En teenager kunne ændre enhver elevs karakterer i Indiens eksamensportal

I store dele af eksamensperioden ser hjemmesiden, hvor Indiens vigtigste eksamener rettes, ud til at have stolet på næsten enhver, der vidste, hvordan den skulle spørges. En selvlært sikkerhedsforsker siger, at han kunne logge ind på rettelsesportalen som en hvilken som helst censor, åbne panelerne, hvor besvarelser gennemgås, nulstille andre rettenes adgangskoder og ændre karaktererne på elevernes ark. Portalen tilhører Central Board of Secondary Education, myndigheden, hvis resultater i 12. klasse afgør, hvilke universiteter millioner af indiske teenagere kan søge ind på.

De karakterer er ikke en privat sag mellem en elev og en lærer. I Indien er de optagelsens valuta, og en forskel på et enkelt point kan flytte en ansøger fra en uddannelse til en anden eller helt ud af universitetet. Et system, der lader en udefrakommende ændre dem i stilhed, er ikke en kosmetisk fejl. Det rører ved selve eksamenens retfærdighed, den ene del af processen, eleverne får at vide, de kan stole på.

Det mest iøjnefaldende af problemerne, han beskriver, er næsten pinligt enkelt. En hovedadgangskode stod skrevet direkte i den kode, som hver besøgendes browser henter for at vise siden. Enhver, der åbnede koden og læste den, kunne bruge adgangskoden til at gå uden om de engangskoder, der skulle beskytte hver konto. I daglig tale svarer det til at trykke universalnøglen på dørmåtten og håbe, at ingen kigger ned.

De øvrige svagheder forværrer den første. Siden bad, siger han, den besøgendes egen browser om at bekræfte, hvem vedkommende var, i stedet for at tjekke det på sine servere. Sider, der kun var beregnet til loggede rettere, kunne nås ved at skrive adressen direkte. En anmodning om at skifte adgangskode krævede ikke kendskab til den gamle. Tilsammen betød de, at hjemmesiden tog hver bruger på ordet om identiteten, den kardinale fejl i websikkerhed, fordi alt, hvad der kører i en browser, kan skrives om af den, der bruger den.

Det er skalaen, der gør fundene svære at affærdige. Myndigheden samler mere end 28.000 skoler i Indien og flere i udlandet, og de eksamener i 12. klasse, den administrerer, tages hvert år af millioner af elever. Rettelsessoftwaren blev udviklet af en ekstern leverandør, hvis platform også bruges af andre eksamensnævn, så de spørgsmål, sagen rejser, rækker ud over én enkelt organisation.

Dertil brød det hele ud midt i en i forvejen spændt resultatperiode. Eleverne havde offentligt klaget over karakterer, der virkede forkerte, indscannede besvarelser, der kom slørede, og en portal, der gang på gang brød sammen under belastning. På den baggrund forvandlede påstanden om, at samme system kunne åbnes med en adgangskode hentet fra dets egen kode, en vedligeholdelsesklage til et spørgsmål om integritet.

Myndigheden afviser beretningen fuldstændigt. I offentlige udtalelser fastholdt Central Board of Secondary Education, at adressen, der cirkulerede online, ikke var den ægte bedømmelsesportal, og at systemet, der blev brugt til at rette besvarelser, hverken var blevet kompromitteret eller efterladt sårbart. Forskeren svarede med arkiverede kopier af sidens kode, en skærmoptagelse af hovedadgangskoden i brug og beviser for, at samme adgangskode åbnede flere beslægtede adresser på samme platform, materiale, der er svært at forene med tanken om et harmløst testmiljø. Intet af det beviser, at et resultat faktisk blev ændret, og ingen forfalsket karakter er dokumenteret. Striden handler om, hvorvidt det kunne være sket, og hvor længe døren stod åben.

Udefra kan ikke enhver påstand verificeres uafhængigt, og den mest forsigtige læsning behandler forskerens beretning som en alvorlig og velunderbygget anklage snarere end et fastslået faktum. Det, der ikke er til diskussion, er, at de tekniske fund blev indberettet til Indiens nationale it-beredskab, og at en organisation for digitale rettigheder siden har skrevet til undervisningsministeriet og samme myndighed med krav om en uafhængig revision af portalen og en klar redegørelse for, hvem der havde adgang.

Siden er indisk, men lektien er det ikke. Eksamensnævn, licensmyndigheder og offentlige tjenester på næsten ethvert marked kører i dag på samme slags enkeltsides-webapps, og den samme genvej, der voldte besværet her, at lade koden i browseren afgøre, hvem der lukkes ind, er en, udviklere overalt fristes til at tage. Den ubehagelige detalje er, at de beskrevne fejl ikke er eksotiske. De hører til dem, et kompetent team kunne lukke på en eftermiddag, hvilket netop gør deres tilstedeværelse i et nationalt eksamenssystem så svær at forklare.

Forskeren siger, at han først indberettede problemerne til Indiens it-beredskab i slutningen af februar og ikke fik noget reelt svar i tre måneder, en periode, der omfattede offentliggørelsen af dette års resultater i 12. klasse. Han offentliggjorde hele beretningen på sin blog den 22. maj, efter at have konkluderet, at hans advarsler var blevet ignoreret, og gjorde nogle dage senere opmærksom på endnu en sårbarhed i databasen, før portalen blev taget offline. Om undervisningsministeriet vil bestille den uafhængige gennemgang, der nu kræves, og om leverandørens øvrige kunder vil efterse deres egne systemer, er den endnu uskrevne del af historien.