安全道德保密

Question

关闭。这个问题是opinion-based .它目前不接受答案。












想改进这个问题？更新问题，以便 editing this post 提供事实和引用来回答它.

7年前关闭。




Improve this question




3 年前，我为一个大型电子商务网站进行了安全审计。执行审计时，我发现了几个严重的安全问题，允许访问在事务完成后不应访问的数据。在这个网站上有几个主要的风险。首先，您可以实时看到通过系统的订单；所有交易均由该公司手动处理。如果您查看交易，您可以看到姓名、地址和送货目的地。我在这里看到了 2 个滥用点，1 - 您可以简单地编辑发货地址并将 cargo 发送给自己，以及 2 - 您可以在下订单时调用用户权限并进行“电话确认”以获得访问权限到带有基本社会工程学的 cc 信息。

您还可以通过更多工作转储 cc 信息和订单 ID 号，然后简单地匹配订单 ID 和用户信息。
这一切都是通过在他们的网站上使用公开的功能并修改几个值来实现的。是的，我含糊其辞是有原因的。

这家公司的营销总监在 3 年前就被警告过这些风险，并且没有采取任何措施来纠正这些风险。我不怀疑我是否能找到其他人可以做到的。该站点每年进行 88,000 笔交易，并且所有已处理的订单仍保留在数据中并可访问。

所以道德问题……我该怎么办？我的公司不在乎……所以我无法在那里获得帮助。如果我联系营销人员，他只会继续掩盖他的屁股和不称职的内部开发团队的屁股(冷融合)。我要联系更高层的人吗？我会去我的公司吗？我是否只是挖掘数据并将其出售给竞争对手，减去 cc 信息？知道这些我该怎么办？它对我唠叨，我不能放手。这只是我所知道的众多网站之一，但访问的便利性和高流量让我对此进行了很多思考。

Answer 1

从老客户的角度来看，我认为这家公司的客户关怀程度应该公开。他们真的不关心任何可能泄露客户私有(private)数据的漏洞。所以，他们真的应该受到惩罚。但暴露这些漏洞不仅会损害他们，还会损害他们的客户。

如果您因安全审计而获得报酬，那么您有道德权利，既不发布有关您发现的东西的信息，也不以任何方式使用它。谁会相信安全专家会在多年后揭示他的发现？我认为你无能为力。