Abitti Open Access

Ilmoitimme keväällä 2021 YTL:lle lukuisista haavoittuvuuksista Abitissa, jotka yhdessä antoivat täyden pääkäyttäjän pääsyn koko koeympäristöön.

Ilmoitimme Ylioppilastutkintolautakunnalle keväällä 2021 lukuisista haavoittuvuuksista Abitti-koejärjestelmästä. Haavoittuvuussarja antoi hyökkääjälle täyden pääsyn koetilan palvelimelle ja jokaiseen siihen yhdistäneeseen kokelaan tietokoneeseen pääkäyttäjänä. Haavoittuvuudet koskettivat kaikkia Suomen lukioita ja sähköisiä ylioppilaskirjoituksia. Alttiina lukemiselle, muokkaamiselle, poistamiselle, ja häiriköinnille olivat muun muassa:

  • Tietokannat
    • Kaikkien kokelaiden henkilötiedot, ml. henkilötunnukset
    • Kokeet
    • Kokelaiden vastaukset
  • Koetilan palvelin
    • Sammuttaminen, häiriköiminen, etäohjaaminen pääkäyttäjänä
  • Kokelaiden tietokoneet
    • Tietokoneen muut levyt, ml. ensisijaisen käyttöjärjestelmän levyosio
    • Sammuttaminen, häiriköiminen, etäohjaaminen pääkäyttäjänä

Mahdollinen tietovuoto olisi voinut olla hyvin vakava ja sisältää suuria määriä kokelaiden arkaluontoistakin dataa. Puhumattakaan vilpin ja koetilanteen häiriköinnin mahdollisuudesta.

Tämä kaikki löydettiin noin kolmen kuukauden tiimityön ja lukuisten Abitin lähdekoodin parissa vietettyjen tuntien ansiosta.

README.md-dokumentaatio GitHub-repositoriolletestausserveri/abittiopenaccess

Abitti Open Access

A severe security vulnerability found in the Abitti exam system.

Folder nsashell includes the exploit code. The last working non-patched Abitti versions are ABITTI2106S and SERVER21066. See our blog article for more details.

The AntiBitti project, Testausserveri