Auta löytämään tietoturvapuutteita Abitti 2 -kokelassovelluksesta – hakkerointiohjelma on käynnissä koko kesän
Ylioppilastutkintolautakunta käynnisti huhtikuussa Hackabi 4 -hakkerointiohjelman, jonka tavoitteena on parantaa syksyllä ylioppilaskokeissa käyttöönotettavan Abitti 2 -kokelassovelluksen tietoturvaa. Lautakunta on saanut jo useita arvokkaita tietoturvahavaintoja, jotka on korjattu ja julkaistu lautakunnan verkkosivuilla Havainnoista on maksettu ohjelman kriteerien mukainen palkkio. Ohjelma on käynnissä kesän loppuun asti, joten aikaa aukkojen metsästyksen on vielä paljon.
”Nyt on hyvä mahdollisuus kerätä mainetta ja kokemusta hakkerointityöstä yhteiskunnallisesti merkittävän järjestelmän parissa. Ja jos muut kesätyöt jäivät saamatta, tarjoaa havainnoista maksettava palkkio pientä helpotusta kesän menojen kustantamiseen”, Ylioppilastutkintolautakunnan erityisasiantuntija, Abitin tuoteomistaja Matti Lattu kannustaa.
Hakkerointiohjelma täydentää lautakunnan omaa tietoturvatyötä ja on normaali osa järjestelmän kehitystä. Ohjelma järjestetään yhteistyössä monia hakkerointitapahtumia järjestäneen tietoturvayhtiö Mint Security Oy:n kanssa, ja havainnot raportoidaan Mint Securityn raportointikanavalla. Raportoiduista havainnoista maksetaan palkkio lautakunnan asettamien kriteerien mukaan. Palkkion maksaminen edellyttää, että palkkion voittaneella on suomalainen verokortti.
Ennen havaintojen raportoimista kannattaa perehtyä Hackabi 4 -ohjelman sääntöihin ja blogikirjoituksiin. Vain ohjelman sääntöjen mukaisista havainnoista maksetaan palkkio. Jos haavoittuvuuksien havaitsemiseen käytetään apuna kielimallia, on havainnot syytä varmistaa tutkimalla sovelluksen toimintaa ja kohdistamalla siihen toimenpiteitä. Näin voidaan varmistaa, että haavoittuvuus on todellinen ja ohjelman sääntöjen mukainen.
Alan käytäntöjen mukaisesti lautakunta on sitoutunut julkaisemaan tietoturvahavainnot kolmen kuukauden sisällä siitä, kun ne on raportoitu lautakunnalle. Ensimmäiset havainnot julkaistaan lautakunnan verkkosivuilla heinäkuussa. Ilmoittajat saavat havainnoistaan myös palautetta, joka lähetetään osoitteesta hackabi@hackday.today.
Ohjelma on käynnissä 1.4.2026 alkaen noin puoli vuotta. Ohjelman kestoon vaikuttaa esimerkiksi havainnoista maksettaviin palkkioihin varatun summan täyttyminen.
Lisätietoa
Matti Lattu, erityisasiantuntija, Ylioppilastutkintolautakunta, matti.lattu@ylioppilastutkinto.fi.
Hakkerointiohjelman säännöt (hackabi.org)
Abitin tietoturvapolitiikka (englanniksi) (Abitti.fi)