Nastolatek mógł zmienić oceny dowolnego ucznia w indyjskim portalu egzaminacyjnym

Przez dużą część sesji egzaminacyjnej witryna, na której ocenia się najważniejsze egzaminy w Indiach, najwyraźniej ufała niemal każdemu, kto potrafił poprosić ją we właściwy sposób. Samouk zajmujący się bezpieczeństwem twierdzi, że zdołał zalogować się do portalu oceniania jako dowolny egzaminator, otworzyć panele, na których sprawdza się prace, zresetować hasła innych sprawdzających i zmienić oceny przypisane do arkuszy uczniów. Portal należy do Central Board of Secondary Education, instytucji, której wyniki klasy 12 decydują o tym, na jakie uczelnie mogą trafić miliony indyjskich nastolatków.

Te oceny nie są prywatną sprawą między uczniem a nauczycielem. W Indiach są walutą rekrutacji, a różnica jednego punktu może przesunąć kandydata z jednego kierunku na inny albo wyrzucić go z uczelni w ogóle. System, który pozwala obcej osobie po cichu je edytować, nie jest kosmetyczną usterką. Dotyka uczciwości samego egzaminu, jedynej części procesu, co do której uczniom mówi się, że mogą jej zaufać.

Najbardziej uderzający z opisanych problemów jest niemal żenująco prosty. Hasło główne było zapisane wprost w kodzie, który przeglądarka każdego odwiedzającego pobiera, by wyświetlić stronę. Każdy, kto otworzył ten kod i go przeczytał, mógł użyć hasła, by ominąć jednorazowe kody mające chronić każde konto. Mówiąc zwyczajnie, to tak, jakby wydrukować klucz uniwersalny na wycieraczce i liczyć, że nikt nie spojrzy pod nogi.

Pozostałe słabości pogłębiają pierwszą. Strona, jak mówi, prosiła samą przeglądarkę odwiedzającego o potwierdzenie tożsamości, zamiast sprawdzać to na swoich serwerach. Do stron przeznaczonych tylko dla zalogowanych sprawdzających dało się dotrzeć, wpisując wprost ich adres. Prośba o zmianę hasła nie wymagała znajomości starego. Razem oznaczały, że witryna wierzyła każdemu użytkownikowi na słowo co do jego tożsamości, czyli popełniała kardynalny błąd bezpieczeństwa w sieci, bo wszystko, co działa w przeglądarce, może przepisać osoba, która jej używa.

To skala sprawia, że trudno zbagatelizować te ustalenia. Instytucja zrzesza ponad 28 000 szkół w Indiach i kolejne za granicą, a egzaminy klasy 12, które przeprowadza, zdają co roku miliony uczniów. Oprogramowanie do oceniania stworzył zewnętrzny wykonawca, którego platformy używają także inne komisje egzaminacyjne, więc pytania, jakie stawia sprawa, wykraczają poza jedną organizację.

Do tego wszystko wybuchło w środku i tak napiętego okresu wyników. Uczniowie publicznie skarżyli się na oceny, które wyglądały na błędne, na skany prac docierające rozmazane i na portal, który raz po raz padał pod obciążeniem. Na tym tle twierdzenie, że ten sam system można otworzyć hasłem wyjętym z jego własnego kodu, zamieniło zażalenie na utrzymanie strony w pytanie o uczciwość.

Instytucja w całości odrzuca tę relację. W publicznych oświadczeniach Central Board of Secondary Education utrzymywał, że adres krążący w sieci nie był prawdziwym portalem oceniania i że system używany do sprawdzania prac nie został ani naruszony, ani pozostawiony podatny. Badacz odpowiedział zarchiwizowanymi kopiami kodu strony, nagraniem ekranu z działającym hasłem głównym oraz dowodami, że to samo hasło otwierało kilka powiązanych adresów tej samej platformy, materiałem trudnym do pogodzenia z ideą nieszkodliwego środowiska testowego. Nic z tego nie dowodzi, że jakikolwiek wynik rzeczywiście zmieniono, i nie udokumentowano żadnej sfałszowanej oceny. Spór dotyczy tego, czy było to możliwe i jak długo drzwi pozostawały otwarte.

Z zewnątrz nie każde twierdzenie da się zweryfikować niezależnie, a najostrożniejsza lektura traktuje relację badacza jako poważne i dobrze udokumentowane oskarżenie, a nie jako ustalony fakt. Nie ulega wątpliwości, że ustalenia techniczne zgłoszono krajowemu zespołowi reagowania na incydenty komputerowe w Indiach i że organizacja zajmująca się prawami cyfrowymi napisała od tego czasu do Ministerstwa Edukacji oraz do tej samej agencji, domagając się niezależnego audytu portalu i jasnego wyjaśnienia, kto miał do niego dostęp.

Witryna jest indyjska, lecz nauka z niej już nie. Komisje egzaminacyjne, urzędy wydające licencje i usługi publiczne w niemal każdym kraju działają dziś na tym samym typie jednostronicowych aplikacji internetowych, a ten sam skrót, który tutaj narobił szkód, pozwolenie, by to kod w przeglądarce decydował, kto wejdzie, jest pokusą dla programistów wszędzie. Niewygodny szczegół jest taki, że opisane luki nie są egzotyczne. Należą do tych, które kompetentny zespół zamknąłby w jedno popołudnie, co właśnie czyni ich obecność w krajowym systemie egzaminacyjnym tak trudną do wyjaśnienia.

Badacz mówi, że po raz pierwszy zgłosił problemy krajowemu zespołowi reagowania na incydenty komputerowe w Indiach pod koniec lutego i przez trzy miesiące nie otrzymał rzeczowej odpowiedzi, a był to okres obejmujący ogłoszenie tegorocznych wyników klasy 12. Pełną relację opublikował na swoim blogu 22 maja, doszedłszy do wniosku, że jego ostrzeżenia zignorowano, a kilka dni później wskazał kolejną lukę w bazie danych, zanim portal wyłączono. Czy Ministerstwo Edukacji zarządzi żądaną teraz niezależną kontrolę i czy pozostali klienci wykonawcy sprawdzą własne systemy, to wciąż nienapisana część tej historii.