En tenåring kunne endre karakterene til hvilken som helst elev i Indias eksamensportal

Store deler av eksamensperioden ser nettstedet der Indias viktigste eksamener rettes, ut til å ha stolt på nesten hvem som helst som visste hvordan det skulle spørres. En selvlært sikkerhetsforsker sier at han kunne logge inn på retteportalen som hvilken som helst sensor, åpne panelene der besvarelser gjennomgås, tilbakestille passordene til andre rettere og endre karakterene knyttet til elevenes ark. Portalen tilhører Central Board of Secondary Education, myndigheten hvis resultater i 12. klasse avgjør hvilke universiteter millioner av indiske tenåringer kan søke seg til.

De karakterene er ikke en privatsak mellom en elev og en lærer. I India er de opptakets valuta, og en forskjell på ett eneste poeng kan flytte en søker fra ett studium til et annet eller helt ut av universitetet. Et system som lar en utenforstående endre dem i det stille, er ingen kosmetisk feil. Det berører selve rettferdigheten i eksamen, den ene delen av prosessen elevene får høre at de kan stole på.

Det mest påfallende av problemene han beskriver, er nesten pinlig enkelt. Et hovedpassord sto skrevet rett i koden som hver besøkendes nettleser laster ned for å vise siden. Den som åpnet koden og leste den, kunne bruke passordet til å gå forbi engangskodene som skulle beskytte hver konto. I dagligtale tilsvarer det å trykke hovednøkkelen på dørmatta og håpe at ingen ser ned.

Anbefalt lesningFarvel til silisium: Kina avslører ‘LightGen’ – lysprosessoren som utfordrer Nvidia og bryter varmemuren

De øvrige svakhetene forverrer den første. Siden ba, sier han, den besøkendes egen nettleser om å bekrefte hvem vedkommende var, i stedet for å sjekke det på sine servere. Sider som bare var ment for innloggede rettere, kunne nås ved å skrive inn adressen direkte. En forespørsel om å bytte passord krevde ikke kjennskap til det gamle. Til sammen betydde de at nettstedet tok hver bruker på ordet om identiteten, den kardinale feilen i nettsikkerhet, fordi alt som kjører i en nettleser, kan skrives om av den som bruker den.

Det er skalaen som gjør funnene vanskelige å avfeie. Myndigheten samler mer enn 28 000 skoler i India og flere i utlandet, og eksamenene i 12. klasse den administrerer, tas hvert år av millioner av elever. Retteprogramvaren ble bygget av en ekstern leverandør hvis plattform også brukes av andre eksamensnemnder, slik at spørsmålene saken reiser, strekker seg utover én enkelt organisasjon.

I tillegg brøt alt ut midt i en allerede anspent resultatperiode. Elevene hadde offentlig klaget på karakterer som virket gale, innskannede besvarelser som kom uskarpe, og en portal som stadig brøt sammen under belastning. Mot den bakgrunnen forvandlet påstanden om at samme system kunne åpnes med et passord hentet fra dets egen kode, en vedlikeholdsklage til et spørsmål om integritet.

Myndigheten avviser beretningen fullstendig. I offentlige uttalelser fastholdt Central Board of Secondary Education at adressen som sirkulerte på nett, ikke var den ekte vurderingsportalen, og at systemet som ble brukt til å rette besvarelser, verken var blitt kompromittert eller etterlatt sårbart. Forskeren svarte med arkiverte kopier av sidens kode, et skjermopptak av hovedpassordet i bruk og bevis for at samme passord åpnet flere beslektede adresser på samme plattform, materiale som er vanskelig å forene med tanken om et harmløst testmiljø. Ingenting av det beviser at et resultat faktisk ble endret, og ingen forfalsket karakter er dokumentert. Striden gjelder om det kunne ha skjedd, og hvor lenge døren sto åpen.

Utenfra lar ikke enhver påstand seg verifisere uavhengig, og den mest forsiktige lesningen behandler forskerens beretning som en alvorlig og godt underbygd anklage snarere enn et fastslått faktum. Det som ikke er omstridt, er at de tekniske funnene ble meldt til Indias nasjonale it-beredskap, og at en organisasjon for digitale rettigheter siden har skrevet til utdanningsdepartementet og samme myndighet med krav om en uavhengig gjennomgang av portalen og en klar redegjørelse for hvem som hadde tilgang.

Siden er indisk, men lærdommen er det ikke. Eksamensnemnder, lisensmyndigheter og offentlige tjenester i nesten alle markeder kjører i dag på samme slags enkeltsides nettapper, og den samme snarveien som skapte trøbbelet her, å la koden i nettleseren avgjøre hvem som slippes inn, er en utviklere overalt fristes til å ta. Den ubehagelige detaljen er at feilene som beskrives, ikke er eksotiske. De hører til dem et kompetent team kunne tette på en ettermiddag, noe som nettopp gjør det så vanskelig å forklare at de fantes i et nasjonalt eksamenssystem.

Forskeren sier at han først meldte problemene til Indias it-beredskap i slutten av februar og ikke fikk noe vesentlig svar på tre måneder, en periode som omfattet offentliggjøringen av årets resultater i 12. klasse. Han publiserte hele beretningen på bloggen sin 22. mai, etter å ha konkludert med at advarslene hans var blitt ignorert, og gjorde noen dager senere oppmerksom på enda en sårbarhet i databasen før portalen ble tatt offline. Om utdanningsdepartementet vil bestille den uavhengige gjennomgangen som nå kreves, og om leverandørens øvrige kunder vil se over sine egne systemer, er den ennå uskrevne delen av historien.

Mer som dette

Pixel Maniacs og PM Studios annonserer det fargebaserte hjernetrimspillet ChromaGun 2: Dye Hard

Bloomberg plasserer Alibaba i enden av Nvidias 2,5-milliarder-dollar-rørledning gjennom Thailand

xAIs 99-dollars Grok Build CLI går rett på Claude Code i terminalen din

Apple godkjenner TinyGPU — Mac Mini klar for store AI-modeller

GPT-5.5 har akkurat landet på AWS og avslutter Microsofts syvårige grep om OpenAI

Megalodon gjorde GitHub Actions om til en bakdør i 5 561 repoer