Nu letar vi efter sårbarheter i Abitti 2-applikationen – jakten på sårbarheter inleds i april

Studentexamensnämnden ordnar ett buggbelöningsprogram med målet att förbättra datasäkerheten i Abitti 2-examinandapplikationen. Deltagarna ska söka efter sårbarheter i applikationen och i provlokalens server som en examinand kunde utnyttja för svikligt förfarande under studentexamensproven. Programmet Hackabi 4 inleds den 1 april och pågår i cirka sex månader. Observationerna belönas med arvode.

En dator med text Abitti 2-buggbelöningsprogram.

Ur en examinands perspektiv är Abitti 2 en applikation som hen startar i datorns operativsystem. Applikationen låser åtkomsten till resten av datorn och till internet. Examinandapplikationen utvecklas för de vanligaste operativsystemen, men i programmet letar man endast efter sårbarheter i Windows-examinandapplikationen och Linux-examinandpinnen.

Deltagarna ska leta efter sårbarheter i provlokalens server och i examinandapplikationen som kan utnyttjas för svikligt förfarande. För att få arvode ska deltagaren konkret beskriva ett angreppssätt (proof of concept) samt ett sätt att förhindra eller upptäcka utnyttjandet under provsituationen. Allmänna datasäkerhetsbrister som inte hjälper examinanden att förbättra sin framgång i studentexamen omfattas inte av tävlingen. Programmets regler och den mer detaljerade uppgiftsbeskrivningen finns på programmets webbplats på adressen hackabi.org.

Buggbelöningsprogrammet kompletterar nämndens eget datasäkerhetsarbete och är en normal del av systemets utveckling. Enligt branschens praxis har nämnden förbundit sig att offentliggöra upptäckta sårbarheter inom tre månader efter att de rapporterats till nämnden. Praxisen syftar till att uppmuntra välvilliga hackare att meddela utvecklarna om sina observationer så att de inte används för svikligt förfarande.

Programmet ordnas i samarbete med datasäkerhetsbolaget Mint Security Oy, som har arrangerat många buggbelöningsevenemang. Observationerna rapporteras via Mint Securitys rapporteringskanal. Arvode betalas för rapporterade observationer enligt kriterier som nämnden fastställt. För att få arvode krävs att mottagaren har ett finländskt skattekort.

”Jag uppmuntrar alla hackare med vit hatt och särskilt gymnasiestuderande som är intresserade av branschen att delta i programmet. Förutom en liten penningsumma erbjuds deltagarna också ett gott rykte som kan hjälpa dem vidare i sin karriär som hackare”, konstaterar Studentexamensnämndens specialsakkunnig och produktägare för Abitti Matti Lattu.

Programmet pågår från och med den 1.4.2026 i ungefär ett halvt år. Programmets längd påverkas till exempel av när den budgeterade summan för arvoden blir uppanvänd.

Mer infomation

Matti Lattu, specialsakkunnig, Studentexamensnämnden, matti.lattu@ylioppilastutkinto.fi.

Programmets regler (hackabi.org)

Abitti 2 – studentexamens nya provsystem

Installationsanvisningar för Abitti 2-server och examinandapplikation (Abitti.fi)

Abittis datasäkerhetspolicy (på engelska) (Abitti.fi)