Я заметил, что веб-сайт потенциального работодателя был скомпрометирован. Следует ли упоминать об этом во время собеседования?

Я собираюсь пройти телефонное собеседование на должность младшего разработчика программного обеспечения. Узнав больше о компании, я заметил, что их сайт был скомпрометирован или, проще говоря, взломан (хакер оставил недвусмысленную подпись).

Не обязательно очевидно, что нарушение безопасности произошло — нет мигающего красного баннера «взломано», который вы не можете пропустить — но после использования веб-сайта вы не можете это пропустить (некоторые ссылки ведут к подписи хакера).

Не знаю, стоит ли упоминать об этом во время интервью. Я боюсь, что если я этого не сделаю, то они могут подумать, что я на самом деле не смотрел их веб-сайт или, если я смотрел, у меня плохое представление о том, что происходит.

Если это хорошая идея, чтобы упомянуть об этом, как я должен это сделать? Если я просто скажу что-то вроде «Я знаю, что ваш сайт был скомпрометирован», я боюсь, что ситуация может быть неловкой, они могут сказать: «Да, и что теперь?», у них может сложиться впечатление, что я просто болтаю наугад. вещи, чтобы произвести на них впечатление.

Наконец, является ли это плохим признаком того, что они были взломаны, и, возможно, мне следует отказаться от работы, если мне ее предложат? Я ожидаю, что нарушения безопасности случаются, и вы не можете сделать здравый вывод, основываясь только на этом факте. Я бы поверил, что это больше о том, как они относятся к реальности взлома. Так что, возможно, мне следует спросить об их политике? Но разве это не неправильно?

РЕДАКТИРОВАТЬ

Что касается компании и профиля работы: они оба довольно полноценны.

Кроме того, чтобы добавить больше соображений, есть проблема компании-общественной пользы. Неинформирование их может представлять для них определенный рыночный риск, с другой стороны, возможно, общественность должна увидеть своими глазами, что они не могут защитить свой веб-сайт?

В каком секторе работает компания и ориентирован ли ваш профиль на веб-сайты или нет?
Будь ты проклят, если сделаешь, будь проклят, если не сделаешь. Я бы сказал им, только не во время интервью. Найдите для этого другое подходящее время и место. Если нет подходящего времени и места, то, возможно, не ваше дело им об этом говорить.
Есть небольшая разница между ни к чему не обязывающим «что-то выглядит немного странно на вашем веб-сайте» и «о боже, вас оскорбили». Презентация — это все, и от первой легче уклониться, если вы ошибаетесь.

Ответы (4)

если я этого не сделаю, то они могут подумать, что я на самом деле не смотрел их веб-сайт или, если я смотрел, у меня плохое представление о том, что происходит.

Почему это? Разве они не смотрели на их сайте? Люди должны за ней присматривать? Я не думаю, что это так, но с точки зрения теории игр лучше всего не упоминать об этом вообще.

Вы не должны прямо говорить им, что они были изуродованы, потому что это паникерство, и вы потеряете лицо, если ошибетесь. Если вы абсолютно уверены, что это заслуживает их внимания, вы можете представить факты так, как вы их видите, и позволить им прийти к выводу, что они могли иметь нарушение.

Даже в этом случае вас могут обвинить в том, что вы хакер, или парень, который брал у вас интервью, может быть тем, кто в первую очередь создал сайт, и воспримет это как оскорбление.

Мой совет таков: ничего не говорите им во время интервью .

Вместо этого создайте анонимную учетную запись, при необходимости через Tor, и сообщите им об этом анонимно. Это ни в коем случае не должно вернуться к вам. Посмотрите статью в Википедии об ответственном раскрытии информации .

Удачи

Лично я бы сказал им в следующий раз, когда буду с ними разговаривать, желательно до интервью.

Если у вас есть контакт в компании, вы можете сообщить им, что у вас есть доказательства того, что их веб-сайт был взломан.

Ожидание интервью может быть расценено как отсутствие срочности.

Я бы сказал им, но ожидание, чтобы поговорить с кем-то техническим, имеет смысл, и это все же не должно быть первой темой обсуждения. Я сделал это в конце технического интервью; отнес его в сторону, которого я счел наиболее осведомленным о безопасности, со смирением, в духе «я не уверен, что это проблема» (я знал, что это так) «но я нашел то, что похоже на это может быть уязвимостью" (серьезной) "и хотел бы узнать, можете ли вы передать эту информацию тому, кто может счесть ее полезной?" (дал документацию о проблеме, как я наткнулся на нее и как это исправить.) получил работу.

Не говорите им об этом на собеседовании. Как бы они ни поступили, ничего хорошего из того, что их ошибка будет видна, не выйдет. Скажите им, только если и когда они наймут вас.

Потому что, если они не наймут тебя... зачем помогать им за свои деньги? Они платят людям за это (и они решили, что это не вы), так что пусть эти люди делают свою работу.

Если вы хотите быть «хорошим парнем», вы все равно можете отправить им электронное письмо после того, как они отвергли вас, и пусть их люди разберутся.

зачем им помогать за свои деньги? Это ничего не стоит ОП (доказательства, обнаруженные на этапе исследования собеседования), и это правильно, независимо от того, продлевают ли они предложение о работе или нет.
@rath Я думаю, вы действительно недооцениваете время, необходимое для написания хорошего и профессионального отчета об инциденте. И ему за это не заплатят. Он потратит время (скажем, 20-30 минут, если он хочет выглядеть профессионально, а не как мальчишка или придурок) и ничего не получит взамен. Это ничего не стоит ему только в том случае, если его время ничего не стоит.
Не думал о полном отчете, но что-то вроде Эй, я нашел X, и я думаю, что это означает Y. С уважением, AnonymousOnTheInternet . Поскольку ваше имя не будет прикреплено к нему, нет необходимости быть формальным. Я согласен с вами в другом.
@rath Тогда вам придется столкнуться с проблемой открытия анонимной учетной записи. Это не много, но хоть что-то. Я не говорил не делай этого. Я просто говорю, убедитесь, что это стоит потраченного времени.

Зависит от того, с кем вы разговариваете, если вы разговариваете с каким-то нетехническим HR-специалистом, я, вероятно, не буду беспокоиться в этот момент, но когда вы разговариваете с каким-то техническим специалистом, который может понять проблему, я, вероятно, упомяну об этом. . Я бы скромно упомянул об этом (на случай, если я ошибаюсь) и убедился, что это было то, что я заметил во время обычного просмотра их веб-сайта, в основном. Дайте понять, что вы не пытаетесь хвастаться или хвастаться, а просто говорите об этом как о чем-то, что, по вашему мнению, им может быть интересно узнать.

Либо они узнают, что вы достаточно ответственны и компетентны в вопросах ИТ-безопасности.

Если они проигнорируют информацию, то вы знаете, что ОНИ не обладают ответственностью и компетентностью в области ИТ-безопасности, но не должны причинить вам большого вреда.

Если они обижаются или думают, что вы взломали сайт, нахуй их.

Я заметил, что веб-сайт потенциального работодателя был скомпрометирован. Следует ли упоминать об этом во время собеседования?
СпросиСетьПолитика конфиденциальности1y, 0v