三年前,我对一个大型电子商务网站进行了安全审计。执行审计时,我发现了几个严重的安全问题,这些问题允许访问在事务完成后不应访问的数据。在这个网站上有几个主要的风险。首先,您可以实时看到通过系统传入的订单;所有交易均由该公司手动处理。如果您查看交易,您可以看到姓名、地址和送货目的地。我在这里看到两个滥用点,1 – 您可以简单地编辑发货地址并将货件发送给您自己,以及 2 – 您可以在下订单时立即致电用户并进行“电话确认”以获得访问权限到具有基本社会工程学的信用卡信息。
您还可以多做一点工作,转储 CC 信息和订单 ID 号,然后简单地匹配订单 ID 和用户信息。
这一切都是通过在他们的网站上使用公开的函数并修改几个值来实现的。是的,我含糊其辞是有原因的。
这家公司的营销总监三年前就被警告过这些风险,但没有采取任何措施来纠正这些风险。我毫不怀疑,如果我能找到这个,其他人也能找到。该站点每年进行 88,000 次交易,并且所有处理过的订单仍处于数据中并可访问。
那么道德问题……我该怎么办?我的公司不在乎……所以我无法在那里获得帮助。如果我联系营销人员,他将继续掩饰他的屁股和他们无能的内部开发团队(冷聚变)的屁股。我会联系更高的人吗?我会去我的公司吗?我是否只是挖掘数据并将其出售给竞争对手而不是 CC 信息?知道这些我该怎么办?它对我唠叨,我不能放手。这只是我所知道的众多网站之一,但访问的便利性和高访问量让我对此深思熟虑。
duf*_*703 15
曾经有一段时间我建议采取英勇的措施来解决这种情况。从那以后我学得更好——你不能强迫某人为自己的最佳利益行事。这样做通常会给您带来意想不到的后果,这些后果可能会令人不快。
想想……你已经
所以,如果你去家里给 CEO 打电话,你现在已经对你的管理层进行了彻底的检查,并造成了一种情况,在这种情况下,正在做 CYA 事情的内部人员会让你成为恶棍。与 3 年前进行审计的随机顾问相比,CEO 会更多地听取他不称职的员工的意见。
我的建议是:去喝杯啤酒或做任何你喜欢做的事情,然后再也不访问该网站。
首先 - 你不卖你知道的东西,这当然是不道德的,而且可能是非法的:)
我的第二个建议是去找 Marketing Guy 的老板,一直到那家公司的 CEO。如果您为审计团队工作,他们并不关心公司如何处理这些信息,只关心他们首先要销售服务。
第三,如果它真的这样大的交易,你可以启动一个匿名的(或者非匿名)对网站的不安全营销/抵制活动,没有真正影响他们。
但比询问一群系统管理员更好的是与有信誉的律师交谈:)
您受雇执行审核,因此您的职责是向客户通知审核结果。他们用它做什么是他们的事。他们已经决定了风险与变更成本。不是你。如果他们有严重的安全问题并且您收到传票,则您可以就审计结果(3 年前)作证。这就是你的义务。
我有消息要告诉你。绝大多数公司在某种程度上以不安全的方式处理客户数据。有多少 DBA 可以完全访问所有客户数据?很少有公司运行 Oracle Vault。
“我是否只是挖掘数据并将其出售给竞争对手而不是 CC 信息?”
只要你想进监狱。
如果您透露任何信息,您可能会陷入困境。你可能会因此陷入真正的麻烦。
在签订渗透测试合同时,公司之间有严格的协议是有原因的。渗透测试公司需要他们可以获得的所有保护。披露您不应该并且会导致您被起诉或起诉的信息。
假设你去找营销人员的老板。老板打压营销人员。营销人员开始捂住自己的屁股。他可能会说服老板,为了让您获得这些信息,您必须做了一些非法或类似的事情。即使您最终会获胜,您也可能会在法庭上待很长时间。
如果他们一开始就不想认真对待,那么强迫他们认真对待很可能会让你陷入困境。
为了你,放下它。
编辑:此外,如果安全审计的原始协议包括您只能通知的特定人员,通知同一公司中未包含在协议中的其他人,可能会给您带来麻烦。
就我看来,你已经完成了你的工作。您执行了审计并将结果传递给相关的权威人士。我的建议是远离它,你真的无能为力了。当然,困境在于无辜的客户可能会暴露在持续存在的安全弱点之下,但这并不是您真正的问题,是吗?您不能对超出您工作职责范围的任何部分负责。
你当然不会泄露这些信息,更不会对外出售。
这里有一些我不明白的东西......三年前?如果您在 3 年前进行了审计,为什么您仍然会想到这一点?您对此感到很糟糕,还是不安全的公司仍在与您的公司签订安全/审计服务合同?
这是一个重要的问题,因为如果您已经 3 年没有与这家公司有业务往来,那么我的明确建议就是走开。3年后再次出现,开始批评,那会显得很奇怪。如果是 3 年前,那么你当时有机会,但你没有抓住它。现在走开。
如果你的公司还在和不安全的公司做生意,那么我建议你自己的老板强硬地给他们发一封信。你的老板不会喜欢这个;但对你来说,如果这封信来自你的公司而不是你自己,那就更好了。用快递寄给营销经理老板(CEO)。保持礼貌,保持含糊,并且主要涵盖您自己的公司,并暗示营销经理的安全决策远远超出了公认的行业标准,您觉得不得不忽略他的头脑。你的目标不是要说明一切,你的目标是把你自己公司的事情一网打尽,让另一位 CEO 惊慌失措地索要一份你的原始报告的副本。
超越营销经理的头是我能以任何方式推荐的最有力的举措。它真的很强大,不需要。您受雇就某一方面提供专家意见;不经营他们的生意。
在一个有点悲伤的网站上注意:看到不道德或只是普通无能的商人并不少见。有时,这些机构可能会聘请安全审计员,而无意使用调查结果;意图只是说他们已经过知名安全公司 X 的审计。这当然令人伤心和冒犯——但这是真实的,如果你想从事安全审计工作,你必须习惯它。