OmaVerosta löytynyt haavoittuvuus toi hakkerille 3500 euroa

Verohallinnon tiedote, 10.11.2017

Verohallinnon lokakuussa aloittamassa bug bounty- eli bugipalkkio-ohjelmassa on löydetty ensimmäiset OmaVero-verkkopalvelun tietoturvahaavoittuvuudet. Palkkioita on tähän mennessä maksettu kolmesta löydöksestä, niistä suurin on arvoltaan 3500 euroa.

Suurimpaan palkkioon oikeuttaneen haavoittuvuuden löysi ”valkohattuhakkeri” Jarmo Puttonen, joka on osallistunut useisiin palkkionmetsästysohjelmiin sekä Suomessa että ulkomailla. Hän kuuluu myös teknisiä tietoturvatarkistuksia tekevään Team ROT:iin, jonka jäsenet ovat osallistuneet lukuisiin bug bounty -ohjelmiin maailmanlaajuisesti ja ovat tunnettuja osaajia alallaan.

Puttonen kertoo, että palkkioon oikeuttaneen virheen löytäminen vei muutaman tunnin.

– Raportoin havaitsemani virheen ohjelman järjestäneeseen Hackrfi:lle, joka välitti havainnon Verohallinnolle. Verottaja korjasi haavoittuvuuden pikaisesti ja antoi reilun palkkion vaivannäöstä, Puttonen kertoo.

Verohallinnon turvallisuusjohtaja Samuli Bergström on tyytyväinen yhteistyöhön hakkereiden kanssa.

– Tähänastiset kokemukset olleet erittäin hyviä ja OmaVeron turvallisuus on jo tämän vuoksi kehittynyt. Löydökset ovat olleet hyviä ja erityisesti tuo merkittävin on sen tyyppinen, että en usko, että perinteisellä tietoturva-auditoinnilla sitä olisi kovinkaan helposti löytynyt, Bergström sanoo.

OmaVero on lokakuussa 2016 avattu Verohallinnon sähköinen asiointipalvelu, joka korvaa vaiheittain suurimman osan nykyisistä sähköisistä asiointipalveluista. Palvelun sovelluskerrokseen kohdennettu bug bounty on kutsuohjelma, johon hakkerit voivat hakea halutessaan mukaan hackr.fi-sivuilta. Bug bounty on käynnissä ainakin 1.4.2018 saakka.

Lisätietoja:
Turvallisuusjohtaja Samuli Bergström, p. 029 512 4227
Jarmo Puttonen / Twitter: @putsi_