Un tânăr putea schimba notele oricărui elev pe portalul de examene al Indiei

Pentru o bună parte din sesiunea de examene, site-ul pe care se corectează cele mai importante lucrări din India pare să fi avut încredere în aproape oricine știa să i se adreseze corect. Un cercetător de securitate autodidact spune că a reușit să se conecteze la portalul de corectare ca orice examinator, să deschidă panourile unde sunt verificate lucrările, să reseteze parolele altor corectori și să schimbe notele atașate foilor elevilor. Portalul aparține Central Board of Secondary Education, instituția ale cărei rezultate de Clasa a 12-a decid la ce universități pot ajunge milioane de adolescenți indieni.

Aceste note nu sunt o chestiune privată între un elev și un profesor. În India sunt moneda admiterii, iar diferența de un singur punct poate muta un candidat de la o specializare la alta sau îl poate scoate cu totul din universitate. Un sistem care permite unui străin să le modifice în tăcere nu este un defect cosmetic. Atinge corectitudinea examenului însuși, singura parte a procesului în care elevilor li se spune că pot avea încredere.

Cel mai izbitor dintre problemele descrise este de o simplitate aproape jenantă. O parolă principală era scrisă direct în codul pe care browserul fiecărui vizitator îl descarcă pentru a afișa site-ul. Oricine deschidea acel cod și îl citea o putea folosi pentru a trece peste codurile de unică folosință menite să protejeze fiecare cont. În termeni obișnuiți, e ca și cum ai tipări cheia universală pe preș și ai spera că nimeni nu se uită în jos.

Celelalte slăbiciuni o agravează pe prima. Site-ul, spune el, cerea chiar browserului vizitatorului să confirme cine este, în loc să verifice pe serverele sale. La pagini rezervate corectorilor autentificați se ajungea tastând direct adresa lor. O cerere de schimbare a parolei nu impunea cunoașterea celei vechi. Împreună, însemnau că site-ul credea fiecare utilizator pe cuvânt în privința identității, eroarea capitală a securității web, pentru că tot ce rulează într-un browser poate fi rescris de persoana care îl folosește.

Amploarea este cea care face greu de minimalizat constatările. Instituția reunește peste 28.000 de școli din India și altele din străinătate, iar examenele de Clasa a 12-a pe care le administrează sunt susținute în fiecare an de milioane de elevi. Software-ul de corectare a fost dezvoltat de un furnizor extern a cărui platformă este folosită și de alte comisii de examen, astfel încât întrebările ridicate de caz depășesc o singură organizație.

În plus, totul a izbucnit în mijlocul unei perioade de rezultate deja tensionate. Elevii se plângeau public de note care păreau greșite, de lucrări scanate care soseau neclare și de un portal care tot cădea sub încărcare. Pe acest fond, afirmația că același sistem putea fi deschis cu o parolă scoasă din propriul cod a transformat o nemulțumire de mentenanță într-o întrebare despre integritate.

Instituția respinge complet relatarea. În declarații publice, Central Board of Secondary Education a susținut că adresa care circula online nu era adevăratul portal de evaluare și că sistemul folosit pentru corectarea lucrărilor nu fusese nici compromis, nici lăsat vulnerabil. Cercetătorul a răspuns cu copii arhivate ale codului site-ului, o înregistrare de ecran a parolei principale în funcțiune și dovezi că aceeași parolă deschidea mai multe adrese înrudite ale aceleiași platforme, un material greu de împăcat cu ideea unui mediu de testare inofensiv. Nimic din toate acestea nu dovedește că vreun rezultat a fost într-adevăr modificat și nicio notă falsificată nu a fost documentată. Disputa este dacă s-ar fi putut întâmpla și cât timp a rămas ușa deschisă.

Din afară, nu orice afirmație poate fi verificată independent, iar lectura cea mai prudentă tratează relatarea cercetătorului ca pe o acuzație serioasă și bine documentată, nu ca pe un fapt stabilit. Ce nu se pune la îndoială este că constatările tehnice au fost depuse la echipa națională de urgențe informatice a Indiei și că o organizație pentru drepturi digitale a scris de atunci Ministerului Educației și aceleiași agenții, cerând un audit independent al portalului și o evidență clară a celor care au avut acces.

Site-ul este indian, dar lecția nu este. Comisii de examen, autorități de licențiere și servicii publice din aproape orice piață rulează acum pe același tip de aplicații web cu o singură pagină, iar aceeași scurtătură care a provocat necazul aici, a lăsa codul din browser să decidă cine intră, este una la care cedează dezvoltatori de pretutindeni. Detaliul incomod este că defectele descrise nu sunt exotice. Sunt dintre cele pe care o echipă competentă le-ar închide într-o după-amiază, ceea ce face atât de greu de explicat prezența lor într-un sistem național de examene.

Cercetătorul spune că a semnalat problemele pentru prima dată echipei de urgențe informatice a Indiei la sfârșitul lui februarie și că nu a primit un răspuns de substanță vreme de trei luni, o perioadă care a inclus publicarea rezultatelor de Clasa a 12-a din acest an. A publicat relatarea completă pe blogul său pe 22 mai, după ce a concluzionat că avertismentele îi fuseseră ignorate, și a semnalat câteva zile mai târziu o altă vulnerabilitate în baza de date înainte ca portalul să fie scos din funcțiune. Dacă Ministerul Educației va dispune verificarea independentă cerută acum și dacă ceilalți clienți ai furnizorului își vor examina propriile sisteme rămâne partea încă nescrisă a poveștii.