Väestörekisterikeskus

Suomi.fitä testataan hakkerivoimin: löydetyistä haavoittuvuuksista maksettu hakkereille yhteensä 5100 euroa

Jaa

Väestörekisterikeskuksen helmikuussa 2018 aloittamassa bug bounty- eli haavoittuvuuspalkinto-ohjelmassa on löydetty ensimmäiset tietoturvahaavoittuvuudet. Palkkioita on tähän mennessä maksettu 14:tä löydöksestä, yhteensä 5100 euroa. Suurin maksettu yksittäinen palkkio oli arvoltaan 2000 euroa.

Havaitut haavoittuvuudet ovat koskeneet Suomi.fi-verkkopalvelua, Suomi.fi-tunnistusta ja Suomi.fi-valtuuksia. Väestörekisterikeskus on analysoinut ja korjannut havaitut haavoittuvuudet välittömästi.

Suurimpaan palkkioon oikeuttaneen haavoittuvuuden löysi Jarmo Puttonen (@putsi). Puttonen on suomalainen valkohattuhakkeri, joka on osallistunut useisiin palkkionmetsästysohjelmiin sekä Suomessa että ulkomailla. Hän kuuluu myös Team ROT:iin, jonka jäsenet tekevät tietoturva-alan tutkimusta sekä järjestävät tietoturvatempauksia kuten vuonna 2017 julkisuudessa näkynyt #kuntahaaste.

”Valkohattuhakkerien käyttäminen bug bountyissä luo erinomaisen asetelman missä sekä hakkerit että yritykset hyötyvät yhteistyöstä. Hakkereille tämä on kanava käyttää ja kehittää taitojaan laillisesti sekä auttaa yrityksiä ja yhteiskuntaa samanaikaisesti ansaitsemalla palkkioita työstään. Yritykset taas saavat arvokasta tietoa järjestelmiensä tietoturvan tasosta joka mahdollistaa entistä paremmin huolehtimaan sekä yrityksen että sen asiakkaiden turvallisuudesta. Löytämälläni haavoittuvuudella rikollinen olisi voinut manipuloida käyttäjää niin, että hän luulee tunnistautuvansa viralliseen valtion tarjoamaan palveluun, mutta hän kuitenkin päätyy rikollisen hallitsemalle huijaussivustolle”, kertoo Jarmo Puttonen.

Väestörekisterikeskuksen tietoturvapäällikkö Pekka Ristimäki on tyytyväinen yhteistyöhön hakkereiden kanssa.

”Tähänastiset kokemukset ohjelmasta ovat olleet hyviä, Bug Bounty on mielenkiintoinen luova tapa toteuttaa tietoturvatestausta ja hyvä lisä normaaliin testaukseemme. Olemme saaneet myös parannettua omia prosessejamme löydösten pohjalta. Väestörekisterikeskus kehittää Suomi.fi-palveluja jatkuvasti. On tärkeä testata palvelua ja etsiä jatkuvasti mahdollisia haavoittuvuuksia, jotta ne voidaan korjata mahdollisimman varhaisessa vaiheessa”, Ristimäki sanoo. Hän kannustaakin hakkereita ilmoittautumaan mukaan palkkio-ohjelmaan ja jatkamaan testausta.

Suomi.fi on verkkopalvelu, josta löytyvät julkiset palvelut ja tietoa eri tilanteisiin. Suomi.fi tarjoaa julkisen hallinnon asiakkaille pääsyn omiin tietoihin sekä sähköisiin viesteihin ja valtuuksiin helposti yhdestä paikasta. Voit asioida viranomaisten kanssa silloin, kun sinulle sopii – sujuvasti ja turvallisesti. Verkkopalvelu on tarkoitettu kansalaisille, yrityksille ja yhteisöille sekä viranomaisille. Suomi.fin kehittämisestä vastaa Väestörekisterikeskus.

Väestörekisterikeskuksen julkaisema bug bounty on kutsuohjelma, johon hakkerit voivat hakea halutessaan mukaan hackr.fi-sivuilta. Ohjelma kutsuu ammatti- ja harrastelijahakkereita mukaan tekemään tietoturvatutkimusta ohjelman kohteena oleviin palveluihin. Ohjelmat ovat yhteisöllistä haavoittuvuuksien tietoturvatestaamista, jossa ulkopuolisille testaajille (”hakkereille”) annetaan mahdollisuus testata organisaatioiden internetpalveluja sovittujen periaatteiden ja rajoitusten puitteissa.

Väestörekisterikeskuksen ohjelma on käynnissä 12.8.2018 saakka.

Avainsanat

Yhteyshenkilöt

Väestörekisterikeskus, Tietoturvapäällikkö Pekka Ristimäki, p. 0295 535 048, etunimi.sukunimi[at]vrk.fi

Tietoja julkaisijasta

Väestörekisterikeskus
Väestörekisterikeskus
Lintulahdenkuja 4
00530 HELSINKI

0295 535 001http://www.vrk.fi

Väestörekisterikeskus edistää yhteiskunnan digitalisointia ja sähköistä asiointia Suomessa. Ylläpidämme ja kehitämme maamme tärkeintä tietovarantoa, väestötietojärjestelmää, ja tarjoamme väestötietojärjestelmään pohjautuvia tietopalveluja viranomaisille sekä yrityksille. Vastaamme varmennetun sähköisen asioinnin tuottamisesta Suomessa.

Tuotamme ja kehitämme Suomi.fi-palveluja kansalaisten, julkisen hallinnon ja yritysten käyttöön. Palvelujen muodostama kansallinen palveluarkkitehtuurikokonaisuus luo perusedellytykset julkisten sähköisten asiointipalveluiden toteuttamiselle ja suomalaisen yhteiskunnan digitalisoinnille. Vaalitehtävistä vastuullamme ovat mm. äänioikeusrekisterin ja ehdokasrekisterien luominen, äänioikeusilmoitusten toimittaminen ja äänestyspaikkapalvelun tuottaminen. www.vrk.fi

 

Tilaa tiedotteet sähköpostiisi

Haluatko tietää asioista ensimmäisten joukossa? Kun tilaat mediatiedotteemme, saat ne sähköpostiisi välittömästi julkaisuhetkellä. Tilauksen voit halutessasi perua milloin tahansa.

Lue lisää julkaisijalta Väestörekisterikeskus

Virastojen hiihtotempaus: Jos 100 000 kansalaista siirtyy sähköiseen viranomaisasiointiin, virkamiehet hiihtävät 10 000 kilometriä8.2.2019 07:00:00Tiedote

Väestörekisterikeskus ja Verohallinto haastavat suomalaiset luopumaan viranomaisten lähettämästä paperipostista. Jos 100 000 suomalaista ottaa käyttöön Suomi.fi-viestit helmikuun loppuun mennessä, Väestörekisterikeskuksen ylijohtaja Janne Viskari ja Verohallinnon pääjohtaja Markku Heikura virkamiehineen hiihtävät 10 000 kilometriä.

State employees take up skiing: If 100,000 citizens activate electronic messages from the authorities, the authorities promise to ski 10,000 kilometres8.2.2019 07:00:00Tiedote

The Population Register Centre and the Finnish Tax Administration invite Finnish citizens to move to electronic communication with state authorities instead of paper mail. If 100,000 Finns activate the Suomi.fi Messages service by the end of February, Population Register Centre Director General Janne Viskari and Tax Administration Director General Markku Heikura, together with their colleagues, promise to clock up 10,000 kilometres on cross-country skis.

Uutishuoneessa voit lukea tiedotteitamme ja muuta julkaisemaamme materiaalia. Löydät sieltä niin yhteyshenkilöidemme tiedot kuin vapaasti julkaistavissa olevia kuvia ja videoita. Uutishuoneessa voit nähdä myös sosiaalisen median sisältöjä. Kaikki STT Infossa julkaistu materiaali on vapaasti median käytettävissä.

Tutustu uutishuoneeseemme