Was tun, wenn Sie eine Sicherheitslücke auf der Website eines Mitbewerbers finden?

Während ich an einem Projekt für mein Unternehmen arbeitete, musste ich Funktionen entwickeln, mit denen Benutzer Daten von / zu der Site unseres Konkurrenten importieren / exportieren können. Dabei habe ich einen sehr schwerwiegenden Sicherheits-Exploit entdeckt, der, kurz gesagt, jedes Skript auf der Website des Konkurrenten ausführen kann.

Mein natürliches Gefühl ist es, ihnen das Problem im Geiste des guten Willens zu melden. Das Problem zu nutzen, um einen Vorteil zu erlangen, fiel mir ein, aber ich möchte diesen Weg nicht beschreiten.

Meine Frage ist also, würden Sie eine ernsthafte Sicherheitslücke gegenüber Ihrer direkten Konkurrenz melden, um ihnen zu helfen? Oder würden Sie den Mund halten? Gibt es eine bessere Möglichkeit, dies zu tun, um vielleicht zumindest einen Vorteil daraus zu ziehen, dass ich ihnen helfe, indem ich das Problem melde?

Update (Klarstellung) :

Vielen Dank für all Ihre Rückmeldungen, ich weiß das zu schätzen. Würden sich Ihre Antworten ändern, wenn ich hinzufügen würde, dass der fragliche Wettbewerb ein Gigant auf dem Markt ist (Hunderte von Mitarbeitern auf mehreren Kontinenten) und mein Unternehmen erst vor wenigen Wochen gegründet wurde (drei Mitarbeiter)? Es versteht sich von selbst, dass sie sich definitiv nicht an uns erinnern werden und wenn überhaupt, nur erkennen, dass ihre Site Arbeit braucht (weshalb wir uns in diesem Markt erst einmal eingearbeitet haben).

Dies mag einer dieser moralischen oder geschäftlichen Probleme sein, aber ich schätze alle Ratschläge.

Obwohl ich gerne in einer Welt leben würde, in der es völlig ungefährlich wäre, ihnen einfach eine Nachricht zukommen zu lassen, um sie zu informieren, würde ich vorschlagen, zuerst Ihre Rechtsabteilung einzubeziehen. Realistisch gesehen ist es durchaus möglich, dass jemand in der Organisation des Konkurrenten den Fehlerbericht so interpretiert, als "unser Konkurrent hat gerade einen seiner Mitarbeiter bezahlt, um unsere Site zu hacken". Diese Wahrnehmung kann zu rechtlichen oder PR-Problemen für Sie und Ihr Unternehmen führen. Die Einbeziehung Ihrer Rechtsabteilung in die Benachrichtigung sollte dazu beitragen, alle vor dem Auftreten von Unangemessenheit zu schützen. Dies schafft natürlich die Möglichkeit, dass die Rechtsabteilung zu dem Schluss kommt, dass die Benachrichtigung des Konkurrenten ein inakzeptables rechtliches Risiko darstellt, und dass Sie nur auf den Informationen sitzen müssen. Aber das'

Das wird schrecklich klingen (zumindest im Vergleich zu den meisten Antworten hier), aber hier sind meine 2 Cent:

Warum sollten Sie etwas dagegen unternehmen?

Das erste ist, dass sie bereits Mitarbeiter haben, die diese Art von Arbeit erledigen sollten (Probleme finden und sie beheben).

Zweitens klingt die Art und Weise, wie Sie Ihre Frage formuliert haben, so, als wäre dies eine Art moralisches Dilemma. Es ist nicht. Sie haben überhaupt nichts unternommen, um dieses Problem zu verursachen.

Drittens treten Sie gegen sie an. Sie sollten sich darauf konzentrieren, Ihr Produkt zu dem Besten zu machen, was es gibt, nicht das Ihre.

Wenn Sie immer noch Zweifel haben, kehren Sie zu meinem Punkt 2 zurück und lesen Sie ihn noch einmal.

Es gibt einen schmalen Grat zwischen der Erforschung von Schwachstellen und Industriespionage, und da Sie mit Ihrem Arbeitgeber verbunden sind, kann der Wettbewerber letzteres in Betracht ziehen.

Wenn Sie es melden und es einen legalen / PR-Albtraum gibt, sind Sie der Sündenbock.

Sprechen Sie mit Ihrer Rechtsabteilung und lassen Sie sie nach Belieben damit umgehen - es gibt einen Grund, warum sie mehr als Ingenieure sind.

Ein alternativer Mechanismus, der noch nicht von AFAICS vorgeschlagen wurde, um die Informationen an Ihren Konkurrenten ohne Risiko für Ihr eigenes Unternehmen weiterzuleiten, besteht darin, eines der verschiedenen Unternehmen, das Schwachstellen meldet, über die Schwachstelle zu informieren und sie zu bitten, dies Ihrem Konkurrenten zu melden. Sie (das Unternehmen, das Schwachstellen meldet) würden Ihren Namen aus dem Bericht ausschließen - Sie wären für Ihren Konkurrenten anonym. Ein solches Unternehmen ist die Zero Day Initiative , ZDI - es gibt eine Reihe anderer.

Natürlich anonym an die Medien weiterleiten und dann den Kunden des Konkurrenten eine schnelle Migration anbieten. Dies mag wie ein Tiefschlag erscheinen, aber bedenken Sie, dass Sie nichts Illegales oder Unethisches an sich haben. Denken Sie außerdem, dass es sich um eine Hundefutter-Welt in SW handelt, und dass Sie als David gegen Goliath den ganzen Hebel brauchen werden. Denken Sie daran, es ist nicht persönlich, es ist rein geschäftlich . Sie würden Ihnen das Gleiche sofort antun.

(FWIW Ich erwarte voll und ganz, dass diese Antwort herabgestimmt wird, aber das ist in Ordnung, denn was ich sage, ist die Wahrheit, wenn auch eine harte.)

Was sollen sie tun, wenn sie eine Sicherheitslücke in Ihrer Software finden? Das sollte die erste Frage sein, die Sie stellen. Wenn die Antwort "Ich würde es wirklich begrüßen, wenn sie es mir sagen würden" lautet, dann haben Sie Ihre Antwort!

Es spielt keine Rolle, dass es sich um ein riesiges Unternehmen oder einen Drei-Personen-Laden handelt, und es spielt keine Rolle, dass Sie ein Drei-Personen-Laden oder ein riesiges Unternehmen sind. Wie gesagt, Ihr Ruf ist alles, besonders in dieser kleinen Community, die als Software bekannt ist.

Wenn Sie Daten zwischen ihren Systemen und Ihren eigenen importieren / exportieren, kann die Sicherheitslücke leicht zu Ihrer Sicherheitslücke werden.

Sie wollen Ihren Hintern technisch und rechtlich abdecken. Stellen Sie sicher, dass es repariert wird, aber stellen Sie sicher, dass Ihre Rechtsabteilung eine Hand bei der Benachrichtigung hat.

Natürlich, lass es sie wissen.

Wenn "aus gutem Grund" kein guter Grund ist, denken Sie daran, dass Sie diese Funktion als Vorteil für Ihre eigenen Kunden implementieren. Sie schützen indirekt ihre Daten, indem Sie diesen Fehler melden.

Es gibt nur eine ehrbare Wahl. Erzähl es ihnen.

Persönlich würde ich es ihnen sagen.

Andere Leute haben auf die möglichen PR- / rechtlichen Probleme hingewiesen, und wenn Sie nach einem Gespräch mit einer Schicht oder einem PR-Agenten davon abgeraten werden, dies zu melden, MELDE ICH ES NOCH, aber anonym.

Es tut Ihren potenziellen Kunden einen Gefallen, indem es zum Schutz ihrer Daten beiträgt.

Grundsätzlich stimme ich dem zu, was die meisten hier sagen: Steigern und melden. Es gibt einen professionellen Ehrenkodex wie auf See: Wenn ein Schiff in Schwierigkeiten ist, helfen Sie, egal wem es gehört.

Wenn ich jedoch Ihr Update lese, würde ich mich wahrscheinlich dagegen entscheiden, es ihnen mitzuteilen, da die Gefahr besteht, dass die gut gemeinte Aktion in die falsche Richtung geht (wie Wirtschaftsspionage, wie @Uri sagt) und zu Feindseligkeiten führt, die weitaus gefährlicher sind Ihr Drei-Mann-Laden, als sie jemals für sie sein werden.

Vielleicht eine anonyme Notiz hinterlassen; vielleicht gar nichts tun. Wenn Sie David sind, müssen Sie Goliath nicht sagen, dass er eine Biene auf dem Rücken sitzt.

Die Natur hat trotz ihrer harten Seiten ihre besonderen Anlässe. Und spielt sie aus, ohne darüber nachzudenken.

Hund frisst keinen Hund. Vielmehr zahlen gelangweilte Menschen für illegale Hundekämpfe. Und Anwälte sammeln das Geld. Einschließlich von Ihrem Chef. Mehr als Sie jetzt wollen. Sie können Startups problemlos entleeren, ohne zu blinken.

Auch sehr gut möglich, jemand bei "Mitbewerber" kennt sich schon aus. Das Übermitteln von Nachrichten kann mehr Verantwortung bedeuten, als nur ein vorübergehender Bote zu sein. Ist das besser als mit Wänden zu reden?

Sicherheitsgeschäft: Viele Server mit großen Lücken sind online. Dieser eine Server ist ein anderer. Vollzeitjob für einige. Hast du deine eigenen Löcher überprüft? alle von ihnen ?

Pass auf wo du hintrittst.

Kundendaten sind die wichtige Besessenheit.

Erzähl es ihnen. Dann senden Sie Ihren Lebenslauf. Sie könnten einstellen. :)

Erzähl es ihnen! Es ist das Richtige. Und was möchten sie tun, wenn Sie an ihrer Stelle wären?

Auf den guten Willen, der daraus entstehen könnte, kann man keinen Wert legen.