競合他社のサイトに脆弱性を見つけたらどうしますか？

Question

私の会社のプロジェクトに取り組んでいる間、ユーザーが競合他社のサイトにデータをインポート/エクスポートできる機能を構築する必要がありました。これをしている間に、私は競合他社のWebサイトでスクリプトを実行できる、非常に深刻なセキュリティの悪用を発見しました。

私の自然な気持ちは、善意の精神で彼らに問題を報告することです。アドバンテージを得るために問題を悪用することは頭を悩ませましたが、その道を進みたくありません。

だから私の質問は、あなたが彼らを助けるためにあなたの直接の競争に深刻な脆弱性を報告しますか？それとも口を閉じたままにしますか？私が問題を報告することで彼らを助けているという事実から、少なくともいくつかの利点を得るために、これについてより良い方法はありますか？

更新（説明）：

これまでのフィードバックに感謝します。問題の競争が市場での巨大企業（数大陸に数百人の従業員）であり、私の会社が数週間前に（3人の従業員）始めただけであると付け加えると、あなたの答えは変わりますか？言うまでもなく、彼らは間違いなく私たちを覚えておらず、どちらかといえば彼らのサイトが仕事を必要としていることを理解するだけです（それが私たちが最初にこの市場に参入した理由です）。

これは、道徳的対ビジネス上のトスアップの1つかもしれませんが、すべてのアドバイスに感謝します。

Justin Cave · Accepted Answer

私は彼らに知らせるためにメモを落とすだけで完全に安全な世界に住みたいと思いますが、まずあなたの法務部門を巻き込むことをお勧めします。現実的には、バグレポートがどのように意図されていても、競合他社の組織の誰かがそれを「当社のサイトをハッキングするために従業員の1人に支払った」と解釈する可能性があります。その認識は、あなたとあなたの会社の両方に法的またはPRの問題を引き起こす可能性があります。法務部門を通知に関与させることで、すべての人を不正行為から守ることができます。もちろん、それにより、法務部門が競合他社に通知することは容認できない法的リスクを引き起こし、情報にただ座るように告げると結論付ける可能性が生まれます。しかし、それはあなたの顔にすべてが吹き飛ばされるという選択肢よりもはるかに優れています。

Jas · Answer

これはひどく聞こえるでしょう（少なくともここでのほとんどの回答と比較して）、しかし、ここに私の2セントが入ります：

なぜあなたはそれについて何かしなければならないのですか？

まず第一に、彼らにはその種の仕事（問題の発見と修正）を行うべき従業員がすでにいます。

第二に、あなたがあなたの質問を形成した方法は、これがある種の道徳的なジレンマであるかのように聞こえるようにします。 そうではありません。そもそもその問題を引き起こすために何もしていません。

第三に、あなたは彼らと競争しています。 ** YOUR製品を最高のものにすることに集中する必要があります。彼らのものではありません。

それでも疑問がある場合は、ポイント2に戻ってもう一度読んでください。

Uri · Answer

脆弱性の調査と産業スパイ活動の間には細い線があり、あなたは雇用主と提携しているため、競合他社は後者と見なすことができます。

あなたがそれを報告し、法的/ PRの悪夢がある場合、あなたはスケープゴートになります。

法務部門に相談して、適切と思われるように処理してもらいましょう。エンジニアよりも優れている理由があります。

Jonathan Leffler · Answer

AFAICSにはまだ提案されていないが、自社にリスクを負わずに競合他社に情報を提供する代替メカニズムは、さまざまな脆弱性報告会社の1人に脆弱性について知らせ、競合他社に報告するよう依頼することです。彼ら（脆弱性報告会社）はあなたの名前をその報告から除外します-あなたはあなたの競争相手に対して匿名になります。そのような会社の1つは Zero Day Initiative 、ZDIです。他にもたくさんあります。

Gaurav · Answer

もちろん、匿名でメディアに漏らして、競合他社の顧客に迅速な移行を提供します。これは弱い打撃のように見えるかもしれませんが、これを考慮してください。あなたがしていることについて違法または非倫理的なものは何もありません。さらに、それは南西部の犬食い犬の世界であり、デビッドがゴリアテに反対するとき、すべてのてこ比が必要になるでしょう。覚えておいてくださいそれは個人的なものではなく、厳密にビジネスです。彼らはあなたにハートビートで同じことをします。

（FWIW私はこの回答が反対投票されることを完全に期待していますが、私が言っていることは厳しいものではありますが真実であるため、それは問題ありません。）

Jesse McCulloch · Answer

ソフトウェアにセキュリティの脆弱性が見つかった場合、彼らに何をしてもらいたいですか？それが最初に尋ねる質問です。答えが「教えてくれたら本当にありがたいです」というのなら、あなたの答えがあります！

彼らが巨大な会社や3人の店であることは関係ありません。また、あなたが3人の店や巨大な会社であることも関係ありません。言われたように、あなたの評判はすべて、特にソフトウェアとして知られているこの小さなコミュニティではすべてです。

Ben L · Answer

システムと自分のシステムの間でデータをインポートまたはエクスポートする場合、セキュリティの脆弱性は簡単にyourセキュリティの脆弱性になる可能性があります。

あなたは技術的および合法的にあなたのお尻をカバーしたいと思うでしょう。それが修正されることを確認してくださいが、法務部門がそれらに通知する手があることを確認してください。

jdl · Answer

明らかに、彼らに知らせてください。

「心の良さ」が十分な理由ではない場合は、この機能を自分の顧客の利益として実装していると考えてください。このバグを報告することで、間接的にデータを保護しています。

Eric King · Answer

立派な選択肢は1つだけです。それらを教えてください。

Pekka · Answer

原則として、私はここでのほとんどの意見に完全に同意します。ステップアップして報告します。海上でのように専門的な名誉の規定があります。船が問題を抱えている場合、誰に属していても、あなたは助けます。

しかし、あなたの更新を読んで、意図的な行動が間違った方法で行われ（@Uriが言うように産業スパイが行われる可能性がある）、そのためにはるかに危険な敵対行為につながるリスクがあるため、おそらく私はそれらを告げることに反対するでしょう。あなたの三人の店は彼らがこれまでにそうするであろうよりも。

たぶん匿名のメモを落としてください。まったく何もしないかもしれません。あなたがデイビッドなら、あなたはゴリアテに彼が彼の背中に座っている蜂を持っていることを告げる必要はありません。

Dominique McDonnell · Answer

個人的に私は彼らに言います。

他の人々はPR /法的問題の可能性を指摘しており、レイヤーまたはPRエージェントと話した後、それを報告しないようアドバイスされた場合は、匿名で報告します。

データの保護を支援することで、潜在的な顧客を支援します。