Vulnerability Reward Program

Rapporter sårbarheder, der er fundet i WithSecure™-produkter og -tjenester.

WithSecure belønner parter, der rapporterer sikkerhedshuller i visse WithSecure-produkter og -tjenester, også kendt som et "bug bounty"-program.

For at undgå misforståelser og tvetydigheder anvender vi følgende retningslinjer; selv om de er lange, bedes du læse dem i deres helhed, inden du deltager.

Hvad drejer det sig om?

Hvad drejer det sig om?

Vi vil gerne høre om eventuelle sikkerhedshuller i vores produkter og tjenester. For at belønne sikkerhedsforskere tilbyder vi monetære belønninger for berettigede rapporter om sikkerhedssårbarheder, som vi modtager på en koordineret måde. Der er dog visse regler, der skal følges for at sikre, at din sikkerhedsforskning ikke medfører en sikkerhedsrisiko for andre brugere eller deres data, og for at mindske sandsynligheden for, at din forskning bliver markeret som et ondsindet indbrudsforsøg af vores overvågning. Vi ønsker også at være tydelige med hensyn til visse aspekter vedrørende accept af rapporter og udbetaling af belønninger for at undgå overraskelser.

En "sikkerhedssårbarhed" defineres som et problem, der forårsager et brud på tjenestens eller dataenes fortrolighed, integritet eller tilgængelighed, eller som vedrører personoplysninger (personligt identificerbare oplysninger), der opbevares eller behandles på en måde, der ikke er i overensstemmelse med den gældende finske databeskyttelseslovgivning.

Anvendelsesområde

Anvendelsesområde

På nuværende tidspunkt dækker programmet til belønning for sårbarhedsrisici kun visse WithSecure-produkter og -tjenester, der er anført i nedenstående tabel. Vi modtager gerne sårbarhedsrapporter om alle andre WithSecure-produkter, -tjenester eller offentlige websider. Disse er dog ikke på nuværende tidspunkt en del af dette belønningsprogram.

WithSecure Client Security
WithSecure  Client Security Premium
WithSecure  Server Security
WithSecure  Server Security Premium
WithSecure  E-mail and Server Security
WithSecure  E-mail and Server Security Premium
WithSecure  ThreatShield
WithSecure  Internet Gatekeeper
WithSecure  Linux Security (32-bit)
WithSecure  Linux Security 64
WithSecure  Atlant
WithSecure  PSB Email and Server Security
WithSecure  PSB Linux Security
WithSecure  Cloud Protection for Salesforce
WithSecure  Policy Manager
WithSecure Elements EPP for Computers / F-Secure Computer Protection
WithSecure Elements EPP for Computers Premium / F-Secure Computer Protection Premium
WithSecure  Elements EPP for Servers / F-Secure Server Protection
WithSecure  Elements EPP for Servers Premium / F-Secure Server Protection Premium
WithSecure  Elements for Microsoft 365
WithSecure  Freedome for Business

 

Se de forbrugerprodukter (F-Secure), der er omfattet af belønningsprogrammet, her 

Begrænsninger og understøttede versioner

Den nyeste version med den seneste databaseopdatering installeret som frigivet via WithSecure-websider, Google Play Store, Windows Phone Store eller Apple App Store. Oplysninger om den aktuelle nyeste version kan findes her.

 

Begrænsninger og reproducerbarhed

Sikkerhedsproblemer på browsersiden skal kunne reproduceres på en HTML5-kompatibel webbrowser. Sårbarheder i klienter på mobile enheder skal kunne reproduceres på en enhed uden rodnet, på den nyeste og højst et år gamle firmware, som enhedsfabrikanten har leveret. På Android-enheder skal Google Play Services være installeret fra fabrikken på enheden. På stationære klienter kræves reproducerbarhed uden at angriberen har brug for administrator- eller root-adgang, og med et operativsystem, der er opdateret med de nyeste sikkerhedsrettelser, som leveres af leverandøren eller distributionen af operativsystemet. Der kræves, at de fejl i klientprogrammet, der opfylder betingelserne, skal være i den kode, som WithSecure leverer som en del af et klientprogram. Fejl i tredjepartskomponenter er generelt støtteberettigede, hvis de leveres som en del af WithSecures klientprogram. Problemer, der er fejl i den underliggende platform, i operativsystemet eller i biblioteker leveret af platformen, kan være støtteberettigede, så længe de kan manifestere eller påvirke WithSecure-applikationen. I tilfælde af fejl i forbindelse med eksterne komponenter tilbyder vi at tage ansvaret for rettidig underretning af de berørte parter. Hvis du har brug for en afklaring, skal du kontakte os på forhånd.

 

Tilladelig sikkerhedsforskning

Vi tillader kun sikkerhedsforskning, der:

  • gør en indsats i god tro for at undgå at påvirke tredjepartstjenester eller deres tilgængelighed;
  • gør en indsats i god tro for ikke at påvirke eller afsløre andre brugeres konti, personlige data eller indhold og ikke at påvirke andre brugeres adgang til tjenesterne;
  • kun bruger brugerkonti, der tilhører dig personligt (du har lov til at oprette flere konti specifikt med henblik på at udføre sikkerhedsundersøgelser til dette program til belønning af sårbarheder);
  • kun er rettet mod brugerkonti, brugerdata eller personlige data, der tilhører dig personligt, eller som er falske testdata;
  • kun bruger eller er rettet mod klienter, der er installeret på hardware, som du selv ejer og driver;
  • kun anvender metoder, der er i overensstemmelse med din lokale og finske lovgivning;
  • ikke anvender ondsindede eller destruktive nyttelaster ud over det, der teknisk set er nødvendigt for en godartet proof-of-concept-demonstration;
  • kun er rettet mod de tjenester eller produkter, der er anført ovenfor, med de relevante udelukkelser.

Hvis du har spørgsmål om, hvorvidt en bestemt type forskning er tilladt, eller om et bestemt mål er omfattet, skal du kontakte os på security@withsecure.com, inden du gennemfører forskningen.

Sådan indberetter du en sårbarhed

Sådan indberetter du en sårbarhed

Send venligst din rapport pr. e-mail til security@withsecure.com. Vi anbefaler på det kraftigste, at du krypterer e-mailen ved hjælp af vores PGP-nøgle, der er tilgængelig på nøgleservere (key fingerprint 4D4B 5579 44BE 34AF 45FA 45FA A656 C9C3 2AD8 02C6 F457), og vedhæfter din egen offentlige nøgle i mailen.

Bemærk venligst, at du ved at indsende en sårbarhedsrapport til os giver os en evig, verdensomspændende, royaltyfri, uigenkaldelig og ikke-eksklusiv licens og ret til at bruge, ændre og inkorporere din indsendelse eller dele heraf i vores produkter, tjenester eller testsystemer uden yderligere forpligtelser eller meddelelser til dig.

Alle fejlrapporter eller anmodninger om kundeservice, der ikke er relateret til sikkerhed eller privatlivets fred, og som sendes til denne e-mailadresse, vil blive ignoreret. Hvis du har et ikke-sikkerhedsrelateret spørgsmål vedrørende WithSecure-produkter, kan du besøge https://community.withsecure.com eller kontakte Support For Business.

Beskriv venligst i din rapport mindst:

  • Hvad du fandt;
  • Hvor præcist fandt du det, og hvordan du kan reproducere det;
  • Eksempel: Hvis angrebet vedrører en specifik URI og en specifik parameter, bedes du give detaljerede oplysninger om dette.
  • Eksempel: Hvis du udfører fuzzing-aktiviteter, bedes du give os yderligere oplysninger, især om det oprindelige korpus, du har brugt.
  • Hvis sårbarheden vedrører en tjeneste, dato og klokkeslæt (UTC) for hvornår du kunne reproducere sårbarheden (vi har muligvis udrullet en ny version siden da);
  • Hvis sårbarheden vedrører en klient, skal du oplyse klientens versionsnummer, på hvilken platform klienten kører og databaseversionen (hvis relevant);
  • Mulige konsekvenser af sårbarheden eller måder, hvorpå en angriber kan udnytte sårbarheden;
  • Proof-of-Concept eller funktionel udnyttelse, hvis den er tilgængelig;
  • forslag til rettelse, hvis tilgængelig.

Vi vil være taknemmelige for alle yderligere relevante tekniske oplysninger, som du måtte have, især hvis gengivelsen er vanskelig. Hvis vi ikke kan reproducere det, kan vi ikke belønne dig. 

Vi bestræber os på at sende dig en kvittering inden for fem arbejdsdage. Hvis du ikke hører fra os inden da, bedes du sende rapporten igen.

Hvad sker der efter din rapport?

Hvad sker der efter din rapport?

Vores udviklere undersøger sagen og afgør, om dit fund rent faktisk er en sikkerhedssårbarhed, og om vi kan reproducere den med de oplysninger, du har givet os. Hvis det opfylder betingelserne, vil en belønning blive udbetalt, når problemet er blevet rettet.

Vi kan ikke forpligte os til en bestemt tidsplan for rettelse (og dermed for udbetaling af belønning), da hver enkelt sag er forskellig. Internt prioriterer vi dog eksternt indberettede sikkerhedsproblemer højt, og vi vil bestræbe os på at holde dig opdateret om status. Du kan også bede om statusopdateringer ved at kontakte din sagsbehandler.

Vi kan til tider offentliggøre navnene på de personer, vi har belønnet, og hvis vi offentliggør sårbarhedsbulletiner, vil vi gerne give kredit, hvor den skal være. Hvis du hellere vil holde dig bag et alias (håndtag) eller være anonym, respekterer vi naturligvis dette.

Selv om vi vil forsøge at se problemet med dine øjne, kan vi i nogle randtilfælde være af den opfattelse, at det problem, du har fundet, ikke udgør en risiko, eller at problemet ikke er en sikkerheds- eller privatlivsfejl. I disse tilfælde vil der ikke blive udbetalt en belønning.

Der vil ikke blive udbetalt en belønning, hvis fundet på nogen måde bliver offentliggjort, før det er blevet rettet. Hvis en anden person allerede har rapporteret om fundet tidligere, giver vi dig besked, når problemet er blevet løst. Hvis flere forskere rapporterer om det samme problem, belønner vi kun afsenderen af den første rapport, som giver os tilstrækkelige tekniske oplysninger til at reproducere fundet. Vi ved godt, at dette ville give os et smuthul til at hævde, at alting allerede er fundet tidligere, men stol på os, vi vil gerne være fair.

Belønninger

Belønninger 

Belønningens størrelse bestemmes udelukkende af et WithSecure-team bestående af vores tekniske personale og er baseret på den estimerede risiko, som sårbarheden udgør. Det nuværende belønningsinterval ligger mellem 100 EUR og 15.000 EUR.

Hvis du rapporterer flere problemer, der er dublerede i forskellige dele af tjenesten (f.eks. den samme kode, der kører på forskellige knudepunkter eller platforme), eller som er en del af et større problem, kan disse problemer kombineres til ét, og der kan kun udbetales én belønning.

Følgende tabel viser flere fejlklasser og deres tilsvarende dusør. Selv om ikke alle fejlklasser er omfattet af denne liste, kan du få en fornemmelse af alvorlighed i forhold til belønning ved at undersøge de følgende eksempler.

Belønningsbeløb (€) Eksempel
Op til 15,000

    Fjernudførelse af kode på produktionsserveren

    Fjernfilinddragelse på produktionsserveren

    Betydelig omgåelse af autentificering på produktionsserveren, der indeholder kritisk information

Op til 5,000

    Fjernudførelse af kode på klientsoftware

    Udtrækning af data fra en produktionsserver

    Problemer med adgangskontrol, der afslører personligt identificerbare oplysninger

Op til 2,000

    Fjernudførelse af kode i en sandkasse

    Lokal rettighedseskalering

    Vedvarende lammelse af tjenesten på antivirus- eller privatlivsfunktionalitet

Op til 500

    Midlertidig lammelse af tjenesten af antivirus- eller privatlivsfunktionalitet

    Sikkerhedsrelateret fejlkonfiguration på produktionsserveren eller klientsoftwaren

Betalinger

Betalinger

 

VIGTIGT! Du skal ikke sende dine betalingsoplysninger til os på forhånd. Vi vil bede om de relevante oplysninger, hvis og når en betaling skal foretages.

Betalinger foretages som bankoverførsler inden for Single Euro Payments Area (SEPA) eller som internationale bankoverførsler (bankoverførsler) uden for SEPA. Vi kan ikke bruge checks, kryptovalutaer eller bruge andre pengeoverførselstjenester. Betalingsmodtageren er ansvarlig for eventuelle gebyrer eller afgifter, der opkræves for overførslen, og for at få adgang til pengene, når de er overført. Betalinger foretages som standard i euro (EUR), og eventuelle valutakonverteringer foretages til den aktuelle bankkurs.

Vi er forpligtet til at indberette alle individuelle forskeres belønninger til den finske skatteadministration, uanset hvor du bor. For at gøre dette og for at kunne udbetale belønningen skal vi senere anmode om dit fulde navn, din fødselsdato og en aktuel fysisk postadresse samt dine bankoplysninger (bankoverførsel). Hvis du har et selskab, kan vi anmode dig om at fakturere os i stedet.

Modtageren er ansvarlig for eventuelle skatter og afgifter. Hvis du er skattepligtig i Finland, er vi forpligtet til at opkræve kildeskat og kræver dit personnummer og eventuelt dit skattebevis for det indeværende år.

Disse identifikationskrav er pålagt os af myndighederne, og vi kan ikke gøre nogen undtagelser herfra. Desuden foretages der ikke betalinger til lande eller jurisdiktioner, der er under embargo, eller til personer eller enheder på en sanktionsliste.

På grund af disse identifikationskrav behandler vi kun den oprindelige anmelder direkte. Vi vil kun bruge den e-mailadresse, der er angivet i den oprindelige indberetning, så sørg for, at du fortsat har adgang til den e-mailkonto, du brugte til at sende den oprindelige indberetning.

Yderligere retlige erklæringer

Yderligere retlige erklæringer

 

Vores advokater ønsker, at vi gør opmærksom på følgende med småt:

Du må kun foretage reverse engineering og dekompilere WithSecure-klienter udelukkende og udelukkende med det formål at udføre sikkerhedsforskning til dette program til belønning af sårbarheder. Denne tilladelse gælder kun for WithSecure-klienter, der udtrykkeligt er nævnt og opført i dette program til belønning af sårbarhedsrisici, med undtagelse af eventuelle licenserede tredjepartskomponenter heri. Du må ikke videregive, vise eller offentliggøre kode eller dele heraf til tredjeparter i nogen form, som du har afledt som følge af denne tilladelse.

En beskrivelse af den personlige dataregistrering, der anvendes til belønningsbetalinger, findes her.

WithSecure forbeholder sig ret til at afbryde dette belønningsprogram og ændre dets vilkår til enhver tid uden forudgående meddelelse. Denne tekst blev senest ændret den 2022-01-05. Medmindre det nuværende belønningsprogram for sårbarheder forlænges specifikt her, udløber det nuværende belønningsprogram for sårbarheder den 31. december 2022. Alle beslutninger vedrørende udbetaling af belønninger er endelige. Reglerne for dette belønningsprogram eller enhver kommunikation i forbindelse hermed giver eller indebærer ikke nogen forpligtelser over for WithSecure af nogen art.

Andre links

Security advisories

Get the details and fixes for vulnerabilities found in WithSecure™ products.

Læs mere

De bedste bidragydere

Forskere, der har været med til at gøre vores produkter mere sikre (Hall of Fame).

Læs mere

Vores akkrediteringer og certifikater