Väestörekisterikeskus

Suomi.fitä testataan hakkerivoimin: löydetyistä haavoittuvuuksista maksettu hakkereille yhteensä 5100 euroa

Jaa

Väestörekisterikeskuksen helmikuussa 2018 aloittamassa bug bounty- eli haavoittuvuuspalkinto-ohjelmassa on löydetty ensimmäiset tietoturvahaavoittuvuudet. Palkkioita on tähän mennessä maksettu 14:tä löydöksestä, yhteensä 5100 euroa. Suurin maksettu yksittäinen palkkio oli arvoltaan 2000 euroa.

Havaitut haavoittuvuudet ovat koskeneet Suomi.fi-verkkopalvelua, Suomi.fi-tunnistusta ja Suomi.fi-valtuuksia. Väestörekisterikeskus on analysoinut ja korjannut havaitut haavoittuvuudet välittömästi.

Suurimpaan palkkioon oikeuttaneen haavoittuvuuden löysi Jarmo Puttonen (@putsi). Puttonen on suomalainen valkohattuhakkeri, joka on osallistunut useisiin palkkionmetsästysohjelmiin sekä Suomessa että ulkomailla. Hän kuuluu myös Team ROT:iin, jonka jäsenet tekevät tietoturva-alan tutkimusta sekä järjestävät tietoturvatempauksia kuten vuonna 2017 julkisuudessa näkynyt #kuntahaaste.

”Valkohattuhakkerien käyttäminen bug bountyissä luo erinomaisen asetelman missä sekä hakkerit että yritykset hyötyvät yhteistyöstä. Hakkereille tämä on kanava käyttää ja kehittää taitojaan laillisesti sekä auttaa yrityksiä ja yhteiskuntaa samanaikaisesti ansaitsemalla palkkioita työstään. Yritykset taas saavat arvokasta tietoa järjestelmiensä tietoturvan tasosta joka mahdollistaa entistä paremmin huolehtimaan sekä yrityksen että sen asiakkaiden turvallisuudesta. Löytämälläni haavoittuvuudella rikollinen olisi voinut manipuloida käyttäjää niin, että hän luulee tunnistautuvansa viralliseen valtion tarjoamaan palveluun, mutta hän kuitenkin päätyy rikollisen hallitsemalle huijaussivustolle”, kertoo Jarmo Puttonen.

Väestörekisterikeskuksen tietoturvapäällikkö Pekka Ristimäki on tyytyväinen yhteistyöhön hakkereiden kanssa.

”Tähänastiset kokemukset ohjelmasta ovat olleet hyviä, Bug Bounty on mielenkiintoinen luova tapa toteuttaa tietoturvatestausta ja hyvä lisä normaaliin testaukseemme. Olemme saaneet myös parannettua omia prosessejamme löydösten pohjalta. Väestörekisterikeskus kehittää Suomi.fi-palveluja jatkuvasti. On tärkeä testata palvelua ja etsiä jatkuvasti mahdollisia haavoittuvuuksia, jotta ne voidaan korjata mahdollisimman varhaisessa vaiheessa”, Ristimäki sanoo. Hän kannustaakin hakkereita ilmoittautumaan mukaan palkkio-ohjelmaan ja jatkamaan testausta.

Suomi.fi on verkkopalvelu, josta löytyvät julkiset palvelut ja tietoa eri tilanteisiin. Suomi.fi tarjoaa julkisen hallinnon asiakkaille pääsyn omiin tietoihin sekä sähköisiin viesteihin ja valtuuksiin helposti yhdestä paikasta. Voit asioida viranomaisten kanssa silloin, kun sinulle sopii – sujuvasti ja turvallisesti. Verkkopalvelu on tarkoitettu kansalaisille, yrityksille ja yhteisöille sekä viranomaisille. Suomi.fin kehittämisestä vastaa Väestörekisterikeskus.

Väestörekisterikeskuksen julkaisema bug bounty on kutsuohjelma, johon hakkerit voivat hakea halutessaan mukaan hackr.fi-sivuilta. Ohjelma kutsuu ammatti- ja harrastelijahakkereita mukaan tekemään tietoturvatutkimusta ohjelman kohteena oleviin palveluihin. Ohjelmat ovat yhteisöllistä haavoittuvuuksien tietoturvatestaamista, jossa ulkopuolisille testaajille (”hakkereille”) annetaan mahdollisuus testata organisaatioiden internetpalveluja sovittujen periaatteiden ja rajoitusten puitteissa.

Väestörekisterikeskuksen ohjelma on käynnissä 12.8.2018 saakka.

Avainsanat

Yhteyshenkilöt

Väestörekisterikeskus, Tietoturvapäällikkö Pekka Ristimäki, p. 0295 535 048, etunimi.sukunimi[at]vrk.fi

Tietoja julkaisijasta

Väestörekisterikeskus
Väestörekisterikeskus
Lintulahdenkuja 4
00530 HELSINKI

0295 535 001http://www.vrk.fi

Väestörekisterikeskus edistää yhteiskunnan digitalisointia ja sähköistä asiointia Suomessa. Ylläpidämme ja kehitämme maamme tärkeintä tietovarantoa, väestötietojärjestelmää, ja tarjoamme väestötietojärjestelmään pohjautuvia tietopalveluja viranomaisille sekä yrityksille. Vastaamme varmennetun sähköisen asioinnin tuottamisesta Suomessa.

Tuotamme ja kehitämme Suomi.fi-palveluja kansalaisten, julkisen hallinnon ja yritysten käyttöön. Palvelujen muodostama kansallinen palveluarkkitehtuurikokonaisuus luo perusedellytykset julkisten sähköisten asiointipalveluiden toteuttamiselle ja suomalaisen yhteiskunnan digitalisoinnille. Vaalitehtävistä vastuullamme ovat mm. äänioikeusrekisterin ja ehdokasrekisterien luominen, äänioikeusilmoitusten toimittaminen ja äänestyspaikkapalvelun tuottaminen. www.vrk.fi

 

Tilaa tiedotteet sähköpostiisi

Haluatko tietää asioista ensimmäisten joukossa? Kun tilaat mediatiedotteemme, saat ne sähköpostiisi välittömästi julkaisuhetkellä. Tilauksen voit halutessasi perua milloin tahansa.

Lue lisää julkaisijalta Väestörekisterikeskus

Uutishuoneessa voit lukea tiedotteitamme ja muuta julkaisemaamme materiaalia. Löydät sieltä niin yhteyshenkilöidemme tiedot kuin vapaasti julkaistavissa olevia kuvia ja videoita. Uutishuoneessa voit nähdä myös sosiaalisen median sisältöjä. Kaikki STT Infossa julkaistu materiaali on vapaasti median käytettävissä.

Tutustu uutishuoneeseemme