Tietoturva ja haavoittuvuuksien ilmoittaminen

Suhtaudumme tietoturvaan vakavasti ja arvostamme vastuullisesti tehtyjä haavoittuvuusilmoituksia.

Jos löydät palvelustamme, verkkosivustoltamme tai järjestelmistämme mahdollisen tietoturvaongelman, ilmoita siitä meille. Tutkimme ilmoitukset tapauskohtaisesti ja pyrimme reagoimaan niihin mahdollisimman nopeasti.

Miten ilmoittaa löydöksestä

Lähetä ilmoitus sähköpostitse osoitteeseen:

[email protected]

Sisällytä viestiin mahdollisuuksien mukaan ainakin seuraavat tiedot:

- selkeä kuvaus havainnosta
- arvio löydöksen vaikutuksesta
- tarkat toistovaiheet
- mahdolliset URL-osoitteet, parametrit tai tekniset yksityiskohdat
- lokit, kuvakaappaukset tai proof-of-concept, jos ne auttavat asian todentamisessa
- yhteystietosi mahdollista jatkokeskustelua varten

Älä sisällytä ilmoitukseen tarpeettomasti henkilötietoja, salassa pidettäviä tietoja tai kolmansien osapuolten tietoja. Jos löydös sisältää arkaluonteista materiaalia, kerro siitä ensin yleisellä tasolla, jotta voimme sopia turvallisesta tavasta toimittaa lisätiedot.

Mitä voit odottaa meiltä

Tavoitteenamme on:

- kuitata ilmoituksen vastaanotto 3 arkipäivän kuluessa
- arvioida löydöksen vakavuus ja vaikutus mahdollisimman nopeasti
- pyytää tarvittaessa lisätietoja löydöksen todentamiseksi
- pitää ilmoittaja ajan tasalla käsittelyn etenemisestä kohtuullisella aikavälillä
- korjata vahvistetut ongelmat riskiperusteisesti

Korjausten aikataulu riippuu löydöksen vakavuudesta, vaikutuksesta, teknisestä laajuudesta ja mahdollisista kolmansista osapuolista.

Vastuullinen ilmoittaminen

Pyydämme, että toimit hyvässä uskossa ja vältät toimia, jotka voivat aiheuttaa haittaa palvelulle, käyttäjille, tiedoille tai kolmansille osapuolille.

Tämä tarkoittaa käytännössä esimerkiksi sitä, että:

- et käytä löydöstä hyväksi enempää kuin asian todentaminen välttämättä edellyttää
- et muuta, poista, kopioi tai tuhoa tietoja
- et keskeytä palvelun toimintaa tahallisesti
- et tee palvelunestotestejä tai kuormitustestejä ilman erillistä lupaa
- et pyri pääsemään muiden käyttäjien tietoihin
- et jatka testaamista, jos huomaat päässeesi käsiksi tietoihin, joihin sinulla ei ole oikeutta
- ilmoitat löydöksestä meille viipymättä
- et julkaise löydöstä ennen kuin olemme ehtineet tutkia ja tarvittaessa korjata asian

Jos toimit vastuullisesti ja hyvässä uskossa tämän linjauksen mukaisesti, emme lähtökohtaisesti pidä tietoturvatutkimustasi luvattomana emmekä pyri kohdistamaan sinuun toimenpiteitä pelkästään ilmoituksen tekemisen perusteella.

Tämä linjaus ei kuitenkaan anna lupaa vahingolliseen toimintaan, tietojen luvattomaan käsittelyyn, palvelun häiritsemiseen tai lainsäädännön vastaiseen toimintaan.

Sallitun testauksen rajat

Voit tehdä kevyttä, ei-häiritsevää testausta, jonka tarkoituksena on todentaa havainto turvallisesti. Testauksen tulee rajoittua siihen, mikä on välttämätöntä löydöksen osoittamiseksi.

Älä tee seuraavia toimia ilman nimenomaista ennakkolupaa:

- palvelunestotestit tai kuormitustestit
- automaattinen laajamittainen skannaus, joka voi vaikuttaa palvelun toimintaan
- sosiaalinen manipulointi, phishing tai henkilöstöön kohdistuvat testit
- fyysisen turvallisuuden testaus
- haittaohjelmien käyttö tai levittäminen
- kirjautumistietojen arvaaminen, brute force -testaus tai salasanalistojen käyttö
- kolmansien osapuolten palveluihin kohdistuvat testit

Rajaukset

Seuraavat havainnot eivät yleensä kuulu tämän ilmoituskanavan ensisijaiseen käsittelyyn, ellei niihin liity selkeää ja käytännössä osoitettavaa tietoturvavaikutusta:

- puuttuvat tai heikot tietoturvaotsakkeet ilman konkreettista hyväksikäyttöpolkua
- vanhentuneet ohjelmistoversiot ilman osoitettua vaikutusta kyseisessä ympäristössä
- vähäriskiset best practice -poikkeamat
- yleiset skanneriraportit ilman todennettua haavoittuvuutta
- sähköpostin toimitettavuuteen liittyvät havainnot ilman selkeää väärinkäyttömahdollisuutta
- clickjacking- tai framing-havainnot sivuilla, joilla ei käsitellä arkaluonteisia toimintoja
- sosiaaliseen manipulointiin, phishingiin tai fyysiseen turvallisuuteen liittyvät testit ilman ennakkohyväksyntää
- löydökset kolmannen osapuolen palveluissa, joihin emme voi suoraan vaikuttaa

Arvioimme kuitenkin kaikki asialliset ilmoitukset tapauskohtaisesti.

Julkaisukäytäntö

Toivomme koordinoitua julkaisua.

Älä julkaise yksityiskohtia haavoittuvuudesta ennen kuin olemme saaneet kohtuullisen ajan asian tutkimiseen ja korjaamiseen. Sovimme tarvittaessa julkaisuaikataulusta erikseen ilmoittajan kanssa.

Jos löydös koskee kolmannen osapuolen palvelua, ohjelmistoa tai toimittajaa, julkaisuaikataulussa voi olla tarpeen huomioida myös kyseisen osapuolen käsittelyprosessi.

Palkkiot

Tällä hetkellä emme tarjoa bug bounty -ohjelmaa tai rahallisia palkkioita haavoittuvuusilmoituksista, ellei toisin ole erikseen ilmoitettu.

Arvostamme kuitenkin vastuullisesti tehtyjä ilmoituksia ja voimme ilmoittajan suostumuksella antaa asianmukaisen kiitoksen tai maininnan korjatusta löydöksestä.

Salattu viestintä

Jos haluat lähettää arkaluonteisia tietoja salattuna, voit pyytää meiltä PGP-avaimen tai käyttää erikseen sovittua salattua yhteyskanavaa.

Älä lähetä sähköpostitse tarpeettomasti salasanoja, henkilötietoja, asiakastietoja tai muuta arkaluonteista materiaalia.

Yhteystieto

Tietoturvaan liittyvät ilmoitukset:

[email protected]

Kiitos, että autat meitä parantamaan turvallisuutta vastuullisesti.