Haavoittuvuuspalkkio-ohjelma

Ilmoita WithSecure™:n tuotteissa ja palveluissa havaituista haavoittuvuuksista

WithSecure™ palkitsee osapuolia, jotka ilmoittavat tietyissä WithSecure™:n tuotteissa ja palveluissa olevista tietoturva-aukoista, mikä tunnetaan myös "bug bounty" -ohjelmana.

Väärinkäsitysten ja epäselvyyksien välttämiseksi noudatamme seuraavia ohjeita; vaikka ne olisivatkin pitkät, lue ne kokonaisuudessaan ennen osallistumista.

Mistä tässä on kysymys?

Mistä tässä on kysymys?

Haluamme kuulla kaikista tuotteissamme ja palveluissamme olevista tietoturva-aukoista. Palkitsemme tietoturvatutkijoita tarjoamalla rahapalkkioita meille koordinoidusti ilmoitetuista turvallisuushaavoittuvuusraporteista. On kuitenkin olemassa tiettyjä sääntöjä, joita on noudatettava, jotta varmistetaan, että tietoturvatutkimuksesi ei aiheuta turvallisuusriskiä muille käyttäjille tai heidän tiedoilleen ja jotta vähennetään todennäköisyyttä, että tutkimuksesi merkitään valvonnassamme haitalliseksi tunkeutumisyritykseksi. Haluamme myös tehdä selväksi tietyt raporttien hyväksymiseen ja palkkioiden maksamiseen liittyvät seikat, jotta vältytään yllätyksiltä.

Turvallisuushaavoittuvuus määritellään ongelmaksi, joka aiheuttaa palvelun tai tietojen luottamuksellisuuden, eheyden tai saatavuuden loukkauksen tai koskee henkilötietojen (henkilökohtaisesti tunnistettavien tietojen) tallentamista tai käsittelyä tavalla, joka ei ole voimassa olevan Suomen tietosuojalainsäädännön mukainen.

Scope

Scope

Tällä hetkellä haavoittuvuuspalkkio-ohjelma kattaa vain tietyt alla olevassa taulukossa luetellut WithSecuren tuotteet ja palvelut. Otamme mielellämme vastaan haavoittuvuusraportteja kaikista muista WithSecuren tuotteista, palveluista tai julkisista verkkosivuista. Ne eivät kuitenkaan tällä hetkellä kuulu tähän palkitsemisohjelmaan.

WithSecure Client Security
WithSecure  Client Security Premium
WithSecure  Server Security
WithSecure  Server Security Premium
WithSecure  E-mail and Server Security
WithSecure  E-mail and Server Security Premium
WithSecure  Linux Protection
WithSecure  Atlant
WithSecure  PSB Linux Security
WithSecure  Cloud Protection for Salesforce
WithSecure  Policy Manager
WithSecure Elements EPP for Computers
WithSecure Elements EPP for Computers Premium 
WithSecure  Elements EPP for Servers 
WithSecure  Elements EPP for Servers Premium
WithSecure  Elements Collaboration Protection

 

Rajoitukset ja tuetut versiot

Nykyinen uusin versio, johon on asennettu uusin tietokantapäivitys, joka on julkaistu WithSecuren verkkosivujen, Google Play Storen, Windows Phone Storen tai Apple App Storen kautta. Tietoja nykyisestä uusimmasta versiosta löydät täältä.

Rajoitukset ja uusittavuus

Selainpuolen tietoturvaongelmat on voitava toistaa HTML5-ominaisuuksilla varustetulla selaimella. Mobiililaiteasiakkaiden haavoittuvuudet on voitava toistaa laitteessa, jossa ei ole juurruttamista ja jossa käytetään laitevalmistajan toimittamaa uusinta ja enintään vuoden vanhaa laiteohjelmistoa. Android-käyttöjärjestelmässä laitteessa on oltava Google Play Services -palvelut tehdasasennettuna. Työpöytäasiakkaiden osalta edellytetään toistettavuutta ilman, että hyökkääjä tarvitsee järjestelmänvalvojan tai pääkäyttäjän oikeuksia ja että käyttöjärjestelmä on päivitetty käyttöjärjestelmän valmistajan tai jakelijan toimittamilla uusimmilla tietoturvakorjauksilla. Hyväksyttävien asiakasvirheiden on oltava koodissa, jonka WithSecure toimittaa osana asiakassovellusta. Kolmannen osapuolen komponenteissa olevat viat ovat yleensä tukikelpoisia, jos ne toimitetaan osana WithSecuren asiakassovellusta. Ongelmat, jotka ovat taustalla olevan alustan, käyttöjärjestelmän tai alustan tarjoamien kirjastojen vikoja, voivat olla tukikelpoisia, kunhan ne voivat ilmetä tai vaikuttaa WithSecure-sovellukseen. Ulkoisten komponenttien vikojen tapauksessa tarjoamme, että otamme vastuun siitä, että asianomaisille osapuolille ilmoitetaan ajoissa. Jos tarvitset selvennystä, ota meihin yhteyttä etukäteen.

Sallittu turvallisuustutkimus

Sallimme vain turvallisuustutkimuksen:

  • Pyrkii vilpittömässä mielessä välttämään vaikutuksia kolmansien osapuolten palveluihin tai niiden saatavuuteen;
  • Pyrkii vilpittömässä mielessä olemaan vaikuttamatta muiden käyttäjien tileihin, henkilökohtaisiin tietoihin tai sisältöön tai paljastamatta niitä ja olemaan vaikuttamatta palvelun saatavuuteen muille käyttäjille;
  • Käyttää vain sinulle henkilökohtaisesti kuuluvia käyttäjätunnuksia (sinulla on lupa luoda useita tilejä erityisesti tätä haavoittuvuuspalkkio-ohjelmaa varten tehtävää tietoturvatutkimusta varten);
  • Kohteena ovat vain käyttäjätili(t), käyttäjätiedot tai henkilötiedot, jotka kuuluvat sinulle henkilökohtaisesti tai ovat väärennettyjä testitietoja;
  • Käyttää vain sellaisia asiakkaita tai kohdistuu niihin, jotka on asennettu laitteistoon, jonka omistat ja jota itse käytät;
  • Käyttää vain menetelmiä, jotka ovat paikallisen ja Suomen lainsäädännön mukaisia;
  • Ei käytä haitallista tai tuhoisaa hyötykuormaa enempää kuin mitä hyvänlaatuinen proof-of-concept -demonstraatio teknisesti edellyttää;
  • Kohdistuu vain edellä lueteltuihin palveluihin tai tuotteisiin ja niihin liittyviin poikkeuksiin.

Jos sinulla on kysyttävää siitä, onko tietyntyyppinen tutkimus sallittua tai kuuluuko tietty kohde tutkimuksen piiriin, ota yhteyttä osoitteeseen security@withsecure.com ennen tutkimuksen suorittamista.

Haavoittuvuuden ilmoittaminen

Miten haavoittuvuudesta ilmoitetaan

Lähetä raporttisi sähköpostitse osoitteeseen security@withsecure.com. Suosittelemme, että salaat sähköpostin PGP-avaimellamme, joka on saatavilla avainpalvelimilta (avaimen sormenjälki 9443 EB64 5377 2088 D6DA 21E0 AC07 87AE 70E4 79FB), ja liität sähköpostiin oman julkisen avaimesi.

Huomaa, että lähettämällä meille haavoittuvuusraportin annat meille ikuisen, maailmanlaajuisen, tekijänpalkkioista vapaan, peruuttamattoman ja ei-yksinomaisen lisenssin ja oikeuden käyttää, muokata ja sisällyttää raporttiasi tai sen osia tuotteisiimme, palveluihimme tai testausjärjestelmiimme ilman lisävelvoitteita tai ilmoituksia sinulle.

Kaikki tähän sähköpostiosoitteeseen lähetetyt vikailmoitukset tai asiakaspalvelupyynnöt, jotka eivät liity tietoturvaan tai tietosuojaan, jätetään huomiotta. Jos sinulla on muita kuin tietoturvaan liittyviä kysymyksiä WithSecure-tuotteista, käy osoitteessa https://community.f-secure.com/ tai ota yhteyttä Support For Business -tukeen.

Kuvailkaa raportissanne ainakin seuraavaa:

  • Mitä löysit;
  • Mistä tarkalleen ottaen löysit sen ja vaiheet sen toistamiseksi;
  • Esimerkki: Jos hyökkäys liittyy tiettyyn URI:hen ja tiettyyn parametriin, anna nämä tiedot yksityiskohtaisesti.
  • Esimerkki: Jos suoritat fuzzing-toimintaa, anna meille lisätietoja, erityisesti käyttämästäsi alkuperäisestä korpuksesta.
  • Jos haavoittuvuus koskee palvelua, päivämäärä ja kellonaika (UTC), jolloin haavoittuvuus pystyt toistamaan (olemme saattaneet ottaa käyttöön uuden version sen jälkeen);
  • Jos haavoittuvuus koskee asiakasta, ilmoita asiakkaan versionumero, millä alustalla asiakasta käytetään ja tietokannan versio (tarvittaessa);
  • Haavoittuvuuden mahdollinen vaikutus tai tavat, joilla hyökkääjä voi hyödyntää haavoittuvuutta;
  • Proof-of-Concept tai toiminnallinen hyväksikäyttö, jos saatavilla;
  • Korjausehdotus, jos saatavilla.

Olisimme kiitollisia kaikista muista asiaankuuluvista teknisistä tiedoista, joita teillä voi olla, erityisesti jos jäljentäminen on hankalaa. Jos emme pysty jäljentämään sitä, emme voi palkita sinua. 

Pyrimme lähettämään sinulle kuitin viiden työpäivän kuluessa. Jos et saa meiltä vastausta siihen mennessä, lähetä raportti uudelleen.

Mitä tapahtuu raportin jälkeen

Mitä tapahtuu raportin jälkeen

Kehittäjämme tutkivat asiaa ja päättävät, onko havaintosi todella tietoturva-aukko ja pystymmekö toistamaan sen antamiesi tietojen avulla. Jos se täyttää vaatimukset, palkkio maksetaan sen jälkeen, kun ongelma on korjattu.

Emme voi sitoutua mihinkään tiettyyn kiinnitysaikatauluun (ja näin ollen palkkion maksuun), koska jokainen tapaus on erilainen. Annamme kuitenkin sisäisesti ulkoisesti ilmoitetuille tietoturvaongelmille etusijan, ja pyrimme pitämään sinut ajan tasalla niiden tilanteesta. Voit myös pyytää tilapäivityksiä ottamalla yhteyttä tapauksen käsittelijään.

Saatamme toisinaan julkaista palkitsemiemme henkilöiden nimiä, ja jos julkaisemme haavoittuvuustiedotteita, haluamme antaa tunnustusta niille, joille se kuuluu. Jos haluat mieluummin pysytellä peitenimen tai nimettömän nimimerkin takana, kunnioitamme sitä tietenkin.

Vaikka yritämme nähdä ongelman sinun silmilläsi, joissakin ääritapauksissa saatamme olla sitä mieltä, että havaitsemasi ongelma ei aiheuta riskiä tai että kyseessä ei ole tietoturva- tai tietosuojavirhe. Näissä tapauksissa palkkiota ei makseta.

Palkkiota ei makseta, jos havainto tulee millään tavalla julkiseksi ennen kuin se on vahvistettu. Jos joku muu on jo aiemmin ilmoittanut havainnosta, ilmoitamme sinulle, kun ongelma on korjattu. Jos useat tutkijat raportoivat samasta ongelmasta, palkitsemme vain sen ensimmäisen raportin lähettäjän, joka antaa meille riittävästi teknisiä tietoja löydöksen toistamiseksi. Tiedämme, että tämä antaisi meille porsaanreiän väittääksemme, että kaikki on jo aiemmin löydetty, mutta luota meihin, haluamme olla reiluja.

Palkinnot

Palkinnot 

Palkkion suuruuden määrittelee yksinomaan teknisestä henkilökunnastamme koostuva WithSecuren tiimi, ja se perustuu haavoittuvuuden aiheuttamaan arvioituun riskiin. Nykyinen palkkio vaihtelee 100 eurosta 15 000 euroon.

Jos ilmoitat useista ongelmista, jotka ovat päällekkäisiä palvelun eri osissa (esim. sama koodi toimii eri solmuissa tai alustoilla) tai jotka ovat osa suurempaa ongelmaa, ne voidaan yhdistää yhdeksi ongelmaksi ja niistä voidaan maksaa vain yksi palkkio.

Seuraavassa taulukossa on useita vikaluokkia ja niitä vastaavat palkkiot. Vaikka tämä luettelo ei kata kaikkia vikaluokkia, voit saada käsityksen vakavuudesta ja palkkiosta tarkastelemalla seuraavia esimerkkejä.

Palkkion määrä (€) Esimerkki
Jopa 15,000
  • Etäkoodin suoritus tuotantopalvelimella

    Tiedoston sisällyttäminen etänä tuotantopalvelimella

    Merkittävä todennuksen ohitus tuotantopalvelimella, joka sisältää kriittisiä tietoja.

Jopa 5,000
  • Etäkoodin suoritus asiakasohjelmistossa

    Tietojen poimiminen tuotantopalvelimelta

    Pääsynvalvontaongelma, joka altistaa henkilökohtaisesti tunnistettavissa oleville tiedoille.

Jopa 2,000
  • Etäkoodin suoritus hiekkalaatikon sisällä

    Paikallisten käyttöoikeuksien laajentaminen

    Virustorjunta- tai yksityisyydensuojatoimintojen jatkuva palvelunesto.

Jopa 500
  • Virustorjunta- tai yksityisyydensuojatoimintojen tilapäinen palvelunesto.

    Tuotantopalvelimen tai asiakasohjelmiston tietoturvaan liittyvä virheellinen konfigurointi

Maksaminen

Maksaminen

TÄRKEÄÄ! Älä lähetä maksutietojasi meille etukäteen. Pyydämme asianmukaiset tiedot, jos ja kun maksu on erääntynyt.

Maksut suoritetaan pankkisiirtoina yhtenäisen euromaksualueen (SEPA) sisällä tai kansainvälisinä pankkisiirtoina SEPAn ulkopuolelle. Emme voi käyttää shekkejä, kryptovaluuttoja tai muita rahansiirtopalveluja. Maksun vastaanottaja on vastuussa kaikista siirrosta perittävistä maksuista tai palkkioista ja varojen käytöstä siirron jälkeen. Maksut suoritetaan oletusarvoisesti euroina (EUR), ja kaikki valuuttamuunnokset tehdään pankin senhetkisen kurssin mukaan.

Olemme velvollisia ilmoittamaan kaikki yksittäisten tutkijoiden palkkiot Verohallinnolle asuinpaikasta riippumatta. Tätä varten ja varsinaista maksamista varten pyydämme myöhemmin koko nimesi, syntymäaikasi ja nykyisen fyysisen postiosoitteesi sekä pankkisiirtotietosi (tilisiirto). Jos sinulla on yritys, voimme pyytää sinua laskuttamaan meitä.

Vastaanottaja vastaa mahdollisista veroista. Jos olet Suomessa verovelvollinen, olemme velvollisia perimään lähdeveron ja tarvitsemme henkilötunnuksesi ja mahdollisesti verotodistuksen kuluvalta vuodelta.

Viranomaiset asettavat meille nämä tunnistamisvaatimukset, emmekä voi tehdä niistä poikkeuksia. Maksuja ei myöskään suoriteta maihin tai lainkäyttöalueille, jotka ovat kauppasaarron alaisia, tai pakotelistalla oleville henkilöille tai yhteisöille.

Näiden tunnistamisvaatimusten vuoksi käsittelemme vain alkuperäistä ilmoittajaa suoraan. Käytämme vain alkuperäisen ilmoituksen sähköpostiosoitetta, joten varmista, että sinulla on jatkuva pääsy siihen sähköpostitiliin, jota käytit alkuperäisen ilmoituksen lähettämiseen.

Muut oikeudelliset lausunnot

Muut oikeudelliset lausunnot

 

Lakimiehemme haluavat meidän muistuttavan seuraavasta pienellä präntätystä tekstistä:

You may reverse-engineer and decompile WithSecure clients strictly and solely for the purpose of conducting security research for this vulnerability reward program. This permission applies only to WithSecure clients explicitly named and listed in this vulnerability reward program, excluding any licensed third party components therein. You may not disclose, show or publish to any third parties any code or parts thereof in any form you have derived resulting from this permission.

Palkkiomaksujen suorittamiseen käytettävän henkilötietorekisterin kuvaus on saatavilla täällä.

WithSecure pidättää oikeuden lopettaa tämän palkitsemisohjelman ja muuttaa sen ehtoja milloin tahansa ilman ennakkoilmoitusta. Tätä tekstiä on viimeksi muutettu 2022-01-05. Ellei sitä ole erikseen pidennetty, nykyinen haavoittuvuuspalkkio-ohjelma päättyy 31. joulukuuta 2022. Kaikki palkitsemista koskevat päätökset ovat lopullisia. Tämän palkitsemisohjelman säännöt tai siihen liittyvä viestintä eivät anna tai merkitse minkäänlaisia velvoitteita WithSecurea kohtaan.

Muut linkit

Lue lisää

Hall of Fame

WithSecure haluaa kiittää ja tunnustaa tietoturvatutkijoita, jotka ovat auttaneet tekemään tuotteistamme ja palveluistamme turvallisempia ilmoittamalla aiheellisista haavoittuvuuksista julkisen Vulnerability Reward -ohjelmamme kautta.

Lue lisää

Akkreditoinnit ja sertifikaatit