三年前,我为一家大型电子商务网站做过安全审计。审计过程中,我发现了几个严重的安全问题,这些问题允许访问交易完成后不应访问的数据。这个网站有几个主要风险。首先,您可以实时看到通过系统下达的订单;所有交易都由该公司手动处理。如果您查看交易,您可以看到姓名、地址和发货目的地。我发现这里有两个滥用点,1 – 您可以简单地编辑发货地址并将货物发送给您自己,2 – 您可以在下订单后立即致电用户并进行“电话确认”,以便通过基本的社交工程轻松获取信用卡信息。
您还可以通过一些额外的工作,转储 CC 信息和订单 ID 号,然后简单地匹配订单 ID 和用户信息。
这一切都是通过使用他们网站上公开的函数并修改几个值来实现的。是的,我含糊其辞是有原因的。
该公司的营销总监三年前就已收到有关这些风险的警告,但并未采取任何措施予以纠正。我毫不怀疑,如果我能找到这些风险,其他人也能找到。该网站每年处理 88K 笔交易,所有处理过的订单仍保留在数据中,可供访问。
那么道德问题...我该怎么办?我的公司不在乎...所以我无法在那里得到帮助。如果我联系营销人员,他只会继续掩盖他自己和他们无能的内部开发团队(冷聚变)的丑闻。我要联系更高级别的人吗?我要绕过我的公司吗?我是否只是挖掘数据并将其出售给竞争对手而不包含 CC 信息?我知道这些,我该怎么办?它一直困扰着我,我无法放手。这只是我知道的众多网站之一,但访问方便且流量大让我对此深思熟虑。
答案1
曾经有一段时间,我会建议采取大胆措施来解决这种情况。后来我明白了——你不能强迫别人按照自己的最佳利益行事。这样做往往会给你带来意想不到的后果,而且很可能是不愉快的。
想想看...你已经
- 通过您的审计报告通知公司
- 通知你的管理层
因此,如果您回家给 CEO 打电话,那么您就绕过了管理层,并造成了一种局面,即那些执行 CYA 的内部人员会让您成为恶棍。与 3 年前进行审计的随机顾问相比,CEO 更愿意听取他无能的员工的意见。
我的建议是:去喝杯啤酒或做任何你喜欢做的事,并且不要再访问该网站。
答案2
首先,你不会卖你所知道的东西,这是当然不道德,并且可能是非法的:)
我的第二个建议是去找营销人员的老板,一直到该公司的首席执行官。如果你在审计小组工作,他们不关心公司如何处理这些信息,他们只是首先要销售服务。
第三,如果真的这没什么大不了的,你可以发起一个匿名(或非匿名)的营销/抵制活动,针对该网站的不安全性,而不需要实际上危及他们。
但比询问一群系统管理员更好的方法是与一位有信誉的律师交谈:)
答案3
你被雇来做审计,所以你的职责是向客户告知审计结果。他们如何处理是他们的事情。他们已经决定了风险与变更的成本。不是你。如果他们有严重的安全问题,而你收到传票,你就可以就审计结果作证(3 年前)。这就是你的义务。
我要告诉你一个消息。绝大多数公司在某种程度上都以不安全的方式处理客户数据。有多少 DBA 可以完全访问所有客户数据?很少有公司运行 Oracle Vault。
“我是否只挖掘数据并将其出售给竞争对手而不包含 CC 信息?”
只有当你想进监狱时才会这样。
答案4
在我看来,你已经完成了你的工作。你进行了审计并将结果传递给相关主管人员。我的建议是放弃它,你真的无能为力。当然,困境在于无辜的客户可能会受到持续的安全漏洞的影响,但这真的不是你的问题,不是吗?你不能为超出你工作范围的任何部分承担责任。