He notado que el sitio web de un posible empleador se ha visto comprometido. ¿Debería mencionarlo durante una entrevista?

Estoy a punto de tener una entrevista telefónica para un puesto de desarrollador de software junior. Al obtener más información sobre la empresa, noté que su sitio web se vio comprometido o, en pocas palabras, pirateado (el pirata informático dejó una firma inequívoca).

No es necesariamente obvio que se haya producido una brecha de seguridad: no hay un cartel rojo parpadeante "pirateado" que no pueda pasar por alto, pero después de usar el sitio web realmente no puede pasar por alto eso (algunos de los enlaces conducen a la firma del pirata informático).

No sé si debería mencionarlo durante la entrevista. Mi temor es que si no lo hago, entonces podrían pensar que realmente no miré su sitio web o que si miré tengo una mala percepción de lo que está pasando.

Si es una buena idea mencionarlo, ¿cómo debo hacerlo? Si solo digo algo como "Sé que su sitio web se ha visto comprometido", me temo que la situación puede ser incómoda, podrían decir "Sí, ¿y ahora qué?", ​​Podrían tener la impresión de que solo estoy balbuceando al azar. cosas para impresionarlos.

Por último, ¿es una mala señal que hayan sido pirateados y quizás deba rechazar un trabajo si me lo ofrecen? Espero que ocurran violaciones de seguridad y no puede hacer un juicio sólido basado solo en este hecho. Creo que se trata más de cómo abordan la realidad de ser pirateados. Entonces, ¿quizás debería preguntar sobre su política? ¿Pero no es impropio?

EDITAR

En cuanto a la empresa y el perfil del trabajo: ambos son prácticamente full-stack.

Además, para añadir más consideraciones, existe un problema de beneficio público-empresa. No informarles podría representar un cierto riesgo de mercado para ellos, por otro lado, ¿quizás el público debería ver con sus propios ojos que no pueden proteger su sitio web?

¿En qué sector está la empresa y su perfil está orientado a la web o no?
Estás condenado si lo haces, condenado si no lo haces. Les diría, pero no durante la entrevista. Encuentre otro momento y lugar apropiado para hacerlo. Si no hay un momento y lugar apropiados, quizás no sea tu lugar para decírselo.
Hay una pequeña diferencia entre un "algo se ve un poco extraño en tu sitio web" sin compromiso y "Dios mío, te han engañado". La presentación lo es todo y la primera es más fácil de esquivar si te equivocas.

Respuestas (4)

si no lo hago, entonces podrían pensar que realmente no miré su sitio web o que si miré tengo una mala percepción de lo que está pasando.

¿Porqué es eso? ¿No estaban mirando su sitio web? ¿ La gente que se supone que debe cuidarlo? No creo que ese sea el caso, pero, desde la perspectiva de la teoría del juego, no mencionarlo en absoluto es la apuesta más segura.

No deberías decirles sin rodeos que han sido desfigurados porque es alarmista y perderás la cara si te equivocas. Si está absolutamente seguro de que esto merece su atención, puede presentar los hechos tal como los ve y dejar que lleguen a la conclusión de que podrían haber cometido una infracción.

Aun así, es posible que lo acusen de ser el pirata informático, o que el tipo que lo entreviste sea el que creó el sitio en primer lugar y lo tome como una afrenta.

Mi consejo es este: no les digas nada durante la entrevista .

Cree una cuenta anónima en su lugar, a través de Tor si es necesario, e infórmeles de forma anónima. Esto no debe volver a ti de ninguna manera. Busque el artículo de Wikipedia sobre divulgación responsable .

Buena suerte

Personalmente, les diría la próxima vez que hable con ellos, preferiblemente antes de la entrevista.

Si tiene un contacto en la empresa, puede notificarle que tiene evidencia de que su sitio web ha sido pirateado.

Esperar hasta que la entrevista pueda verse como una falta de urgencia.

Les diría, pero esperar para hablar con alguien técnico tiene más sentido, y aun así no debería ser el primer tema de discusión. Hice esto durante el final de una entrevista técnica; lo mencioné como un aparte a quien juzgué más consciente de la seguridad, con humildad, en la línea de "No estoy seguro de si esto es un problema" (sabía que lo era) "pero encontré lo que parece podría ser una vulnerabilidad" (importante) "y me preguntaba si podría pasar esta información a quien pudiera encontrarla útil". (entregué la documentación del problema, cómo me topé con él y cómo solucionarlo). Conseguí el trabajo.

No les digas en la entrevista. No importa cómo lo manejen, no puede salir nada bueno de hacer visible su error. Dígales solo si lo contratan y cuando lo hagan.

Porque si no te contratan... ¿por qué ayudarlos con tu propio centavo? Están pagando a la gente por ello (y decidieron que no eres tú), así que deja que esas personas hagan su trabajo respectivo.

Si quieres ser "el chico bueno", aún puedes enviarles un correo electrónico después de que te hayan rechazado y dejar que su gente lo resuelva.

¿Por qué ayudarlos con su propio dinero? No le cuesta nada al OP (evidencia encontrada durante la fase de investigación de la entrevista) y es lo correcto, independientemente de si extienden una oferta de trabajo o no.
@rath Creo que realmente subestimas el tiempo que lleva escribir un informe de incidente bueno y profesional. Y no se le pagará por ello. Invertirá el tiempo (digamos 20-30 minutos si quiere verse profesional y no como un niño o un idiota) y no obtendrá nada a cambio. Sólo le cuesta nada si su tiempo no vale nada.
No estaba pensando en un informe completo, sino en algo como Oye, encontré X y creo que significa Y. Saludos, Anónimo en Internet . Dado que su nombre no se adjuntará, no hay necesidad de ser formal. Estoy de acuerdo contigo en lo contrario.
@rath Entonces tienes que pasar por la molestia de abrir una cuenta anónima. No es mucho, pero es algo. No dije que no lo hagas. Solo digo que me asegure de que valga la pena el tiempo invertido.

Depende de con quién esté hablando, si está hablando con una persona de recursos humanos que no es técnica, probablemente no me molestaría en ese momento, pero cuando está hablando con una persona técnica que podría entender el problema, probablemente lo mencionaría. . Lo mencionaría de manera humilde (en caso de que me equivoque) y me aseguraría de que quede claro que fue algo que noté durante la navegación normal de su sitio web, básicamente. Sea claro de que no está tratando de presumir o presumir, solo menciónelo como algo que pensó que querrían saber.

O aprenden que usted es algo responsable y competente en seguridad de TI.

Si ignoran la información, entonces sabes que ELLOS carecen de responsabilidad y competencia en seguridad de TI, pero no deberían causarte mucho daño.

Si se ofenden o creen que pirateaste el sitio, que se jodan.

He notado que el sitio web de un posible empleador se ha visto comprometido. ¿Debería mencionarlo durante una entrevista?
RespuestasAquíPolítica de privacidad1y, 0v