Kotimaa |

Suomalaismies paljasti 300 miljoonan ihmisen sähköposteja uhanneen vian – kuittasi ennätyspalkkion

Jyväskyläläinen Jouko Pynnönen sai Yahoo!-yhtiöltä 10 000 dollarin palkkion löydettyään Yahoo Mailista ammottavan tietoturva-aukon. Haavoittuvuuden takia hyökkääjä olisi voinut varastaa postit, lähettää viestejä käyttäjän nimissä tai levittää haittaohjelmia.

yahoon etusivu
Kuva: Jens Buttner / EPA

Tietoturva-aukkojen metsästykseen erikoistunut jyväskyläläinen Jouko Pynnönen ei ahertanut turhaan, kun hän päätti joulun aikaan testata, suodattaako lähes 300 miljoonaa käyttäjää palveleva Yahoo Mail haitalliset html-koodit sähköposteistaan.

Ei suodattanut. Tekstin lomassa saattoi lähettää vaikkapa kuvia, joihin on liitetty automaattisesti käynnistyvää ohjelmakoodia.

– Haittaohjelman käynnistyminen ei vaatinut liitetiedoston avaamista tai linkkien klikkailua, vaan koodi käynnistyi kun käyttäjä avaa sähköpostin, kuvaa Pynnönen vikaa.

Puutetta hyödyntävä hyökkääjä olisi voinut lähettää kenelle tahansa Yahoo Mailin käyttäjälle tavalliselta näyttävän sähköpostin, jonka avaaminen olisi avannut hyökkääjälle mahdollisuuden ottaa hallintaansa sähköpostijärjestelmän eli vaikkapa lähettää tämän nimissä sähköposteja. Riskinä oli myös se, että samaa kautta olisi voitu levittää myös haittaohjelmia.

Sähköpostipalvelua tarjoava Yahoo! toimi ripeästi Pynnösen ilmoitettua löydöksistään. Valmistaja korjasi vian viikossa ja maksoi bugipalkkionkin lähes saman tien.

– Tietääkseni haavoittuvuutta ei ehditty käyttää, arvioi Pynnönen.

Rikolliset ostavat haavoittuvuuksia

Pynnönen on työssään perehtynyt liiketoimintaan, jota on syntynyt tietoturva-aukkojen ympärille. Maailmalla toimii joukko yrityksiä, jotka ostavat haavoittuvuuksia. Laillisen markkinan lisäksi haavoittuvuuksilla käydään kauppaa pimeästi, sillä verkkorikolliset ja verkkovakoojat tarvitsevat tietoa haavoittuvuuksista suunnitellessaan hyökkäyksiään.

Pynnönen katsoo, että paras vaihtoehto on ilmoittaa ongelmista suoraan valmistajille.

– Bugipalkkio oli pienempi kuin mitä tietyt yritykset voisivat maksaa, mutta niiden kanssa toimiessa en voisi olla varma mihin haavoittuvuus lopulta päätyy. Ilmoittaminen valmistajalle on eettisesti tukevammalla pohjalla, hän perustelee.

Yahoo! on yksi yrityksistä, joilla on palkkio-ohjelma buginmetsästäjille. Nettisivuillaan Yahoo kertoo palkinneensa viime vuonna 40 hakkeria keskimäärin noin 1 000 dollarin palkkiosummalla. Yahoon ohjelmassa Pynnösen saama 10 000 euron summa onkin ennätysmäisen suuri.

Viime viikolla Pynnönen sai myös palkkion haavoittuvuuksista, jotka hän oli löytänyt jo viime vuoden alussa.

Microsoftin, Adoben ja Googlen edustajista koostuva Bug Bounty -paneeli maksoi kolmesta Flash Player -bugista yhteensä 9 000 dollaria.

Viime vuosina palkkiosummat ovat nousseet, mikä on mahdollistanut kiekko.tk-jääkiekkopeliä kehittävälle it-osaajalle sivutoimen palkkionmetsästäjänä.

– Olen verrannut tätä kaivostoimintaan. Joskus työskentelee päiviä tai viikkoja ilman onnistumista, mutta tällä kertaa haavoittuvuuden löytämiseen meni vain pari päivää, hän kuvaa.

Ylen haastattelemat tietoturva-ammattilaiset pitävät Pynnösen onnistumisia uransa eri vaiheissa poikkeuksellisina.

Tuoreimmat aiheesta: Kotimaa

Pääuutiset

Tuoreimmat

Muualla Yle.fi:ssä