Ich habe festgestellt, dass die Website eines potenziellen Arbeitgebers kompromittiert wurde – soll ich dies während eines Vorstellungsgesprächs erwähnen?

Ich stehe kurz vor einem Telefoninterview für eine Stelle als Junior-Softwareentwickler. Als ich mehr über das Unternehmen erfahren habe, ist mir aufgefallen, dass ihre Website kompromittiert oder einfach gesagt gehackt wurde (der Hacker hat eine eindeutige Signatur hinterlassen).

Es ist nicht unbedingt offensichtlich, dass die Sicherheitsverletzung aufgetreten ist - es gibt kein blinkendes rotes Banner "gehackt", das Sie nicht übersehen könnten - aber nachdem Sie die Website benutzt haben, können Sie das nicht wirklich übersehen (einige der Links führen zur Signatur des Hackers).

Ich weiß nicht, ob ich es während des Interviews erwähnen sollte. Meine Befürchtung ist, dass sie, wenn ich das nicht tue, denken könnten, dass ich nicht wirklich auf ihre Website geschaut habe, oder wenn ich geschaut habe, habe ich eine schlechte Vorstellung davon, was vor sich geht.

Wenn es eine gute Idee ist, es zu erwähnen, wie soll ich es tun? Wenn ich nur etwas sage wie „Ich weiß, dass Ihre Website kompromittiert wurde“, befürchte ich, dass die Situation unangenehm sein könnte, sie könnten sagen „Ja, na und jetzt?“, sie könnten den Eindruck haben, dass ich nur wahllos schwafele Dinge, die sie beeindrucken.

Ist es ein schlechtes Zeichen, dass sie gehackt wurden, und sollte ich vielleicht einen Job ablehnen, wenn er mir angeboten wird? Ich würde erwarten, dass Sicherheitsverletzungen auftreten, und Sie können auf der Grundlage dieser Tatsache allein kein fundiertes Urteil fällen. Ich würde glauben, dass es eher darum geht, wie sie die Realität des Hackens angehen. Also sollte ich vielleicht nach ihrer Politik fragen? Aber ist es nicht unangebracht?

BEARBEITEN

Was das Unternehmen und das Berufsbild angeht: Beide sind ziemlich vollgepackt.

Um weitere Überlegungen hinzuzufügen, gibt es auch ein Problem des öffentlichen Nutzens des Unternehmens. Sie nicht zu informieren, könnte für sie ein gewisses Marktrisiko darstellen, andererseits sollte die Öffentlichkeit vielleicht mit eigenen Augen sehen, dass sie ihre Website nicht sichern kann?

In welcher Branche ist das Unternehmen tätig und ist Ihr Profil weborientiert oder nicht?
Du bist verdammt, wenn du es tust, verdammt, wenn du es nicht tust. Ich würde es ihnen sagen, nur nicht während des Vorstellungsgesprächs. Finden Sie einen anderen geeigneten Zeitpunkt und Ort dafür. Wenn es keinen geeigneten Zeitpunkt und Ort gibt, dann ist es vielleicht nicht Ihre Aufgabe, es ihnen zu sagen.
Es gibt einen kleinen Unterschied zwischen einem unverbindlichen „etwas sieht auf Ihrer Website etwas seltsam aus“ und „oh mein Gott, Sie wurden beschimpft“. Präsentation ist alles und die erste ist leichter abzusichern, wenn Sie falsch liegen.

Antworten (4)

Wenn ich das nicht tue, könnten sie denken, dass ich mir ihre Website nicht wirklich angesehen habe, oder wenn ich nachgesehen habe, habe ich eine schlechte Wahrnehmung dessen, was vor sich geht.

Warum das? Haben sie sich nicht ihre Website angesehen? Die Leute , die sich darum kümmern sollen ? Ich glaube nicht, dass das der Fall wäre, aber aus spieltheoretischer Sicht ist es am sichersten, es überhaupt nicht zu erwähnen.

Sie sollten ihnen nicht unverblümt sagen, dass sie unkenntlich gemacht wurden, weil es Alarmismus ist und Sie Ihr Gesicht verlieren, wenn Sie falsch liegen. Wenn Sie absolut sicher sind, dass dies ihre Aufmerksamkeit verdient, können Sie die Fakten so darstellen, wie Sie sie sehen, und sie zu dem Schluss kommen lassen, dass sie möglicherweise einen Verstoß begangen haben.

Trotzdem könnten Sie beschuldigt werden, der Hacker zu sein, oder der Typ, der Sie interviewt, könnte derjenige sein, der die Website überhaupt erst erstellt hat, und es als Affront auffassen.

Mein Rat ist folgender: Sagen Sie ihnen während des Vorstellungsgesprächs nichts .

Erstellen Sie stattdessen ein anonymes Konto, falls erforderlich, über Tor, und teilen Sie es ihnen anonym mit. Das darf auf keinen Fall auf dich zurückfallen. Schlagen Sie den Wikipedia-Artikel zur verantwortungsvollen Offenlegung nach .

Viel Glück

Ich persönlich würde es ihnen beim nächsten Gespräch sagen – am besten vor dem Vorstellungsgespräch.

Wenn Sie einen Kontakt im Unternehmen haben, können Sie ihm mitteilen, dass Sie Beweise dafür haben, dass seine Website gehackt wurde.

Das Warten auf das Vorstellungsgespräch könnte als Mangel an Dringlichkeit angesehen werden.

Ich würde es ihnen sagen, aber es ist am sinnvollsten, mit jemandem aus der Technik zu sprechen, und es sollte immer noch nicht das erste Diskussionsthema sein. Ich tat dies am Ende eines technischen Interviews; brachte es als Randbemerkung, gegenüber wem ich am sicherheitsbewusstesten war, mit Demut, nach dem Motto „Ich bin mir nicht sicher, ob dies ein Problem ist“ (ich wusste es) „aber ich habe gefunden, was so aussieht könnte eine Schwachstelle sein" (wichtig) "und haben Sie sich gefragt, ob Sie diese Informationen an alle weitergeben könnten, die sie nützlich finden könnten?" (hat das Problem dokumentiert, wie ich darauf gestoßen bin und wie ich es beheben kann.) hat den Job bekommen.

Sagen Sie es ihnen nicht im Vorstellungsgespräch. Egal wie sie damit umgehen, es kann nichts Gutes daraus entstehen, ihren Fehler sichtbar zu machen. Sagen Sie ihnen nur, ob und wann sie Sie einstellen.

Denn wenn sie dich nicht einstellen... warum ihnen auf eigene Kosten helfen? Sie bezahlen Leute dafür (und sie haben entschieden, dass das nicht Sie sind), also lassen Sie diese Leute ihre jeweiligen Jobs machen.

Wenn Sie "der Gute" sein möchten, können Sie ihnen immer noch eine E-Mail senden, nachdem sie Sie abgelehnt haben, und ihre Leute das regeln lassen.

warum ihnen auf eigene Faust helfen? Es kostet das OP nichts (Beweise wurden während der Recherchephase des Interviews gefunden) und es ist das Richtige, unabhängig davon, ob es ein Stellenangebot anbietet oder nicht.
@rath Ich glaube, Sie unterschätzen wirklich die Zeit, die es braucht, um einen guten und professionellen Vorfallbericht zu schreiben. Und dafür wird er nicht bezahlt. Er wird die Zeit investieren (sagen wir 20-30 Minuten, wenn er professionell aussehen will und nicht wie ein Kind oder ein Idiot) und nichts dafür bekommen. Es kostet ihn nur nichts, wenn seine Zeit nichts wert ist.
Ich dachte nicht an einen vollständigen Bericht, sondern an etwas in der Art von Hey, ich habe X gefunden, und ich denke, es bedeutet Y. Grüße, AnonymousOnTheInternet . Da Ihr Name nicht daran angehängt wird, müssen Sie nicht förmlich sein. ansonsten stimme ich dir zu.
@rath Dann müssen Sie sich die Mühe machen, ein anonymes Konto zu eröffnen. Es ist nicht viel, aber es ist etwas. Ich habe nicht gesagt, tu es nicht. Ich sage nur, stellen Sie sicher, dass es die aufgewendete Zeit wert ist.

Hängt davon ab, mit wem Sie sprechen. Wenn Sie mit einer nicht-technologischen HR-Person sprechen, würde ich mich an diesem Punkt wahrscheinlich nicht darum kümmern, aber wenn Sie mit einer technischen Person sprechen, die das Problem verstehen könnte, würde ich es wahrscheinlich erwähnen . Ich würde es auf bescheidene Weise erwähnen (falls ich einen Fehler mache) und sicherstellen, dass klar ist, dass es etwas war, das ich im Grunde beim normalen Surfen auf ihrer Website bemerkt habe. Seien Sie sich darüber im Klaren, dass Sie nicht versuchen, anzugeben oder zu prahlen, sondern bringen Sie es einfach als etwas zur Sprache, von dem Sie dachten, dass sie es wissen möchten.

Entweder lernen sie, dass Sie etwas verantwortungsbewusst und kompetent in Sachen IT-Sicherheit sind.

Wenn sie die Informationen ignorieren, dann wissen Sie, dass IHNEN die Verantwortung und Kompetenz der IT-Sicherheit fehlt, Ihnen aber kein großer Schaden zugefügt werden sollte.

Wenn sie Anstoß nehmen oder denken, dass Sie die Seite gehackt haben, verarschen Sie sie.

Ich habe festgestellt, dass die Website eines potenziellen Arbeitgebers kompromittiert wurde – soll ich dies während eines Vorstellungsgesprächs erwähnen?
AntwortenHierDatenschutz-Bestimmungen1y, 0v