Digi- ja väestötietovirasto

Suomi.fitä testataan hakkerivoimin: löydetyistä haavoittuvuuksista maksettu hakkereille yhteensä 5100 euroa

Jaa
Väestörekisterikeskuksen helmikuussa 2018 aloittamassa bug bounty- eli haavoittuvuuspalkinto-ohjelmassa on löydetty ensimmäiset tietoturvahaavoittuvuudet. Palkkioita on tähän mennessä maksettu 14:tä löydöksestä, yhteensä 5100 euroa. Suurin maksettu yksittäinen palkkio oli arvoltaan 2000 euroa.

Havaitut haavoittuvuudet ovat koskeneet Suomi.fi-verkkopalvelua, Suomi.fi-tunnistusta ja Suomi.fi-valtuuksia. Väestörekisterikeskus on analysoinut ja korjannut havaitut haavoittuvuudet välittömästi.

Suurimpaan palkkioon oikeuttaneen haavoittuvuuden löysi Jarmo Puttonen (@putsi). Puttonen on suomalainen valkohattuhakkeri, joka on osallistunut useisiin palkkionmetsästysohjelmiin sekä Suomessa että ulkomailla. Hän kuuluu myös Team ROT:iin, jonka jäsenet tekevät tietoturva-alan tutkimusta sekä järjestävät tietoturvatempauksia kuten vuonna 2017 julkisuudessa näkynyt #kuntahaaste.

”Valkohattuhakkerien käyttäminen bug bountyissä luo erinomaisen asetelman missä sekä hakkerit että yritykset hyötyvät yhteistyöstä. Hakkereille tämä on kanava käyttää ja kehittää taitojaan laillisesti sekä auttaa yrityksiä ja yhteiskuntaa samanaikaisesti ansaitsemalla palkkioita työstään. Yritykset taas saavat arvokasta tietoa järjestelmiensä tietoturvan tasosta joka mahdollistaa entistä paremmin huolehtimaan sekä yrityksen että sen asiakkaiden turvallisuudesta. Löytämälläni haavoittuvuudella rikollinen olisi voinut manipuloida käyttäjää niin, että hän luulee tunnistautuvansa viralliseen valtion tarjoamaan palveluun, mutta hän kuitenkin päätyy rikollisen hallitsemalle huijaussivustolle”, kertoo Jarmo Puttonen.

Väestörekisterikeskuksen tietoturvapäällikkö Pekka Ristimäki on tyytyväinen yhteistyöhön hakkereiden kanssa.

”Tähänastiset kokemukset ohjelmasta ovat olleet hyviä, Bug Bounty on mielenkiintoinen luova tapa toteuttaa tietoturvatestausta ja hyvä lisä normaaliin testaukseemme. Olemme saaneet myös parannettua omia prosessejamme löydösten pohjalta. Väestörekisterikeskus kehittää Suomi.fi-palveluja jatkuvasti. On tärkeä testata palvelua ja etsiä jatkuvasti mahdollisia haavoittuvuuksia, jotta ne voidaan korjata mahdollisimman varhaisessa vaiheessa”, Ristimäki sanoo. Hän kannustaakin hakkereita ilmoittautumaan mukaan palkkio-ohjelmaan ja jatkamaan testausta.

Suomi.fi on verkkopalvelu, josta löytyvät julkiset palvelut ja tietoa eri tilanteisiin. Suomi.fi tarjoaa julkisen hallinnon asiakkaille pääsyn omiin tietoihin sekä sähköisiin viesteihin ja valtuuksiin helposti yhdestä paikasta. Voit asioida viranomaisten kanssa silloin, kun sinulle sopii – sujuvasti ja turvallisesti. Verkkopalvelu on tarkoitettu kansalaisille, yrityksille ja yhteisöille sekä viranomaisille. Suomi.fin kehittämisestä vastaa Väestörekisterikeskus.

Väestörekisterikeskuksen julkaisema bug bounty on kutsuohjelma, johon hakkerit voivat hakea halutessaan mukaan hackr.fi-sivuilta. Ohjelma kutsuu ammatti- ja harrastelijahakkereita mukaan tekemään tietoturvatutkimusta ohjelman kohteena oleviin palveluihin. Ohjelmat ovat yhteisöllistä haavoittuvuuksien tietoturvatestaamista, jossa ulkopuolisille testaajille (”hakkereille”) annetaan mahdollisuus testata organisaatioiden internetpalveluja sovittujen periaatteiden ja rajoitusten puitteissa.

Väestörekisterikeskuksen ohjelma on käynnissä 12.8.2018 saakka.

Avainsanat

Yhteyshenkilöt

Väestörekisterikeskus, Tietoturvapäällikkö Pekka Ristimäki, p. 0295 535 048, etunimi.sukunimi[at]vrk.fi

Tietoja julkaisijasta

Digi- ja väestötietovirasto
Digi- ja väestötietovirasto
Lintulahdenkuja 2
00530 HELSINKI

0295 536 000 (vaihde)https://dvv.fi

Väestörekisterikeskus edistää yhteiskunnan digitalisointia ja sähköistä asiointia Suomessa. Ylläpidämme ja kehitämme maamme tärkeintä tietovarantoa, väestötietojärjestelmää, ja tarjoamme väestötietojärjestelmään pohjautuvia tietopalveluja viranomaisille sekä yrityksille. Vastaamme varmennetun sähköisen asioinnin tuottamisesta Suomessa.

Tuotamme ja kehitämme Suomi.fi-palveluja kansalaisten, julkisen hallinnon ja yritysten käyttöön. Palvelujen muodostama kansallinen palveluarkkitehtuurikokonaisuus luo perusedellytykset julkisten sähköisten asiointipalveluiden toteuttamiselle ja suomalaisen yhteiskunnan digitalisoinnille. Vaalitehtävistä vastuullamme ovat mm. äänioikeusrekisterin ja ehdokasrekisterien luominen, äänioikeusilmoitusten toimittaminen ja äänestyspaikkapalvelun tuottaminen. www.vrk.fi

 

Tilaa tiedotteet sähköpostiisi

Haluatko tietää asioista ensimmäisten joukossa? Kun tilaat tiedotteemme, saat ne sähköpostiisi välittömästi julkaisuhetkellä. Tilauksen voit halutessasi perua milloin tahansa.

Lue lisää julkaisijalta Digi- ja väestötietovirasto

Suomi.fi-mobiilisovellus uudistuu – Katso miten muutos vaikuttaa sinuun!18.3.2024 12:00:00 EET | Tiedote

Suomi.fi-mobiilisovelluksen uudet Android- ja iOS-versiot julkaistaan keväällä 2024. Uudistuksen myötä sovelluksen ulkonäkö ja toiminnallisuudet uudistuvat. Uudessa Suomi.fi-mobiilisovelluksessa on parannettu muun muassa sovelluksen käytettävyyttä, saavutettavuutta ja navigaatiorakennetta. Kun uusi sovellus on julkaistu, vanhojen sovellusversioiden käyttäminen ei ole enää mahdollista.

Europaparlamentets beslut om reform av eIDAS-förordning främjar förverkligandet av europeiska digitala plånböcker11.3.2024 10:59:31 EET | Tiedote

Den 29 februari 2024 röstade Europaparlamentet om en reform av eIDAS-förordningen som förpliktar EU-länderna att utveckla lösningar för digital identitet. Det gemensamma målet är säkra digitala tjänster som är tillgängliga för alla. Parallellt med reformen av eIDAS-förordningen framskrider också EU-bestämmelserna om digitala körkort och förnyelser av nätbetalningar som ökar efterfrågan på digitala plånböcker i Europa.

Euroopan parlamentin päätös eIDAS-asetuksen uudistuksesta edistää eurooppalaisten digitaalisten lompakoiden toteutumista11.3.2024 10:59:31 EET | Tiedote

Euroopan parlamentti äänesti 29.2.2024 eIDAS-asetuksen uudistuksesta, joka velvoittaa EU-maat kehittämään digitaalisen henkilöllisyyden ratkaisuja. Yhteisenä tavoitteena ovat turvalliset ja kaikkien käytettävissä olevat digitaaliset palvelut. eIDAS-asetuksen uudistuksen rinnalla etenevät myös EU-säädökset digitaalisesta ajokortista ja verkkomaksamisen uudistuksista, jotka lisäävät digitaalisten lompakoiden kysyntää Euroopassa.

Uutishuoneessa voit lukea tiedotteitamme ja muuta julkaisemaamme materiaalia. Löydät sieltä niin yhteyshenkilöidemme tiedot kuin vapaasti julkaistavissa olevia kuvia ja videoita. Uutishuoneessa voit nähdä myös sosiaalisen median sisältöjä. Kaikki tiedotepalvelussa julkaistu materiaali on vapaasti median käytettävissä.

Tutustu uutishuoneeseemme
HiddenA line styled icon from Orion Icon Library.Eye