Viime viikolla kerrottiin, kuinka kolme lukiolaista löysi Ylioppilastutkintolautakunnan (YTL) Abitti-järjestelmästä useita tietoturva-aukkoja.

Kahdesta paikatusta haavoittuvuudesta ensimmäinen olisi mahdollistanut murtautumisen koetilassa käytössä olevalla palvelimelle sekä pääsyn kokelaiden tietoihin ja koepisteisiin. Toinen aukko olisi antanut hyökkääjälle pääsyn koneen kiintolevyn dataan ja myös internetiin kokeen aikana.

Jälkimmäinen aukko on herättänyt sosiaalisessa mediassa keskustelua, sillä sen on huomattu muistuttavan vuonna 2013 Hackabi-kilpailussa havaittua haavoittuvuutta. YTL:n ohjelmistojen kehitystyöstä vastaava erityisasiantuntija Matti Lattu kommentoi

, että tänä keväänä nuorten raportoima aukko ja vuonna 2013 raportoitu aukko ovat yksi ja sama haavoittuvuus.

Latun mukaan aukko on ollut vuosien ajan paikattuna, mutta järjestelmäpäivityksen myötä se lipsahti vuoden 2020 lopulla takaisin Abittiin, tietoturvatesteistä huolimatta.

Lattu toteaa HS:lle, että periaatteessa joku olisi voinut hyödyntää kyseistä aukkoa tämän kevään yo-kirjoituksissa. Luultavasti huijari olisi kuitenkin jäänyt nalkkiin.

”Mehän myös valvomme koneiden toimintaa yo-kokeiden aikana, joten jos kevään kokeessa joku kokelas olisi hyödyntänyt aukkoa ja esimerkiksi onnistunut käyttämään oman kovalevynsä tietoja, olisimme todennäköisesti havainneet sen”, Lattu kertoo HS:lle.