¿Cuál es la ética y la legalidad de desarrollar y utilizar una herramienta para obtener datos de los empleados de la empresa del cliente en redes sociales como Facebook, Twitter y linkedin? Los datos se deben utilizar luego en un pentest en ataques de ingeniería social.
Los datos se pueden capturar a través de la API, o tal vez a la web.
La legalidad depende de las leyes locales que cambiarán y están sujetas a interpretación. Lo mejor es consultar a un abogado local que se especializa en estos asuntos. Por ejemplo, la ley de privacidad de datos en la EU es bastante estricta para notificar a las personas antes de agregar datos sobre ellas .
Éticamente, es mejor haber recibido un permiso explícito de los individuos para agregar su información antes de hacerlo. En su situación, probablemente sea mejor que su cliente le dé permiso para agregar los datos específicos sobre sus empleados para su prueba de pluma. Para que su cliente le dé un permiso ético, debe haber obtenido previamente un permiso explícito de sus empleados que incluyó permitir que terceros (como usted) agreguen los datos para este tipo de propósitos.
Como evaluador de penetración contratado, usted tiene la obligación moral de proporcionar el mejor servicio que puede proporcionar dentro de los límites de la ley local y su acuerdo previo al compromiso (en ese orden).
Dicho esto, revise su hecho y obtenga asesoramiento legal de profesionales legales y asegúrese de discutir el asunto con su empleador . Es posible que no se sientan cómodos con usted persiguiendo a sus empleados de esta manera. Las empresas no siempre se sienten cómodas con la ingeniería social.
Incluso si decide no hacerlo por el motivo que sea (brújula legal / moral), todavía discute el asunto con su empleador , asegúrese de que sepa que está limitando el alcance de la prueba para excluir al ingeniero social o estas tácticas de recolección de inteligencia. Es importante que se mantengan informados.
Lea otras preguntas en las etiquetas social-engineering