En tonåring kunde ändra vilken elevs betyg som helst i Indiens provportal

Under stora delar av provperioden tycks webbplatsen där Indiens viktigaste prov rättas ha litat på nästan vem som helst som visste hur den skulle tilltalas. En självlärd säkerhetsforskare säger att han kunde logga in i rättningsportalen som vilken examinator som helst, öppna panelerna där svaren granskas, återställa andra rättares lösenord och ändra betygen på elevernas skrivningar. Portalen tillhör Central Board of Secondary Education, myndigheten vars resultat i årskurs 12 avgör vilka universitet miljontals indiska tonåringar får söka till.

De betygen är ingen privatsak mellan en elev och en lärare. I Indien är de antagningens valuta, och en enda poängs skillnad kan flytta en sökande från en utbildning till en annan eller helt ut ur universitetet. Ett system som låter en utomstående ändra dem i tysthet är inget kosmetiskt fel. Det rör själva provets rättvisa, den enda del av processen som eleverna får höra att de kan lita på.

Det mest slående av problemen han beskriver är nästan pinsamt enkelt. Ett huvudlösenord stod skrivet rakt i koden som varje besökares webbläsare laddar ner för att visa sidan. Den som öppnade koden och läste den kunde använda lösenordet för att gå förbi engångskoderna som skulle skydda varje konto. I vardagliga termer är det som att trycka huvudnyckeln på dörrmattan och hoppas att ingen tittar ner.

De övriga bristerna förvärrar den första. Sidan bad, säger han, besökarens egen webbläsare att bekräfta vem hen var i stället för att kontrollera det på sina servrar. Sidor som bara var avsedda för inloggade rättare nåddes genom att skriva in adressen direkt. En begäran om att byta lösenord krävde inte att man kände till det gamla. Tillsammans innebar de att webbplatsen tog varje användare på orden om identiteten, det kardinala felet inom webbsäkerhet, eftersom allt som körs i en webbläsare kan skrivas om av den som använder den.

Det är skalan som gör fynden svåra att avfärda. Myndigheten samlar mer än 28 000 skolor i Indien och fler utomlands, och proven i årskurs 12 som den administrerar skrivs varje år av miljontals elever. Rättningsprogramvaran byggdes av en extern leverantör vars plattform även används av andra provnämnder, vilket gör att frågorna fallet väcker sträcker sig bortom en enda organisation.

Dessutom briserade allt mitt i en redan spänd resultatperiod. Eleverna hade offentligt klagat på betyg som verkade fel, inskannade svar som kom suddiga och en portal som ständigt kraschade under belastning. Mot den bakgrunden förvandlade påståendet att samma system kunde öppnas med ett lösenord hämtat ur dess egen kod ett underhållsklagomål till en fråga om integritet.

Myndigheten avvisar berättelsen helt. I offentliga uttalanden hävdade Central Board of Secondary Education att adressen som cirkulerade på nätet inte var den riktiga bedömningsportalen och att systemet som användes för att rätta svaren varken hade utsatts för intrång eller lämnats sårbart. Forskaren svarade med arkiverade kopior av sidans kod, en skärminspelning av huvudlösenordet i funktion och bevis för att samma lösenord öppnade flera närliggande adresser på samma plattform, material som är svårt att förena med tanken på en ofarlig testmiljö. Inget av det bevisar att något resultat faktiskt ändrades, och inget manipulerat betyg har dokumenterats. Tvisten gäller om det kunde ha skett och hur länge dörren stod öppen.

Utifrån går inte varje påstående att kontrollera oberoende, och den försiktigaste läsningen behandlar forskarens berättelse som en allvarlig och väl underbyggd anklagelse snarare än ett fastställt faktum. Det som inte är ifrågasatt är att de tekniska fynden anmäldes till Indiens nationella incidentberedskap och att en organisation för digitala rättigheter sedan dess skrivit till utbildningsministeriet och samma myndighet och krävt en oberoende granskning av portalen och en tydlig redogörelse för vilka som hade åtkomst.

Sidan är indisk, men lärdomen är det inte. Provnämnder, tillståndsmyndigheter och offentliga tjänster på nästan varje marknad körs i dag på samma sorts ensidiga webbappar, och samma genväg som ställde till det här, att låta koden i webbläsaren avgöra vem som släpps in, är en som utvecklare överallt frestas att ta. Den obekväma detaljen är att bristerna som beskrivs inte är exotiska. De hör till dem ett kompetent team skulle täppa till på en eftermiddag, vilket är just det som gör deras närvaro i ett nationellt provsystem så svår att förklara.

Forskaren säger att han först anmälde problemen till Indiens incidentberedskap i slutet av februari och inte fick något egentligt svar under tre månader, en period som rymde offentliggörandet av årets resultat i årskurs 12. Han publicerade hela redogörelsen på sin blogg den 22 maj, efter att ha dragit slutsatsen att hans varningar ignorerats, och flaggade några dagar senare för ytterligare en sårbarhet i databasen innan portalen togs ur drift. Om utbildningsministeriet beordrar den oberoende granskning som nu krävs, och om leverantörens övriga kunder ser över sina egna system, är den ännu oskrivna delen av historien.