¿Es más seguro confiar en el software / compañía que ha sido hackeado en el pasado?

Es más seguro confiar en el producto que ha sido probado exhaustivamente y se han solucionado las debilidades . Muchas veces, un hack exitoso puede actuar como una forma de prueba robusta.

Pero ser hackeado no equivale a ser más seguro a menos que el problema subyacente haya sido solucionado.

Un producto que no se ha probado y, por lo tanto, no se ha arreglado, proporciona una falsa sensación de seguridad en que el producto "nunca tuvo un problema". Es por eso que las pruebas de penetración, las auditorías, las fuentes de errores y las divulgaciones públicas son útiles.

Pero ser hackeado o probado, no significa nada sin las correcciones adecuadas a las debilidades subyacentes. Adobe Flash se ha solucionado innumerables veces, pero nunca se vuelve más seguro porque los problemas subyacentes nunca se abordaron correctamente.

El cifrado RSA nunca se ha pirateado, pero se ha probado a fondo. No se debe confiar en el algoritmo de cifrado que se ha pirateado en el pasado.

No se trata de los hacks, sino de cómo se solucionó.

Como dijo Steffen en un comentario, realmente hay muy poca información en la pregunta para hacer un juicio confiable de cualquier tipo. Hay muchos factores, cada uno de los cuales tiene un impacto significativo en la seguridad general de un producto:

• Qué tan importante fue la seguridad en el diseño del producto.
• Cuánto esfuerzo se realizó para probar la seguridad del producto.
• Qué tan buenos fueron los desarrolladores de productos en el diseño y las pruebas de seguridad.
• Cuántas personas usan el producto. (Los hackers apuntan a productos ampliamente utilizados para un mayor impacto).
• Cuántas personas importantes usan el producto. (Los piratas también se enfocan en productos que usan personas importantes).
• Qué tan bien se conoce el producto. (Los piratas informáticos no pueden piratear productos que no conocen sobre ...)
• Con qué rapidez los desarrolladores corrigen las vulnerabilidades de seguridad conocidas.
• ...

Además, la historia pasada es estadísticamente un buen indicador de comportamiento futuro. Una empresa que es conocida por impulsar el lanzamiento de productos incluso con errores conocidos es una opción mucho peor que una compañía que es conocida por solucionar todos los errores conocidos antes de lanzarlos. Uno no debe esperar que una compañía que tiene un historial regular de errores de seguridad notorios en su software tenga de repente una tasa reducida de dichos errores.

Inicialmente, consideré que la pregunta no era respondible, ya que todo lo que se sabía acerca de estos productos era que se encontraban (y solucionaron) vulnerabilidades en el segundo producto pero no en el primero. El OP ahora proporcionó más información que cambió la pregunta significativamente (de todos modos, la mala idea, dado que ya existen respuestas).

Ahora está claro que estos son dos administradores de contraseñas donde cada uno tiene una base de usuarios significativa. Los atacantes potenciales probablemente vean a ambos como objetivos muy atractivos. Y los investigadores de seguridad similares tratarán de encontrar y publicar vulnerabilidades ya que al encontrar vulnerabilidades en un software tan crítico, aumenta su estatus como investigadores capaces. Además, ambos productos tienen una gran cantidad de errores para fomentar dicha investigación.

Por lo tanto, se puede suponer que ambos productos obtienen muchos análisis externos. Me parece poco probable que uno de estos productos obtenga un análisis mucho más externo que el otro. Con base en esto, argumentaría que el software sin vulnerabilidades conocidas hasta el momento podría haber sido creado con un diseño más seguro desde el principio y que los administradores y desarrolladores de este producto tomaron la seguridad más seriamente en el pasado que los administradores y desarrolladores del otro. producto.

Por supuesto, podría ser que el segundo producto ahora haya alcanzado una calidad similar, pero no creo que superara al primero. Especialmente, no comparto el argumento del OP de que a los desarrolladores del primer producto ya no les importe mucho, ya que nunca tuvieron problemas, ya que hay muchos extraños interesados en encontrar vulnerabilidades, cualquier vulnerabilidad que se presente debido a tal pereza sería encontrado rápidamente.

Desafortunadamente, a diferencia del blanco y negro de las matemáticas, usted está hablando de confiabilidad , que está sujeta a la perspectiva humana, que es más hacia la heurística de la psicología humana.

Uno no puede medir cómo un servicio pirateado llevará a una mejor seguridad, ya que de vez en cuando se producirán nuevos fallos de seguridad o días cero.

Por lo tanto, todo se reducirá a lo que usted piensa acerca de la confiabilidad del producto o servicio. Le guste o no, la marca del producto o servicio afectará la forma en que el usuario justifica si continuará utilizando el producto. Cuanto mejor sea la marca general del producto o servicio, mayor será la probabilidad de que conserve la confianza del cliente en comparación con una marca desconocida.

Esta es la mentalidad similar a la popularidad de una franquicia de comida rápida en una zona de atracción turística: si nunca lee reseñas de restaurantes, va a ir al lugar de comida rápida más cercano que un restaurante turístico que puede o no No te estafará ni te servirá algo que te cause dolor de estómago.

Entonces, para los productos de seguridad, tiene sentido para los usuarios pensar que la marca popular tiene mucho que perder en comparación con una marca sin nombre que "nunca ha sido pirateada". De hecho, es una buena decisión promedio.