1. घर
  2. सवाल और जवाब
  3. सुरक्षा नैतिकता nondisclosure

सुरक्षा नैतिकता nondisclosure

2009-09-29 9 views
8

3 साल पहले मैंने एक बड़ी ईकॉमर्स वेबसाइट के लिए एक सुरक्षा लेखा परीक्षा की थी। जब ऑडिट को पूर्ववर्ती किया गया तो मुझे कई गंभीर सुरक्षा समस्याएं मिलीं जो लेन-देन पूरा होने के बाद पहुंच योग्य नहीं होने वाले डेटा तक पहुंचने की अनुमति देती हैं। इस साइट पर कई प्रमुख जोखिम हैं। सबसे पहले आप सिस्टम के वास्तविक समय के माध्यम से आने वाले आदेश देख सकते हैं; सभी लेनदेन इस कंपनी द्वारा मैन्युअल रूप से संसाधित किए जाते हैं। यदि आप एक लेनदेन देखते हैं तो आप नाम, पता और शिपिंग गंतव्य देख सकते हैं। मुझे यहां 2 दुर्व्यवहार बिंदु दिखाई देते हैं, 1 - आप बस जहाज को संबोधित करने के लिए संपादित कर सकते हैं और शिपमेंट स्वयं को भेज सकते हैं, और 2 - आप ऑर्डर के रूप में उपयोगकर्ता को सही कह सकते हैं और आसानी से पहुंच प्राप्त करने के लिए "फोन कॉन्फ़ॉर्मेशन" कर सकते हैं बुनियादी सामाजिक इंजीनियरिंग के साथ सीसी जानकारी के लिए।सुरक्षा नैतिकता nondisclosure

आप सीसी जानकारी और ऑर्डर आईडी संख्याओं को डंप कर थोड़ा और काम भी कर सकते हैं और फिर ऑर्डर आईडी और उपयोगकर्ता जानकारी से मेल खाते हैं। यह सब उनकी साइट पर उजागर कार्यों का उपयोग करके और कुछ मूल्यों को संशोधित करके किया जाता है। हाँ मैं एक कारण के लिए अस्पष्ट हूँ।

इस कंपनी के विपणन निदेशक को 3 साल पहले इन जोखिमों के बारे में चेतावनी दी गई थी और उन्होंने उन्हें सही करने के लिए कुछ भी नहीं किया है। मुझे शक नहीं है कि मैं यह दूसरों को पा सकता हूं। यह साइट प्रति वर्ष 88 के लेनदेन करता है और अभी भी डेटा और सुलभ में अभी भी सभी ऑर्डर संसाधित किए गए हैं।

तो नैतिक प्रश्न ... मैं क्या करूँ? मेरी कंपनी परवाह नहीं है ... इसलिए मुझे वहां मदद नहीं मिल सकती है। यदि मैं मार्केटिंग लड़के से संपर्क करता हूं तो वह अपने गधे और असंगत आंतरिक विकास टीम (ठंड संलयन) के गधे को कवर करना जारी रखेगा। क्या मैं किसी से ऊपर से संपर्क करता हूं? क्या मैं अपनी कंपनी के चारों ओर जाता हूं? क्या मैं सिर्फ डेटा खाता हूं और इसे सीसी जानकारी के प्रतिद्वंद्वी को बेचता हूं? मैं यह जानकर क्या करूँ? यह मुझ पर घबराहट और मैं इसे जाने नहीं दे सकता। यह केवल उन साइटों में से एक है जिन्हें मैं जानता हूं, लेकिन पहुंच और उच्च यातायात की आसानी से मुझे इस पर बहुत कुछ लगता है। जिम्मेदार प्रकटीकरण, और पूर्ण प्रकटीकरण:

स्रोत

2009-09-29 tom

+0

मैं इस प्रश्न को ऑफ-विषय के रूप में बंद करने के लिए मतदान कर रहा हूं क्योंकि यह प्रोग्रामिंग के बजाए प्रोग्रामर के बारे में है। – gunr2171

उत्तर

3

दो विचारधारायें हैं। लेकिन, अगर आपने इसे अपनी कंपनियों के समय (मूल्यांकन) पर किया है तो मुझे लगता है कि आप सार्वजनिक रूप से खुलासा नहीं करने के लिए सख्ती से बंधे हैं।

स्रोत

2009-09-29 06:45:18

+0

सहमत और +1। लेकिन दुविधा टॉम चेहरे यह है कि वह जानता है कि अन्य (दुर्भावनापूर्ण) लोगों को यह छेद मिल सकता है, इसलिए पूर्ण प्रकटीकरण हिस्सा नहीं करकर, निर्दोष लोगों को फटकारा जा सकता है। – si618

+0

मासूम लोग आम तौर पर इन चीजों से फट नहीं जाते हैं; क्रेडिट कार्ड कंपनियां ऐसी धोखाधड़ी को कवर करती हैं। अगर वह बाहरी व्यक्ति था, तो मैं मानता हूं कि एक नैतिक मुद्दा है, लेकिन कंपनी के लिए काम करने के हिस्से के रूप में इसे कर रहा है, अगर वह इस जानकारी को सार्वजनिक रूप से प्रकट करता है, और इसे वापस उससे जोड़ा जा सकता है (आप यहां लाइनों के बीच पढ़ सकते हैं) वह मुकदमा चलाया जाएगा, शायद, और उद्योग में फिर से काम करने में सक्षम नहीं है (यह पहले हुआ है)। तो बहुत सावधान रहें। –

+1

जब तक आप पहचान की चोरी का लक्ष्य नहीं हैं, और टॉम का उल्लेख है कि नाम, पता, सीसी विवरण का खुलासा किया गया है, इसलिए निश्चित रूप से जोखिम है। – si618

1

व्यावहारिक apporach, तो आप सुरक्षा संबंधी दोषों को पाया और उन्हें चेतावनी दी है। अगर वे उन्हें ठीक नहीं करना चाहते हैं, तो यह उनका व्यवसाय है।

शायद मार्केटिंग डायरेक्टर इस जानकारी से निपटने के लिए सही व्यक्ति नहीं है। आप अपने राजनयिक कौशल का उपयोग करने और ऊपरी प्रबंधन से संपर्क करने का प्रयास कर सकते हैं। लेकिन किसी को दोष न दें। क्योंकि यह पीछे हट जाएगा।

मैं एक प्रतियोगी के लिए कुछ भी बेचने नहीं करेंगे, क्योंकि है कि निश्चित रूप से आप मुसीबत के बहुत सारे देना होगा।

स्रोत

2009-09-29 06:51:24

7

देखने के नियमित ग्राहक के दृष्टिकोण से, मुझे लगता है कि इस कंपनी में कस्टमर केयर की डिग्री सार्वजनिक जाना चाहिए। वे वास्तव में किसी भी छेद की परवाह नहीं करते हैं जो ग्राहकों के निजी डेटा का खुलासा कर सकता है। तो, उन्हें वास्तव में दंडित किया जाना चाहिए। लेकिन छेद प्रकट करने से न केवल उन्हें नुकसान होगा, बल्कि उनके ग्राहकों को भी नुकसान होगा।

यदि आपको सुरक्षा लेखापरीक्षा के लिए भुगतान किया गया था, तो आपके पास नैतिक अधिकार है न तो आपके द्वारा प्राप्त की गई किसी चीज़ के बारे में जानकारी प्रकाशित करने और न ही किसी भी तरीके से इसका उपयोग करने के लिए। सुरक्षा विशेषज्ञ पर भरोसा कौन करेगा कि उसे बाद में क्या मिला है? मुझे लगता है कि ऐसा कुछ भी नहीं है जो आप कर सकते हैं।

स्रोत

2009-09-29 06:52:27

2

मैं आपके सीखने के अनुभव के रूप में पहली ऐसी घटना को तैयार करता हूं। आप और ग्राहक (और आपके प्रबंधन) ने आपकी ज़िम्मेदारी की सीमाओं को स्पष्ट नहीं किया था।

मुझे लगता है कि आपका असली सवाल है "मैं इसे फिर से होने से कैसे रोक सकता हूं?"

स्रोत

2009-09-29 07:06:59 dkretz

0

मुझे अतीत में similar scenario का सामना करना पड़ा है। हालांकि मैं कलम परीक्षण या सुरक्षा लेखा परीक्षा करने के लिए भुगतान किए जाने के बजाय छेद में ठोकर खाई।

मुझे 2 साल बाद कोई कार्रवाई नहीं की गई, जब मैंने 2 साल बाद कोई कार्रवाई नहीं की, तो मैंने अपने राज्य समाचार पत्रों और फिर पूर्ण प्रकटीकरण मेलिंग सूची (सरकारी संपर्कों के साथ) को विवरण पोस्ट करने के लिए गंभीरता से परीक्षा दी थी, लेकिन निर्णय लिया कि डेटा खुलासा करने के लिए बहुत जोखिम भरा था (संभावित रूप से) दुर्भावनापूर्ण लोगों के लिए।

हालांकि हार्ड विकल्प हालांकि।

स्रोत

2009-09-29 07:19:27 si618

0

यदि यह एक निजी संगठन है और आपको लगता है कि आपने उनके साथ अपने अनुबंध की शर्तों को पूरा कर लिया है, तो मैं कहूंगा कि आपने जो भी कर सकते हैं वह किया है।

यदि यह एक संगठन है जो किसी भी तरह से सार्वजनिक वित्त पोषण प्राप्त करता है, तो मैं उन्हें एक और मौका देने और फिर (तकनीक) प्रेस पर जाने का सुझाव देता हूं।

स्रोत

2009-09-29 07:26:21 AakashM

4

कंपनी के अंदर सही व्यक्ति खोजें।

यदि कोई सही व्यक्ति नहीं है तो आप उच्चतम के साथ दर्शकों को प्राप्त कर सकते हैं और कुछ साधारण गैर-तकनीकी वाक्यों में समस्या को समझा सकते हैं।

"हर एक ग्राहक जिसने कभी भी इस सेवा की जानकारी का उपयोग किया है, अब अर्ध-ज्ञानी व्यक्ति द्वारा चोरी हो सकता है। मैंने अगले वर्ष में यह 50% पर होने का मौका दिया। अगर/जब ऐसा होता है इसके मुकदमे में 5 मिलियन, ओवरटाइम में 1 मिलियन, प्रतिष्ठा में एन मिलियन, भविष्य में खोए गए ग्राहकों/ऑर्डर में एन मिलियन खर्च होंगे। "

उसने अतीत में मेरे लिए काम किया है और यदि आप ऐसा करते हैं तो आपने सही काम करने के लिए अपनी पूरी कोशिश की होगी।

स्रोत

2009-09-29 07:27:57 Collin

संबंधित मुद्दे

 संबंधित मुद्दे