3年前,我为一家大型电子商务网站进行了安全审核.在进行审计时,我发现了几个严重的安全问题,这些问题允许访问在事务完成后无法访问的数据.在这个网站上有几个主要的风险.首先,您可以看到实时通过系统的订单; 所有交易均由该公司手动处理.如果您查看交易,则可以看到姓名,地址和送货目的地.我在这里看到2个滥用点,1 - 您可以简单地编辑发货地址并将货物发送给您自己,2 - 您可以在下订单时调用用户并执行"电话确认"以获取访问权限与基本社会工程的cc信息.
您还可以使用更多工作转储cc信息和订单ID号,然后简单地匹配订单ID和用户信息.这都是通过在其网站上使用公开函数并修改几个值来实现的.是的我有点模糊是有原因的.
这家公司的营销总监3年前曾被警告过这些风险,并没有采取任何措施来纠正这些风险.我不怀疑我是否能找到其他人可以.该网站每年进行88,000笔交易,并且所有订单仍处理数据并且可访问.
所以道德问题......我该怎么办?我的公司不关心...所以我无法在那里得到帮助.如果我联系营销人员,他将继续掩盖他的屁股和那些无能的内部开发团队(冷聚变)的评估.我可以联系更高层的人吗?我去我的公司吗?我只是挖掘数据并将其卖给竞争对手减去cc信息吗?知道这件事我该怎么办?它唠叨着我,我不能放手.这只是我所知道的众多网站中的一个,但是访问的便利性和高流量让我思考了很多.
从常规客户的角度来看,我认为这家公司的客户关怀程度应该公之于众.他们真的不关心任何可能泄露客户私人数据的漏洞.所以,他们必须受到惩罚.但揭露这些漏洞不仅会损害它们,还会损害它们的客户.
如果您获得了安全审计的报酬,那么您有道德权利既不会公布您找到的信息,也不会以任何方式使用它.谁会相信安全专家揭示他甚至几年后发现了什么?我认为你无能为力.