Que faire si vous trouvez une vulnérabilité dans le site d'un concurrent?
Tout en travaillant sur un projet de ma société, je devais créer des fonctionnalités permettant aux utilisateurs d'importer/exporter des données vers/depuis le site de notre concurrent. Tout en faisant cela, j'ai découvert un exploit de sécurité très sérieux qui pourrait, en bref, effectuer tout script sur le site Web du concurrent.
Mon sentiment naturel est de lui signaler la question dans l'esprit de bonne volonté. Exploiter la question pour gagner votre esprit, mais je ne veux pas descendre ce chemin.
Donc, ma question est de signaler une vulnérabilité sérieuse à votre concurrence directe afin de les aider? Ou gardiez-vous votre bouche fermée? Existe-t-il une meilleure façon d'y aller, peut-être d'obtenir au moins un avantage du fait que je les aide en signalant le problème?
Mise à jour (clarification):
Merci pour tous vos commentaires jusqu'à présent, je l'apprécie. Vos réponses changent-elles si je devais ajouter que la concurrence en question est une valeur de Behemoth sur le marché (des centaines d'employés dans plusieurs continents) et que mon entreprise n'a commencé il y a quelques semaines seulement (trois employés)? Il va sans dire, ils ne se souviendront certainement pas de nous, et du fait que, de sorte que quelque chose, ne réalise que leur site a besoin de travailler (c'est pourquoi nous sommes entrés dans ce marché en premier lieu).
Cela pourrait être l'un de ces lanciers moraux et des affaires, mais j'apprécie tous les conseils.
Bien que j'aimerais vivre dans un monde où il serait parfaitement sûr de simplement les déposer une note pour leur faire savoir, je suggérerais d'impliquer d'abord votre département juridique. De manière réaliste, il est tout à fait possible que ce soit bien intentionné votre rapport de bogue, une personne de l'organisation du concurrent l'interprétera comme "notre concurrent vient de payer l'un de leurs employés pour pirater notre site". Cette perception pourrait créer des problèmes juridiques ou de relations publiques pour vous et votre entreprise. L'implication de votre département juridique dans la notification devrait aider à protéger tout le monde de l'apparition d'une irrégularité. Bien sûr, cela crée la possibilité que le département juridique conclut que la notification du concurrent crée un risque juridique inacceptable et vous indique simplement de vous asseoir sur l'information. Mais c'est beaucoup mieux que l'alternative que tout souffle dans votre visage.
Cela va sembler horrible (au moins comparé à la plupart des réponses ici), mais voici mes 2 cents:
Pourquoi devriez-vous faire quelque chose à ce sujet?
Première chose d'abord, ils ont déjà des employés qui devraient faire ce genre de travail (trouvant des problèmes et les fixer).
Deuxièmement, la façon dont vous avez formé votre question le rend sonore comme s'il s'agit d'une sorte de dilemme moral. Ce n'est pas le cas. Vous n'avez rien fait pour causer ce problème en premier lieu.
Troisièmement, vous êtes en compétition contre eux. Vous devriez être concentré sur la fabrication ** votre produit le mieux il y a, pas le leur.
Si vous avez encore du doute, revenez à mon point no.2 et re-lisez-le.
Il y a une ligne mince entre explorer les vulnérabilités et l'espionnage industriel, et comme vous êtes affilié à votre employeur, le concurrent peut le considérer comme ce dernier.
Si vous le signalez et qu'il y a un cauchemar légal/PR, vous serez le bouc émissaire.
Parlez à votre département juridique et laissez-les gérer comme ils le voient en forme - il y a une raison pour laquelle ils font beaucoup plus que les ingénieurs.
Un mécanisme alternatif, non encore suggéré de l'information, d'obtenir les informations à votre concurrent sans risque pour votre propre entreprise est de laisser l'une des différentes sociétés de reporting de vulnérabilité connaissez la vulnérabilité - et de leur demander de le signaler à votre concurrent. Ils (la société de rapport de la vulnérabilité) garderait votre nom hors du rapport - vous seriez anonyme de votre concurrent. Une de ces sociétés est l'initiative Initiative Zero Day , ZDI - Il y a un certain nombre d'autres.
Les fuites aux médias, de manière anonyme, bien sûr, puis offrez une migration rapide aux clients du concurrent. Cela pourrait sembler être un coup faible, mais considérez cela, il n'y a rien d'illégal ni contraire à l'éthique de ce que vous faites, considérez-vous en outre que c'est un chien qui mangent du monde de chien au SW et que David va à l'encontre de la goliath, vous aurez besoin de tout l'effet de levier. Rappelez-vous, Ce n'est pas personnel, c'est strictement affaire . Ils vous feraient la même chose dans un battement de coeur.
(Fwiw Je m'attends pleinement à cette réponse à voter, mais ça va parce que ce que je dis est la vérité, bien que la vérité soit une dure.)
Que voudriez-vous qu'ils fassent s'ils trouvaient une vulnérabilité de sécurité dans votre logiciel? Cela devrait être la première question que vous demandez. Si la réponse est "Je l'apprécierais vraiment s'ils m'ont dit", eh bien, alors tu as ta réponse!
Peu importe qu'ils soient une entreprise géante ou une boutique de trois personnes, et peu importe que vous êtes une boutique de trois personnes ou une entreprise géante. Comme cela a été dit, votre réputation est tout, surtout dans cette petite communauté appelée logiciels.
Si vous importez/exporter des données entre leurs systèmes et votre propre, leur vulnérabilité de sécurité pourrait facilement devenir votre Vulnérabilité de sécurité.
Vous voudrez couvrir vos fesses technologiquement et légalement. Assurez-vous qu'il est corrigé mais assurez-vous que votre service juridique a une main pour les notifier.
Évidemment, laissez-les savoir.
Si "hors de la bonté de votre cœur" n'est pas une raison suffisante, considérez que vous mettez en œuvre cette fonctionnalité comme avantage pour vos propres clients. Vous protégeez indirectement leurs données en signalant ce bogue.
Il n'y a qu'un seul choix honorable. Dis leur.
Personnellement, je leur dirais.
D'autres personnes ont souligné les éventuelles problèmes de relations publiques/juridiques et, si, après avoir parlé à un calque ou à un agent de relations publiques, il vous est conseillé de ne pas le signaler, je le signalais toujours, mais anonymement.
Cela fait de vos clients potentiels une faveur en aidant à protéger leurs données.