Hjälp nämnden att hitta sårbarheter i datasäkerheten i Abitti 2‑examinandapplikationen – buggbelöningsprogrammet pågår hela sommaren

Studentexamensnämnden inledde i april buggbelöningsprogrammet Hackabi 4 med målet att förbättra datasäkerheten i Abitti 2-examinandapplikationen som tas i bruk i studentexamensproven i höst. Nämnden har redan fått flera värdefulla datasäkerhetsobservationer, som har åtgärdats och publicerats på nämndens webbplats. Belöning har betalats för observationer enligt programmets kriterier. Programmet pågår till slutet av sommaren, så det finns ännu gott om tid att leta efter sårbarheter.

En dator med text Abitti 2-buggbelöningsprogram.

Sårbarheter som upptäckts i buggbelöningsprogrammet har åtgärdats i Abitti 2

”Nu finns det en bra möjlighet att skaffa sig rykte och erfarenhet av hackningsarbete i ett system av samhällelig betydelse. Och om du inte lyckades få ett annat sommarjobb, ger belöningen för observationerna en liten lättnad för att täcka sommarens utgifter”, uppmuntrar Studentexamensnämndens specialsakkunning, Abittis produktägare Matti Lattu. 

Buggbelöningsprogrammet kompletterar nämndens eget datasäkerhetsarbete och är en normal del av systemets utveckling. Programmet ordnas i samarbete med datasäkerhetsbolaget Mint Security Oy, som har arrangerat många buggbelöningsevenemang. Observationerna rapporteras via Mint Securitys rapporteringskanal, och arvode betalas för rapporterade observationer enligt kriterier som nämnden fastställt. För att få arvode krävs att mottagaren har ett finländskt skattekort. 

Innan observationer rapporteras lönar det sig att bekanta sig med reglerna för Hackabi 4programmet och blogginläggen (på finska). Arvode betalas endast för observationer som följer programmets regler. Om en språkmodell används som hjälp för att upptäcka sårbarheter bör observationerna verifieras genom att undersöka applikationens funktion och rikta åtgärder mot den. På så sätt kan man säkerställa att sårbarheten är verklig och uppfyller programmets regler. 

Enligt praxis inom branschen har nämnden förbundit sig att publicera observationer om informationssäkerhet inom tre månader från det att de rapporterats till nämnden. De första observationerna publiceras på nämndens webbplats i juli. Anmälarna får också respons på sina observationer. Responsen skickas från adressen hackabi@hackday.today. 

Programmet pågår från och med den 1.4.2026 i ungefär ett halvt år. Programmets längd påverkas till exempel av när den budgeterade summan för arvoden blir uppanvänd. 

Mer information

Matti Lattu, specialsakkunnig, Studentexamensnämnden, matti.lattu@ylioppilastutkinto.fi.  

Programmets regler (hackabi.org)  

Abitti 2 – studentexamens nya provsystem

Installationsanvisningar för Abitti 2-server och examinandapplikation (Abitti.fi)  

Abittis datasäkerhetspolicy (på engelska) (Abitti.fi)