Estoy a punto de tener una entrevista telefónica para un puesto de desarrollador de software junior. Al obtener más información sobre la empresa, noté que su sitio web se vio comprometido o, en pocas palabras, pirateado (el pirata informático dejó una firma inequívoca).
No es necesariamente obvio que se haya producido una brecha de seguridad: no hay un cartel rojo parpadeante "pirateado" que no pueda pasar por alto, pero después de usar el sitio web realmente no puede pasar por alto eso (algunos de los enlaces conducen a la firma del pirata informático).
No sé si debería mencionarlo durante la entrevista. Mi temor es que si no lo hago, entonces podrían pensar que realmente no miré su sitio web o que si miré tengo una mala percepción de lo que está pasando.
Si es una buena idea mencionarlo, ¿cómo debo hacerlo? Si solo digo algo como "Sé que su sitio web se ha visto comprometido", me temo que la situación puede ser incómoda, podrían decir "Sí, ¿y ahora qué?", Podrían tener la impresión de que solo estoy balbuceando al azar. cosas para impresionarlos.
Por último, ¿es una mala señal que hayan sido pirateados y quizás deba rechazar un trabajo si me lo ofrecen? Espero que ocurran violaciones de seguridad y no puede hacer un juicio sólido basado solo en este hecho. Creo que se trata más de cómo abordan la realidad de ser pirateados. Entonces, ¿quizás debería preguntar sobre su política? ¿Pero no es impropio?
EDITAR
En cuanto a la empresa y el perfil del trabajo: ambos son prácticamente full-stack.
Además, para añadir más consideraciones, existe un problema de beneficio público-empresa. No informarles podría representar un cierto riesgo de mercado para ellos, por otro lado, ¿quizás el público debería ver con sus propios ojos que no pueden proteger su sitio web?
si no lo hago, entonces podrían pensar que realmente no miré su sitio web o que si miré tengo una mala percepción de lo que está pasando.
¿Porqué es eso? ¿No estaban mirando su sitio web? ¿ La gente que se supone que debe cuidarlo? No creo que ese sea el caso, pero, desde la perspectiva de la teoría del juego, no mencionarlo en absoluto es la apuesta más segura.
No deberías decirles sin rodeos que han sido desfigurados porque es alarmista y perderás la cara si te equivocas. Si está absolutamente seguro de que esto merece su atención, puede presentar los hechos tal como los ve y dejar que lleguen a la conclusión de que podrían haber cometido una infracción.
Aun así, es posible que lo acusen de ser el pirata informático, o que el tipo que lo entreviste sea el que creó el sitio en primer lugar y lo tome como una afrenta.
Mi consejo es este: no les digas nada durante la entrevista .
Cree una cuenta anónima en su lugar, a través de Tor si es necesario, e infórmeles de forma anónima. Esto no debe volver a ti de ninguna manera. Busque el artículo de Wikipedia sobre divulgación responsable .
Buena suerte
Personalmente, les diría la próxima vez que hable con ellos, preferiblemente antes de la entrevista.
Si tiene un contacto en la empresa, puede notificarle que tiene evidencia de que su sitio web ha sido pirateado.
Esperar hasta que la entrevista pueda verse como una falta de urgencia.
No les digas en la entrevista. No importa cómo lo manejen, no puede salir nada bueno de hacer visible su error. Dígales solo si lo contratan y cuando lo hagan.
Porque si no te contratan... ¿por qué ayudarlos con tu propio centavo? Están pagando a la gente por ello (y decidieron que no eres tú), así que deja que esas personas hagan su trabajo respectivo.
Si quieres ser "el chico bueno", aún puedes enviarles un correo electrónico después de que te hayan rechazado y dejar que su gente lo resuelva.
Depende de con quién esté hablando, si está hablando con una persona de recursos humanos que no es técnica, probablemente no me molestaría en ese momento, pero cuando está hablando con una persona técnica que podría entender el problema, probablemente lo mencionaría. . Lo mencionaría de manera humilde (en caso de que me equivoque) y me aseguraría de que quede claro que fue algo que noté durante la navegación normal de su sitio web, básicamente. Sea claro de que no está tratando de presumir o presumir, solo menciónelo como algo que pensó que querrían saber.
O aprenden que usted es algo responsable y competente en seguridad de TI.
Si ignoran la información, entonces sabes que ELLOS carecen de responsabilidad y competencia en seguridad de TI, pero no deberían causarte mucho daño.
Si se ofenden o creen que pirateaste el sitio, que se jodan.
Lilienthal
Profesor KSHuang
nathan cooper