Что делать, если вы обнаружили уязвимость на сайте конкурента?

Работая над проектом для моей компании, мне нужно было создать функциональность, позволяющую пользователям импортировать / экспортировать данные на сайт нашего конкурента. При этом я обнаружил очень серьезную уязвимость в безопасности, которая, в общем, может выполнить любой скрипт на веб-сайте конкурента.

Мое естественное чувство - сообщить им о проблеме в духе доброй воли. Мне пришло в голову использовать проблему, чтобы получить преимущество, но я не хочу идти по этому пути.

Поэтому мой вопрос: не могли бы вы сообщить о серьезной уязвимости вашему прямому конкуренту, чтобы помочь им? Или ты будешь держать рот на замке? Есть ли лучший способ добиться этого, возможно, получить хоть какое-то преимущество от того факта, что я помогаю им, сообщая о проблеме?

Обновление (уточнение) :

Спасибо за ваши отзывы, я ценю это. Изменились бы ваши ответы, если бы я добавил, что рассматриваемая конкуренция - гигант на рынке (сотни сотрудников на нескольких континентах), а моя компания начала свою деятельность всего несколько недель назад (три сотрудника)? Само собой разумеется, они наверняка не будут помнить нас, и, во всяком случае, только поймут, что их сайт нуждается в работе (именно поэтому мы вошли на этот рынок в первую очередь).

Это может быть одним из тех моральных и деловых бросков, но я ценю все советы.

Хотя я бы хотел жить в мире, где было бы совершенно безопасно просто оставить им записку, чтобы сообщить им, я бы посоветовал сначала привлечь ваш юридический отдел. На самом деле, вполне возможно, что, как бы благими намерениями ни были ваши сообщения об ошибках, кто-то в организации конкурента интерпретирует его как «наш конкурент только что заплатил одному из своих сотрудников за взлом нашего сайта». Такое восприятие может создать юридические или PR-проблемы для вас и вашей компании. Вовлечение вашего юридического отдела в уведомление должно помочь оградить всех от появления неправомерных действий. Конечно, это создает вероятность того, что юридический отдел приходит к выводу, что уведомление о конкуренте создает неприемлемый правовой риск и говорит вам просто сидеть на информации. Но это'

Это будет звучать ужасно (по крайней мере, по сравнению с большинством ответов здесь), но вот мои 2 цента:

Зачем тебе что-то делать с этим?

Во-первых, у них уже есть сотрудники, которые должны выполнять такую ​​работу (находить проблемы и исправлять их).

Во-вторых, то, как вы сформулировали свой вопрос, звучит так, как будто это какая-то моральная дилемма. Это не. Вы не сделали ничего, чтобы вызвать эту проблему в первую очередь.

В-третьих, вы конкурируете с ними. Вы должны быть сосредоточены на том, чтобы ** сделать ваш продукт лучшим, а не их.

Если вы все еще сомневаетесь, вернитесь к моей точке № 2 и перечитайте ее.

Существует тонкая грань между исследованием уязвимостей и промышленным шпионажем, и, поскольку вы связаны со своим работодателем, конкурент может считать его последним.

Если вы сообщите об этом и у вас будет юридический / пиар-кошмар, вы будете козлом отпущения.

Поговорите с вашим юридическим отделом и позвольте им справиться с этим так, как они считают нужным - есть причина, по которой они уступают больше, чем инженеры.

Альтернативный механизм, еще не предложенный AFAICS, для передачи информации вашему конкуренту без риска для вашей собственной компании - это сообщить об уязвимости одной из различных компаний, сообщающих об уязвимостях, и попросить их сообщить об этом вашему конкуренту. Они (компания, сообщающая об уязвимостях) не будут указывать ваше имя в отчете - вы будете анонимны со своим конкурентом. Одной из таких компаний является Zero Day Initiative , ZDI - есть ряд других.

Разглашайте это СМИ, конечно же, анонимно, а затем предлагайте быструю миграцию клиентам конкурента. Это может показаться слабым ударом, но учтите, что в том, что вы делаете, нет ничего противозаконного или неэтичного, далее подумайте, что это мир собак и собак в ЮЗ, и поскольку Давид идет против Голиафа, вам понадобятся все рычаги. Помните, это не личное, это строго бизнес . Они сделали бы то же самое с вами в одно мгновение.

(FWIW Я полностью ожидаю, что этот ответ будет отклонен, но это нормально, потому что я говорю правду, хотя и грубую).

Что бы вы хотели, чтобы они сделали, если бы они обнаружили уязвимость в вашем программном обеспечении? Это должен быть первый вопрос, который вы зададите. Если ответ «я был бы очень признателен, если бы мне сказали», тогда у вас есть ответ!

Неважно, что это гигантская компания или магазин из трех человек, и не имеет значения, что вы магазин из трех человек или гигантская компания. Как уже было сказано, ваша репутация - это все, особенно в этом небольшом сообществе, известном как программное обеспечение.

Если вы импортируете / экспортируете данные между их системами и вашими, их уязвимость может легко стать вашей уязвимостью.

Вы будете хотеть покрыть свою задницу технологически и юридически. Убедитесь, что это исправлено, но убедитесь, что ваш юридический отдел приложил руку к тому, чтобы уведомить их.

Очевидно, дайте им знать.

Если «по доброй воле» не является достаточной причиной, подумайте, что вы реализуете эту функцию в качестве выгоды для своих клиентов. Вы косвенно защищаете их данные, сообщая об этой ошибке.

Есть только один достойный выбор. Скажи им.

Лично я бы сказал им.

Другие люди указали на возможные PR / юридические вопросы, и если после разговора со слоем или PR-агентом вам посоветуют не сообщать об этом, я все равно сообщу об этом, но анонимно.

Это делает вашим потенциальным клиентам услугу, помогая защитить их данные.

В принципе, я полностью согласен с тем, что большинство здесь говорят: шагните и сообщите об этом. Существует профессиональный кодекс чести, например, в море: если корабль попал в беду, вы помогаете, кому бы он ни принадлежал.

Однако, читая ваше обновление, я, вероятно, решу не говорить им из-за риска, что благонамеренные действия могут быть предприняты неправильно (как говорит промышленный шпионаж @Uri), и приведут к боевым действиям, которые гораздо более опасны для ваш магазин из трех человек, чем они когда-либо будут для них.

Возможно, оставьте анонимную заметку; может быть, ничего не делать вообще. Если ты Давид, тебе не нужно говорить Голиафу, что у него на спине пчела.

Природа, несмотря на свои суровые стороны, имеет свои добрые поводы. И разыгрывает их, не задумываясь.

Собака не ест собаку. Скорее скучающие люди платят за нелегальные собачьи бои. И юристы собирают деньги. В том числе и от твоего босса. Больше, чем ты хочешь сейчас. Они могут счастливо слить стартапы, не мигая.

Также очень возможно, кто-то на "конкурента" уже знает. Приносить новости может означать больше обязанностей, чем простой мессенджер. Это лучше, чем разговаривать со стенами?

Безопасность бизнеса: множество серверов с большими дырами в сети. этот один сервер другой. Полная занятость для некоторых. Вы проверили свои собственные отверстия? все они ?

Следи за своим шагом.

Данные клиентов являются важной навязчивой идеей.

Скажи им. Затем отправьте свое резюме. Возможно, они нанимают. :)

Скажи им! Это является правильным , что нужно сделать. Кроме того, что бы они хотели сделать, если бы вы были на их месте?

Вы не можете ценить добрую волю, которая может возникнуть из этого.