Ich stehe kurz vor einem Telefoninterview für eine Stelle als Junior-Softwareentwickler. Als ich mehr über das Unternehmen erfahren habe, ist mir aufgefallen, dass ihre Website kompromittiert oder einfach gesagt gehackt wurde (der Hacker hat eine eindeutige Signatur hinterlassen).
Es ist nicht unbedingt offensichtlich, dass die Sicherheitsverletzung aufgetreten ist - es gibt kein blinkendes rotes Banner "gehackt", das Sie nicht übersehen könnten - aber nachdem Sie die Website benutzt haben, können Sie das nicht wirklich übersehen (einige der Links führen zur Signatur des Hackers).
Ich weiß nicht, ob ich es während des Interviews erwähnen sollte. Meine Befürchtung ist, dass sie, wenn ich das nicht tue, denken könnten, dass ich nicht wirklich auf ihre Website geschaut habe, oder wenn ich geschaut habe, habe ich eine schlechte Vorstellung davon, was vor sich geht.
Wenn es eine gute Idee ist, es zu erwähnen, wie soll ich es tun? Wenn ich nur etwas sage wie „Ich weiß, dass Ihre Website kompromittiert wurde“, befürchte ich, dass die Situation unangenehm sein könnte, sie könnten sagen „Ja, na und jetzt?“, sie könnten den Eindruck haben, dass ich nur wahllos schwafele Dinge, die sie beeindrucken.
Ist es ein schlechtes Zeichen, dass sie gehackt wurden, und sollte ich vielleicht einen Job ablehnen, wenn er mir angeboten wird? Ich würde erwarten, dass Sicherheitsverletzungen auftreten, und Sie können auf der Grundlage dieser Tatsache allein kein fundiertes Urteil fällen. Ich würde glauben, dass es eher darum geht, wie sie die Realität des Hackens angehen. Also sollte ich vielleicht nach ihrer Politik fragen? Aber ist es nicht unangebracht?
BEARBEITEN
Was das Unternehmen und das Berufsbild angeht: Beide sind ziemlich vollgepackt.
Um weitere Überlegungen hinzuzufügen, gibt es auch ein Problem des öffentlichen Nutzens des Unternehmens. Sie nicht zu informieren, könnte für sie ein gewisses Marktrisiko darstellen, andererseits sollte die Öffentlichkeit vielleicht mit eigenen Augen sehen, dass sie ihre Website nicht sichern kann?
Wenn ich das nicht tue, könnten sie denken, dass ich mir ihre Website nicht wirklich angesehen habe, oder wenn ich nachgesehen habe, habe ich eine schlechte Wahrnehmung dessen, was vor sich geht.
Warum das? Haben sie sich nicht ihre Website angesehen? Die Leute , die sich darum kümmern sollen ? Ich glaube nicht, dass das der Fall wäre, aber aus spieltheoretischer Sicht ist es am sichersten, es überhaupt nicht zu erwähnen.
Sie sollten ihnen nicht unverblümt sagen, dass sie unkenntlich gemacht wurden, weil es Alarmismus ist und Sie Ihr Gesicht verlieren, wenn Sie falsch liegen. Wenn Sie absolut sicher sind, dass dies ihre Aufmerksamkeit verdient, können Sie die Fakten so darstellen, wie Sie sie sehen, und sie zu dem Schluss kommen lassen, dass sie möglicherweise einen Verstoß begangen haben.
Trotzdem könnten Sie beschuldigt werden, der Hacker zu sein, oder der Typ, der Sie interviewt, könnte derjenige sein, der die Website überhaupt erst erstellt hat, und es als Affront auffassen.
Mein Rat ist folgender: Sagen Sie ihnen während des Vorstellungsgesprächs nichts .
Erstellen Sie stattdessen ein anonymes Konto, falls erforderlich, über Tor, und teilen Sie es ihnen anonym mit. Das darf auf keinen Fall auf dich zurückfallen. Schlagen Sie den Wikipedia-Artikel zur verantwortungsvollen Offenlegung nach .
Viel Glück
Ich persönlich würde es ihnen beim nächsten Gespräch sagen – am besten vor dem Vorstellungsgespräch.
Wenn Sie einen Kontakt im Unternehmen haben, können Sie ihm mitteilen, dass Sie Beweise dafür haben, dass seine Website gehackt wurde.
Das Warten auf das Vorstellungsgespräch könnte als Mangel an Dringlichkeit angesehen werden.
Sagen Sie es ihnen nicht im Vorstellungsgespräch. Egal wie sie damit umgehen, es kann nichts Gutes daraus entstehen, ihren Fehler sichtbar zu machen. Sagen Sie ihnen nur, ob und wann sie Sie einstellen.
Denn wenn sie dich nicht einstellen... warum ihnen auf eigene Kosten helfen? Sie bezahlen Leute dafür (und sie haben entschieden, dass das nicht Sie sind), also lassen Sie diese Leute ihre jeweiligen Jobs machen.
Wenn Sie "der Gute" sein möchten, können Sie ihnen immer noch eine E-Mail senden, nachdem sie Sie abgelehnt haben, und ihre Leute das regeln lassen.
Hängt davon ab, mit wem Sie sprechen. Wenn Sie mit einer nicht-technologischen HR-Person sprechen, würde ich mich an diesem Punkt wahrscheinlich nicht darum kümmern, aber wenn Sie mit einer technischen Person sprechen, die das Problem verstehen könnte, würde ich es wahrscheinlich erwähnen . Ich würde es auf bescheidene Weise erwähnen (falls ich einen Fehler mache) und sicherstellen, dass klar ist, dass es etwas war, das ich im Grunde beim normalen Surfen auf ihrer Website bemerkt habe. Seien Sie sich darüber im Klaren, dass Sie nicht versuchen, anzugeben oder zu prahlen, sondern bringen Sie es einfach als etwas zur Sprache, von dem Sie dachten, dass sie es wissen möchten.
Entweder lernen sie, dass Sie etwas verantwortungsbewusst und kompetent in Sachen IT-Sicherheit sind.
Wenn sie die Informationen ignorieren, dann wissen Sie, dass IHNEN die Verantwortung und Kompetenz der IT-Sicherheit fehlt, Ihnen aber kein großer Schaden zugefügt werden sollte.
Wenn sie Anstoß nehmen oder denken, dass Sie die Seite gehackt haben, verarschen Sie sie.
Lilienthal
Lehrer KSHuang
Nathan Cooper