Hakkerointia ja haavoittuvuuksien metsästystä

Visma Enterprise Oy:n Bug Bounty -ohjelma täytti pyöreät kaksi vuotta! Ohjelman tavoitteena on maksaa palkkioita (bounteja) tietoturva-asiantuntijoille, jotka raportoivat palveluissa löydetyistä tietoturvahaavoittuvuuksista. Samalla, kun juhlistamme ohjelman mielenkiintoista ja menestyksellistä taivalta, halusimme myös katsoa, miltä tilanne näyttää taaksepäin katsottuna.

HackerOne-alustalla toimiva Bug Bounty  -ohjelma aloitettiin vuoden 2016 lopulla. Bug Bounty on ollut suljettu ohjelma, johon pääsy edellyttää kutsua. Tällä hetkellä ohjelmassa toimii noin 90 tietoturva-asiantuntijaa. Ohjelman piirissä ovat olleet seuraavat Visman tuotteet:

M2 matka- ja kuluhallinta
Tiima Työaika ja Tiima Tulkinta
Saima HR ja Saima Rekry

Bug Bounty -ohjelma lukujen valossa

Bug Bounty ohjelman aikana olemme maksaneet yhteensä $53 100 palkkioita löydetyistä tietoturvahaavoittuvuuksista ja suurin yksittäinen palkkio on ollut $10 000. Raportoitujen haavoittuvuuksien määrä on ollut 173 raporttia vuoden 2018 loppuun asti. Luvussa on huomioitu myös ns. duplikaatit samasta haavoittuvuudesta.

Vuodesta 2016 asti olemme korjanneet 100 raportoitua tietoturvahaavoittuvuutta ennen ohjelmistoversion tuotantoon vientiä. Keskimääräinen vastausaika tietoturvaraportteihin on ollut 10 tuntia. Palkkion saamiseen on kulunut keskimäärin 23 päivää.

Bug Bounty -ohjelman aikana olemme maksaneet yhteensä $53 100 palkkioita löydetyistä tietoturvahaavoittuvuuksista.

Viime syyskuussa järjestimme Visma HackDayn, joka lisäsi ohjelman ohjelman aktiivisuutta. Syys-lokakuun aikana Bug Bounty -ohjelmaan tuli useita uusia tietoturvahaavoittuvuusraportteja.

Lue lisää aiheesta:
Vaasalainen Jarkko Vesiluoma hakkeroi itselleen 10 000 dollaria

Millaisia löydöksiä?

Bug Bounty -ohjelman löydökset vaihtelevat laidasta laitaan ja luonnollisesti haavoittuvuuksien kriittisyys vaihtelee myös kriittisestä alhaiseen. Tyypilliset löydökset ovat XSS ja scripting tyyppiset haavoittuvuudet, jotka mahdollistavat esimerkiksi haitallisen koodin pääsyn palveluun. Lisäksi erilaisia injektio-tyyppisiä haavoittuvuuksia on saatu kiinni ennen palvelun tuotantoon menoa.

Olennaisin asia löydöksillä on, että erilaiset haavoittuvuudet saadaan kiinni kontrolloidusti ja korjataan ennen ohjelmistoversion tuotantoon pääsyä.

Bug Bounty ja tulevaisuus

Tavoitteenamme on tehdä yhteistyötä vastuullisten tietoturvan turvallisuusalan asiantuntijoiden kanssa palvelumme turvallisuuden varmistamiseksi ja uskomme, että HackerOne-yhteisö voi auttaa parantamaan Visman järjestelmien turvallisuutta. Bug Bounty -ohjelma on osoittautunut erittäin hyväksi ja tehokkaaksi tavaksi määrittää ohjelmiston tietoturvataso.

Ohjelman vahvuus on nimenomaan tietoturva-asiantuntijoiden yhteisössä, joka tarjoaa monenlaista osaamista sekä asiantuntemusta. Saatujen kokemusten perusteella, Bug Bounty -ohjelma tulee laajenemaan kevään aikana. Lisätietoa ohjelman laajenemisesta tulossa lähiaikoina…