagi perusahaan Anda sendiri adalah dengan membiarkan salah satu dari berbagai perusahaan pelaporan kerentanan mengetahui tentang kerentanan - dan meminta mereka untuk melaporkannya kepada pesaing Anda. Mereka (perusahaan pelaporan kerentanan) akan menjaga nama Anda keluar dari laporan - Anda akan menjadi anonim bagi pesaing Anda. Salah satu perusahaan tersebut adalah Zero Day Initiative , ZDI - ada sejumlah lainnya.

Bocoran ke media, tentu saja secara anonim, dan kemudian tawarkan migrasi cepat ke pelanggan pesaing. Ini mungkin terlihat seperti pukulan rendah, tetapi pertimbangkan ini, tidak ada yang ilegal atau tidak etis tentang apa yang Anda lakukan, lebih lanjut menganggap itu adalah makan anjing dunia anjing di SW dan sebagai David melawan Goliath Anda akan membutuhkan semua leverage. Ingat, ini bukan pribadi, ini semata-mata bisnis . Mereka akan melakukan hal yang sama kepada Anda dalam sekejap.

(FWIW Saya sepenuhnya berharap jawaban ini akan dipilih, tapi tidak apa-apa karena apa yang saya katakan adalah kebenaran meskipun yang keras.)

Apa yang Anda ingin mereka lakukan jika mereka menemukan kerentanan keamanan di perangkat lunak Anda? Itu seharusnya menjadi pertanyaan pertama yang Anda tanyakan. Jika jawabannya adalah "Saya akan sangat menghargai jika mereka mengatakannya kepada saya", ya, maka Anda memiliki jawaban Anda!

Tidak masalah bahwa mereka adalah perusahaan raksasa atau toko tiga orang, dan tidak masalah bahwa Anda adalah toko tiga orang atau perusahaan raksasa. Seperti yang telah dikatakan, reputasi Anda adalah segalanya, terutama di komunitas kecil ini yang dikenal sebagai perangkat lunak.

Jika Anda mengimpor / mengekspor data antara sistem mereka dan sistem Anda sendiri, kerentanan keamanannya dapat dengan mudah menjadi kerentanan keamanan Anda .

Anda ingin menutupi bokong Anda secara teknologi dan hukum. Pastikan sudah diperbaiki tetapi pastikan departemen hukum Anda memiliki tangan untuk memberi tahu mereka.

Jelas, beri tahu mereka.

Jika "karena kebaikan hati Anda" bukan alasan yang cukup baik, pertimbangkan bahwa Anda menerapkan fitur ini sebagai manfaat bagi pelanggan Anda sendiri. Anda secara tidak langsung melindungi data mereka dengan melaporkan bug ini.

Hanya ada satu pilihan terhormat. Memberitahu mereka.

Secara pribadi saya akan memberi tahu mereka.

Orang lain telah menunjukkan kemungkinan masalah PR / Legal, dan jika setelah berbicara dengan agen lapisan atau PR Anda disarankan untuk tidak melaporkannya, SAYA MASIH AKAN PELAPORAN, tetapi secara anonim.

Ini membantu pelanggan potensial Anda, dengan membantu melindungi data mereka.

Pada prinsipnya, saya sepenuhnya setuju dengan apa yang dikatakan sebagian besar orang di sini: Tingkatkan dan laporkan. Ada kode kehormatan profesional seperti di laut: Jika sebuah kapal bermasalah, Anda membantu, tidak peduli siapa pemiliknya.

Namun, membaca pembaruan Anda, saya mungkin akan memutuskan untuk tidak memberi tahu mereka karena risiko bahwa tindakan yang bermaksud baik mungkin diambil dengan cara yang salah (seperti spionase industri seperti kata @Uri), dan menyebabkan permusuhan yang jauh lebih berbahaya bagi toko tiga orang Anda daripada yang akan mereka bagi mereka.

Mungkin memberikan catatan anonim; mungkin tidak melakukan apa-apa sama sekali. Jika Anda David, Anda tidak perlu memberi tahu Goliath bahwa dia punya seekor lebah yang duduk di punggungnya.

Alam, meskipun memiliki sisi yang keras, memiliki kesempatan yang baik. Dan memerankan mereka tanpa berpikir dua kali.

Anjing tidak makan anjing. Sebaliknya, orang bosan membayar untuk perkelahian anjing ilegal. Dan Pengacara mengumpulkan uang. Termasuk dari Bosmu. Lebih dari yang Anda inginkan sekarang. Mereka dengan senang hati dapat menguras startup tanpa berkedip.

Juga sangat mungkin, seseorang di "pesaing" sudah tahu. Membawa berita bisa berarti lebih banyak tanggung jawab daripada menjadi pembawa pesan yang sederhana. Apakah itu lebih baik daripada berbicara dengan tembok?

Bisnis keamanan: Banyak server dengan lubang besar sedang online. server yang satu ini adalah yang lain. Pekerjaan penuh waktu untuk beberapa orang. Sudahkah Anda memeriksa lubang Anda sendiri? mereka semua ?

Perhatikan langkahmu.

Data pelanggan adalah obsesi penting.

Memberitahu mereka. Kemudian kirim resume Anda. Mereka mungkin mempekerjakan. :)

Memberitahu mereka! Ini adalah hal yang benar untuk dilakukan. Juga, apa yang ingin mereka lakukan jika Anda berada di tempat mereka?

Anda tidak bisa memberi nilai pada niat baik yang bisa keluar dari ini.