Kirjaudu
DVV Suomi.fi Bug Bounty

Bug Bounty | DVV | DVV Suomi.fi

Bug Bountyn kohteena on Suomi.fi-verkkopalvelun osia.

100 - 30 000 euroa

31.10.2022 - 30.4.2023

Ohjelma on auki vain suomalaisen pankkitilin haltijoille!


Raportoi Säännöt DVV:n kotsivut

Digi ja väestötietovirastosta lyhyesti

Digi- ja väestötietovirasto edistää yhteiskunnan digitalisaatiota, turvaa tietojen saatavuutta ja tarjoaa palveluja asiakkaiden elämäntapahtumiin. Digi- ja väestötietoviraston tehtävänä on osaltaan näyttää suuntaa, uudistaa yhteiskuntaa ja tukea kansalaisten asiointia julkisen hallinnon kanssa. Tavoitteenamme on tehdä Suomesta entistä sujuvammin toimiva yhteiskunta. Tässä digitalisaatio on yksi keskeinen keino.

OHJELMAN PÄÄKOHDAT

Tietoturvatutkimuksen kohteena on:

Suomi.fi-verkkopalvelu palvelimineen mukaan lukien palvelun tunnistusratkaisun (Suomi.fi-tunnistus) sekä valtuuksien (suomi.fi-valtuudet) rajapinnat osoitteessa:

  • https://www.suomi.fi

Kohteeseen liittyvät seuraavat rajoitukset:

  • Rekistereistä mukaan otetaan vain DVV:n ”Henkilötiedot”. Muiden virastojen rekisterit rajataan tästä ohjelmasta pois.
  • Suomi.fi-tunnistuksen ulkopuoliset tunnistuspalvelut, esimerkiksi pankkien tunnistuspalvelut, ovat mukana vain DVV-integraation osalta. Niitä käyttäen saa siis tunnistautua testatakseen esim. Henkilötiedotrekisteriä, tai sitä miten tiedot ulkopuoliselta palveluntarjoajalta välitetään VRK:lle, mutta itse ulkopuolista tunnistuspalvelua ei saa testata.
  • Suomi.fi-tunnistus hyödyntää tunnistuksen välityspalvelua (palveluntarjoajana OP). Välityspalvelun osalta mahdolliset huomiot voi raportoida siinä määrin kun ne tulevat esiin Suomi.fi-tunnistuksen kautta tunnistauduttaessa.
  • Palautelomakkeet on rajattu ohjelman ulkopuolelle, lukuun ottamatta "Laatutyökalut" (löytyy myös Suomi.fi-verkkopalvelujen ”Anna palautetta” kautta) : https://laatutyokalut.suomi.fi/feedback/1c02c570-4ca4-43b7-a0b3-ef733cbf0ef8
  • Suomi.fi viestit eivät ole mukana ohjelmassa.
  • Suomi.fi-tunnistus ei ole ohjelman kohteena eduskuntavaalien vuoksi välillä 21.3.-3.4. nämä päivät mukaan lukien.

Yleiset säännöt joita jokaisen ohjelman osallistujan tulee noudattaa on listattu alla:

  • Palkkioita maksetaan sellaisille henkilöille, joilla on suomalainen pankkitili ja verokortti.
  • Raportointi tapahtuu kirjautumalla raportointiportaaliimme.
  • Käytä raportointiin vain raportointiportaalin lomaketta äläkä julkaise havaintoa muualla.
  • Tietoturvatutkimus ei saa vaikuttaa testauksen kohteena olevan palvelun saatavuuteen. Jos olet epävarma, kysy lupaa Hackrfi-asiantuntijalta raportointiportaalin kautta.
  • Jos pääset murtautumaan palvelimelle, älä siirry palvelimesta muihin palvelimiin (ns. pivot) kysymättä lupaa Hackrfi:n asiantuntijoiden kautta.

Säännöissä on listattu tarkemmin asiat, joita tässä ohjelmassa ei ole sallittua tehdä, luethan ne huolella.

Palkkio maksetaan työkorvauksena ja sen maksaa Hackrfi. Palkkion maksamisen edellytyksenä on verokortin toimittaminen Hackrfi:lle

Säännöt Raportoi  

Haluatko tietoturvatestaajaksi?

Luo tunnus raportointiportaaliimme, sieltä pystyt tekemään raportteja avoimiin ohjelmiin.