Haavoittuvuuksien palkkio-ohjelma.

Mitä sinun pitää tietää ennen kuin aloitat

Haluamme kuulla kaikista tuotteidemme ja palveluidemme tietoturvahaavoittuvuuksista. Tietoturvatutkijoiden palkitsemiseksi tarjoamme rahallisia palkkioita kelvollisista ilmoituksista, jotka tehdään meille koordinoidun ilmoitusprosessin kautta.

Tietyt säännöt pitää kuitenkin pitää mielessä, jotta tietoturvatutkimuksesi ei aiheuttaisi tietoturvariskiä muille käyttäjille tai heidän datalleen ja jotta tutkimuksesi ei merkittyisi valvontamme toimesta haitalliseksi tunkeutumisyritykseksi. Haluamme myös tehdä selväksi tietyistä ilmoitusten hyväksymiseen ja palkkioiden maksamiseen liittyvistä seikoista, jotta yllätyksiltä vältytään.

”Tietoturvahaavoittuvuus” määritellään ongelmaksi, joka aiheuttaa palvelun tai datan luottamuksellisuuden, eheyden tai käytettävyyden loukkauksen, tai joka koskee henkilötietoja (tunnistettavissa olevia henkilötietoja), joita säilytetään tai käsitellään tavalla, joka ei ole nykyisen Suomen tietosuojalainsäädännön mukainen.

Haavoittuvuuksien palkkio-ohjelma kattaa tällä hetkellä seuraavat WithSecuren tuotteet ja palvelut:

• WithSecure Policy Manager
• WithSecure Client Security
• WithSecure Client Security Premium
• WithSecure Server Security
• WithSecure Server Security Premium
• WithSecure E-mail and Server Security
• WithSecure E-mail and Server Security Premium
• WithSecure Linux Protection
• WithSecure Atlant
• WithSecure Elements EPP for Computers (Windows ja Mac)
• WithSecure Elements EPP for Computers Premium (Windows)
• WithSecure Elements EPP for Servers (Windows ja Linux)
• WithSecure Elements EDR for Servers (Windows ja Linux)
• WithSecure Elements EPP for Servers Premium (Windows ja Linux)
• WithSecure Elements EDR for Computers (Windows ja Mac)
• WithSecure Elements EDR and EPP for Computers (Windows ja Mac)
• WithSecure Elements EDR and EPP for Computers Premium (Windows)
• WithSecure Elements EDR and EPP for Servers (Windows ja Linux)
• WithSecure Elements Mobile Protection (Android ja iOS)
• WithSecure Elements Collaboration Protection
• WithSecure Countercept Managed Detection & Response (MDR)

Otamme mielellämme vastaan ilmoituksia myös muista WithSecuren tuotteista, palveluista tai julkisista verkkosivuista, mutta ne eivät tällä hetkellä kuulu tähän palkkio-ohjelmaan.

Rajoitukset ja tuetut versiot

Nykyinen uusin versio uusimman tietokantapäivityksen kanssa, joka on asennettu WithSecuren verkkosivujen, Google Play Storen, Windows Phone Storen tai Apple App Storen kautta julkaistuna. Tiedot uusimmasta versiosta löytyvät tästä.

Rajoitukset ja toistettavuus

Selainpuolen tietoturvaongelmien on oltava toistettavissa HTML5-yhteensopivassa selaimessa. Mobiililaiteklienttien haavoittuvuuksien on oltava toistettavissa rootaamattomalla laitteella, uusimmalla – ja korkeintaan vuoden vanhalla – laitevalmistajan toimittamalla laiteohjelmistolla. Androidissa laitteessa on oltava tehtaalla asennettu Google Play Services. Työpöytäklienteillä toistettavuus vaaditaan ilman, että hyökkääjä tarvitsee admin- tai root-oikeuksia, ja käyttöjärjestelmän on oltava päivitetty käyttöjärjestelmän toimittajan tai jakelijan toimittamilla uusimmilla tietoturvapäivityksillä. Kelvollisten klienttibugien on oltava koodissa, jonka WithSecure toimittaa osana klienttisovellusta. Kolmannen osapuolen komponenttien bugit ovat yleensä kelvollisia, jos ne toimitetaan osana WithSecuren klienttisovellusta. Taustalla olevan alustan, käyttöjärjestelmän tai alustan tarjoamien kirjastojen bugit voivat olla kelvollisia siinä määrin kuin ne voivat ilmetä WithSecure-sovelluksessa tai vaikuttaa siihen. Ulkoisten komponenttien bugien tapauksessa tarjoamme ottavamme vastuun asianomaisten osapuolten ajantasaisesta ilmoittamisesta. Jos tarvitset selvennystä, ota yhteyttä etukäteen.

Sallittu tietoturvatutkimus

Sallimme vain tietoturvatutkimuksen, joka:

• Pyrkii vilpittömässä mielessä välttämään vaikuttamasta kolmansien osapuolten palveluihin tai niiden saatavuuteen;
• Pyrkii vilpittömässä mielessä olemaan vaikuttamatta tai paljastamatta muiden käyttäjien tilejä, henkilötietoja tai sisältöä ja olemaan vaikuttamatta palvelun saatavuuteen muille käyttäjille;
• Käyttää vain käyttäjätilejä, jotka kuuluvat sinulle henkilökohtaisesti (saat luoda useita tilejä erityisesti tämän haavoittuvuuksien palkkio-ohjelman tietoturvatutkimuksen suorittamista varten);
• Kohdistuu vain käyttäjätileihin, käyttäjädataan tai henkilötietoihin, jotka kuuluvat sinulle henkilökohtaisesti tai jotka ovat keinotekoista testidataa;
• Käyttää tai kohdistuu vain klientteihin, jotka on asennettu itse omistamaasi ja käyttämääsi laitteistoon;
• Käyttää vain menetelmiä, jotka ovat paikallisen ja Suomen lain mukaisia;
• Ei käytä haitallisia tai tuhoisia hyötykuormia laajemmin kuin mitä hyväntahtoinen proof-of-concept-demonstraatio teknisesti vaatii;
• Kohdistuu vain edellä lueteltuihin palveluihin tai tuotteisiin asianmukaisin poikkeuksin.

Jos sinulla on kysyttävää siitä, onko tietty tutkimustyyppi sallittu tai kuuluuko tietty kohde kattavuuteen, ota yhteyttä osoitteeseen security@withsecure.com ennen tutkimuksen suorittamista.

Miten ilmoitat haavoittuvuudesta

Miten ilmoitat haavoittuvuudesta

Lähetä ilmoituksesi sähköpostilla osoitteeseen security@withsecure.com. Suosittelemme vahvasti, että salaat sähköpostin PGP-avaimellamme, joka on saatavilla avainpalvelimilta (avaimen sormenjälki 2622 90BA C1DB AB46 2954 B150 1518 05EB 454B 15C4), ja liität oman julkisen avaimesi viestiin.

Huomaa, että lähettämällä meille haavoittuvuusilmoituksen myönnät meille pysyvän, maailmanlaajuisen, rojaltivapaan, peruuttamattoman ja yksinoikeudettoman lisenssin ja oikeuden käyttää, muokata ja sisällyttää ilmoituksesi tai sen osia tuotteisiimme, palveluihimme tai testijärjestelmiimme ilman lisävelvoitteita tai ilmoituksia sinulle.

Tietoturvaan tai yksityisyyteen liittymättömiä bugi-ilmoituksia tai asiakaspalvelupyyntöjä, jotka lähetetään tähän sähköpostiosoitteeseen, ei huomioida. Jos sinulla on muu kuin tietoturvaan liittyvä kysymys WithSecuren tuotteista, käy WithSecure Communityssa tai ota yhteyttä yritystukeen.

Kuvaile ilmoituksessasi vähintään:

– Mitä löysit;
– Mistä tarkalleen löysit sen ja vaiheet toistamiseksi;
– Esimerkki: Jos hyökkäys liittyy tiettyyn URI:hin ja parametriin, anna kyseiset tiedot yksityiskohtaisesti.
– Esimerkki: Jos teet fuzz-testausta, anna meille lisätietoja, erityisesti käyttämäsi alkukorpus.
– Jos haavoittuvuus koskee palvelua, päivämäärä ja kellonaika (UTC), jolloin pystyit toistamaan haavoittuvuuden (olemme saattaneet ottaa käyttöön uuden version sen jälkeen);
– Jos haavoittuvuus koskee klienttiä, anna klientin versionumero, alusta, jolla klientti pyörii, ja tietokannan versio (jos sovellettavissa);
– Haavoittuvuuden mahdolliset vaikutukset tai tavat, joilla hyökkääjä voi hyödyntää sitä;
– Proof-of-Concept tai toimiva exploit, jos saatavilla;
– Korjausehdotus, jos saatavilla.

Olisimme kiitollisia kaikista muista olennaisista teknisistä tiedoista, joita sinulla saattaa olla, erityisesti jos toistaminen on hankalaa. Jos emme pysty toistamaan sitä, emme voi palkita sinua.

Pyrimme lähettämään sinulle vastaanottokuittauksen viiden työpäivän kuluessa. Jos et kuule meiltä siihen mennessä, lähetä ilmoitus uudelleen.

Mitä ilmoituksesi jälkeen tapahtuu

Kehittäjämme tutkivat asian ja arvioivat, onko löytösi todellinen tietoturvahaavoittuvuus ja voimmeko toistaa sen toimittamiesi tietojen avulla. Jos se täyttää ehdot, palkkio maksetaan ongelman korjaamisen jälkeen.

Emme voi sitoutua mihinkään tiettyyn korjausaikatauluun (eikä sitä kautta palkkion maksuaikatauluun), koska jokainen tapaus on erilainen. Sisäisesti annamme kuitenkin korkean prioriteetin ulkoisesti ilmoitetuille tietoturvaongelmille, ja pyrimme pitämään sinut ajan tasalla tilanteesta. Voit myös pyytää tilannepäivityksiä ottamalla yhteyttä tapauksesi käsittelijään.

Saatamme ajoittain julkaista palkitsemiemme henkilöiden nimet, ja jos julkaisemme haavoittuvuustiedotteita, haluamme antaa kunnian sille, jolle se kuuluu. Jos haluat mieluummin pysyä nimimerkin (handle) takana tai nimettömänä, kunnioitamme sitä.

Vaikka pyrimme katsomaan asiaa sinun silmilläsi, joissakin rajatapauksissa saatamme olla sitä mieltä, että löytämäsi ongelma ei aiheuta riskiä tai ettei kyse ole tietoturva- tai yksityisyysbugista. Näissä tapauksissa palkkiota ei makseta.

Palkkiota ei makseta, jos löydös tulee julkiseksi missään muodossa ennen sen korjaamista. Jos joku muu on jo aiemmin ilmoittanut löydöstä, ilmoitamme sinulle ongelman korjaamisen jälkeen. Jos useat tutkijat ilmoittavat samasta ongelmasta, palkitsemme vain sen ensimmäisen ilmoituksen lähettäjän, joka antaa meille riittävät tekniset tiedot löydön toistamiseen. Tiedämme, että tämä antaisi meille porsaanreiän väittää, että kaikki on jo aiemmin löydetty, mutta luota meihin – haluamme olla reiluja.

Maksut

TÄRKEÄÄ! Älä lähetä maksutietojasi meille etukäteen. Pyydämme tarvittavat tiedot, jos ja kun maksu tulee ajankohtaiseksi.

Maksut suoritetaan pankkisiirtoina yhtenäisellä euromaksualueella (SEPA) tai kansainvälisinä pankkisiirtoina (wire) SEPA-alueen ulkopuolelle. Emme voi käyttää sekkejä, kryptovaluuttoja tai muita rahansiirtopalveluita. Maksun saaja vastaa kaikista siirrosta perittyistä maksuista tai palkkioista sekä varojen käyttöönotosta siirron jälkeen. Maksut suoritetaan oletuksena euroina (EUR), ja mahdolliset valuuttamuunnokset tehdään nykyisen pankkikurssin mukaisesti.

Meidän on ilmoitettava kaikki yksittäisten tutkijoiden palkkiot Suomen verohallinnolle riippumatta siitä, missä asut. Tätä varten ja tosiasiallisen maksun suorittamiseksi pyytäisimme myöhemmin täydellisen nimesi, syntymäaikasi, nykyisen postiosoitteesi sekä pankkisiirtotietosi. Jos sinulla on yritys, saatamme pyytää sinua laskuttamaan meitä.

Vastaanottaja vastaa kaikista veroista. Jos sinua verotetaan Suomessa, meidän on perittävä ennakonpidätys, ja tarvitsemme henkilötunnuksesi sekä valinnaisesti kuluvan vuoden verokorttisi.

Nämä tunnistautumisvaatimukset ovat viranomaisten meille asettamia, emmekä voi tehdä niihin poikkeuksia. Lisäksi maksuja ei suoriteta saartoasetuksen alaisiin maihin tai oikeudenkäyttöalueille eikä pakotelistalla oleville henkilöille tai yhteisöille.

Näiden tunnistautumisvaatimusten vuoksi olemme yhteydessä vain alkuperäiseen ilmoittajaan suoraan. Käytämme vain alkuperäisessä ilmoituksessa olevaa sähköpostiosoitetta, joten varmista, että sinulla on jatkuva pääsy alkuperäisen ilmoituksen lähettämiseen käyttämääsi sähköpostitiliin.

Lisää oikeudellisia lausuntoja

Lakimiehemme haluavat meidän nostavan esiin seuraavan:

Saat purkaa ja takaisinmallintaa WithSecuren klientit yksinomaan ja tiukasti tämän haavoittuvuuksien palkkio-ohjelman tietoturvatutkimuksen suorittamista varten. Tämä lupa koskee vain tässä haavoittuvuuksien palkkio-ohjelmassa nimenomaisesti nimettyjä ja lueteltuja WithSecuren klientteja, ei niiden sisältämiä lisensoituja kolmannen osapuolen komponentteja. Et saa luovuttaa, näyttää tai julkaista kolmansille osapuolille koodia tai sen osia missään muodossa, jonka olet johtanut tämän luvan perusteella.

Kuvaus palkkioiden maksamiseen käytettävästä henkilötietorekisteristä on saatavilla tästä.

WithSecure pidättää oikeuden lopettaa tämän palkkio-ohjelman ja muuttaa sen ehtoja milloin tahansa ilman ennakkoilmoitusta. Tätä tekstiä on viimeksi muokattu 22.12.2022. Ellei tässä erityisesti jatketa, nykyinen haavoittuvuuksien palkkio-ohjelma päättyy 30. kesäkuuta 2026. Kaikki palkkioiden maksamista koskevat päätökset ovat lopullisia. Tämän palkkio-ohjelman säännöt tai siihen liittyvä viestintä eivät aseta tai aiheuta WithSecurelle minkäänlaisia velvoitteita.

Palkkiot

Palkkion suuruuden määrittää yksinomaan WithSecuren teknisestä henkilöstöstä koostuva tiimi, ja se perustuu haavoittuvuuden aiheuttamaan arvioituun riskiin. Nykyinen palkkioväli on 500 – 18 000 euroa.

Jos ilmoitat useista ongelmista, jotka ovat duplikaatteja palvelun eri osissa (esim. sama koodi pyörii eri nodessa tai alustoilla) tai ovat osa suurempaa ongelmaa, ne voidaan yhdistää yhdeksi ja vain yksi palkkio voidaan maksaa.

Seuraava taulukko kuvaa eri bugiluokkia ja niiden vastaavia palkkioita. Vaikka kaikki bugiluokat eivät kuulu tähän listaan, voit saada käsityksen vakavuuden ja palkkion suhteesta seuraavien esimerkkien avulla.