Tietoturva

Viimeksi päivitetty: 15. maaliskuuta 2026

Sivuston tietoturva ja käyttäjien yksityisyys ovat meille tärkeitä. Otamme mielellämme vastaan vastuullisia ilmoituksia tietoturvahaavoittuvuuksista tietoturvatutkijoilta, kehittäjiltä ja muilta käyttäjiltä.

Tällä sivulla kuvataan vastuullisen ilmoittamisen käytäntömme — miten ilmoitat haavoittuvuudesta, mikä kuuluu soveltamisalaan ja miten vastaamme. Pyydämme noudattamaan näitä ohjeita, kun tutkit ja raportoit mahdollisia tietoturvaongelmia.

Haavoittuvuudesta ilmoittaminen

Jos olet löytänyt tietoturvahaavoittuvuuden, ilmoita siitä meille sähköpostitse. Älä paljasta haavoittuvuutta julkisesti ennen kuin meillä on ollut kohtuullinen mahdollisuus tutkia ja korjata se.

contact@freeonlinenosignup.com

Lisää otsikkoriville "Security Vulnerability Report" ja kerro mahdollisimman paljon seuraavista:

  • Selkeä kuvaus haavoittuvuudesta ja sen mahdollisista vaikutuksista
  • Vaikutuksen alainen URL, endpoint tai komponentti
  • Vaiheittaiset ohjeet ongelman toistamiseen
  • Mahdollinen proof-of-concept-koodi, kuvakaappaukset tai request/response-esimerkit
  • Nimesi tai nimimerkkisi, jos haluat tulla mainituksi (valinnainen)

Soveltamisala

Seuraavat kuuluvat soveltamisalaan vastuullisessa ilmoittamisessa:

  • Cross-site scripting (XSS)
  • Cross-site request forgery (CSRF)
  • Palvelinpuolen injektiohaavoittuvuudet (SQL injection, command injection jne.)
  • Todennuksen tai valtuutuksen ohitus
  • Arkaluonteisten tietojen paljastuminen tai tietovuodot
  • Tietoturvan virheelliset asetukset, joita hyökkääjä voi käyttää hyväkseen
  • Open redirect -ohjaukset, joita voi käyttää tietojenkalastelussa
  • Insecure direct object references (IDOR)
  • Etäkoodin suoritus

Soveltamisalan ulkopuolella

Seuraavat ovat soveltamisalan ulkopuolella eikä niitä hyväksytä päteviksi haavoittuvuusraporteiksi:

  • Palvelunestohyökkäykset (DoS tai DDoS) tai niiden testaus
  • Brute force -hyökkäykset sivuston mitään osaa vastaan
  • Automaattinen skannaus ilman etukäteen annettua kirjallista lupaa
  • Sosiaalinen manipulointi tai tietojenkalastelu, joka kohdistuu käyttäjiimme tai henkilöstöömme
  • Fyysiseen turvallisuuteen liittyvät ongelmat
  • Kolmansien osapuolten palveluiden, kirjastojen tai infrastruktuurin haavoittuvuudet, jotka eivät ole suoraan hallinnassamme — ilmoita niistä kyseiselle toimittajalle
  • Puuttuvat security headerit, jotka eivät tässä kontekstissa muodosta osoitettavaa ja hyödynnettävää haavoittuvuutta
  • Teoreettiset haavoittuvuudet ilman toimivaa proof of conceptia tai osoitettua vaikutusta
  • Ongelmat, jotka edellyttävät, että käyttäjä on jo kompromisoinut oman laitteensa tai selaimensa

Mitä voit odottaa

Kun lähetät haavoittuvuusraportin, voit odottaa meiltä seuraavaa:

1

Vahvistus

Vahvistamme raporttisi vastaanoton 3 arkipäivän kuluessa.

2

Tutkinta

Tutkimme raportin ja arvioimme ongelman paikkansapitävyyden ja vakavuuden. Saatamme palata lisäkysymyksillä, jos tarvitsemme lisää tietoa.

3

Korjaus

Vahvistetuissa haavoittuvuuksissa pyrimme korjaamaan ongelman mahdollisimman nopeasti ja priorisoimme vakavuuden mukaan. Pidämme sinut ajan tasalla.

4

Julkistaminen

Kun ongelma on korjattu, koordinoimme mielellämme julkisen julkistamisen kanssasi, jos niin haluat. Pyydämme, että annat meille kohtuullisen korjausajan ennen yksityiskohtien julkaisemista.

Sitoumuksemme

Kun raportoit haavoittuvuuden hyvässä uskossa ja tämän käytännön mukaisesti, sitoudumme:

  • Olemaan ryhtymättä oikeustoimiin tutkimuksesi vuoksi
  • Käsittelemään raporttisi luottamuksellisesti emmekä jaa henkilötietojasi ilman suostumustasi
  • Pitämään sinut ajan tasalla ongelman tilasta
  • Mainitsemaan sinut löydöstä, jos niin haluat ja jos ongelma vahvistetaan
  • Korjaamaan vahvistetut haavoittuvuudet kohtuullisessa ajassa

Vastineeksi pyydämme, ettet käytä, muuta tai poista tietoja, jotka eivät ole omiasi; ettet häiritse sivuston saatavuutta; ja ettet testaa muiden käyttäjien tilejä tai tietoja.

Yhteystiedot

Jos sinulla on yleisiä kysymyksiä tästä käytännöstä, jotka eivät ole haavoittuvuusraportteja, käytä yhteydenottosivua. Muut kuin tietoturvaan liittyvät bugiraportit voit tehdä sivulla raportoi ongelma.