Ein Jugendlicher konnte im Prüfungsportal Indiens die Noten jedes Schülers ändern

Über weite Teile der Prüfungssaison hat die Website, auf der Indiens wichtigste Prüfungen bewertet werden, offenbar fast jedem vertraut, der sie auf die richtige Weise fragte. Ein autodidaktischer Sicherheitsforscher sagt, er habe sich im Bewertungsportal als beliebiger Prüfer anmelden, die Oberflächen öffnen können, auf denen Klausuren begutachtet werden, die Passwörter anderer Korrektoren zurücksetzen und die Noten auf den Bögen der Schüler ändern können. Das Portal gehört zum Central Board of Secondary Education, der Behörde, deren Ergebnisse der Klasse 12 darüber entscheiden, welche Universitäten Millionen indischer Jugendlicher besuchen dürfen.

Diese Noten sind keine Privatsache zwischen Schüler und Lehrer. In Indien sind sie die Währung der Zulassung, und ein einziger Punkt Unterschied kann einen Bewerber von einem Studiengang in einen anderen verschieben oder ganz aus der Universität drängen. Ein System, das einem Außenstehenden erlaubt, sie unbemerkt zu bearbeiten, ist kein kosmetischer Fehler. Es berührt die Fairness der Prüfung selbst, jenen einen Teil des Verfahrens, dem die Schüler vertrauen sollen.

Das auffälligste der beschriebenen Probleme ist von fast beschämender Einfachheit. Ein Master-Passwort stand direkt im Code, den der Browser jedes Besuchers herunterlädt, um die Seite anzuzeigen. Wer diesen Code öffnete und las, konnte mit dem Passwort an den Einmalcodes vorbeigehen, die jedes Konto schützen sollten. Im Alltagsvergleich ist es, als drucke man den Generalschlüssel auf die Fußmatte und hoffe, dass niemand nach unten blickt.

Empfohlene LektüreEine vergiftete VS-Code-Erweiterung stahl 3.800 interne GitHub-Repositories

Die weiteren Schwachstellen verschärfen die erste. Die Seite, sagt er, bat den Browser des Besuchers selbst darum, dessen Identität zu bestätigen, statt sie auf ihren Servern zu prüfen. Seiten, die nur angemeldeten Korrektoren vorbehalten waren, ließen sich durch direkte Eingabe ihrer Adresse erreichen. Eine Passwortänderung verlangte nicht, das alte Passwort zu kennen. Zusammen bedeuteten sie, dass die Website jedem Nutzer seine Identität einfach glaubte, der Kardinalfehler der Web-Sicherheit, denn alles, was im Browser läuft, kann von der Person umgeschrieben werden, die ihn bedient.

Die Größenordnung macht die Funde schwer abzutun. Die Behörde umfasst mehr als 28.000 Schulen in Indien und weitere im Ausland, und die Prüfungen der Klasse 12, die sie verwaltet, legen jedes Jahr Millionen Schüler ab. Die Bewertungssoftware stammt von einem externen Auftragnehmer, dessen Plattform auch andere Prüfungsbehörden nutzen, sodass die Fragen des Falls über eine einzelne Organisation hinausreichen.

Hinzu kommt, dass alles mitten in eine ohnehin angespannte Ergebnisphase fiel. Schüler hatten sich öffentlich über Noten beschwert, die falsch wirkten, über unscharf eingescannte Antwortbögen und über ein Portal, das unter Last immer wieder zusammenbrach. Vor diesem Hintergrund machte die Behauptung, dasselbe System lasse sich mit einem aus seinem eigenen Code gezogenen Passwort öffnen, aus einem Wartungsärgernis eine Frage der Integrität.

Die Behörde weist die Darstellung vollständig zurück. In öffentlichen Stellungnahmen erklärte das Central Board of Secondary Education, die im Netz kursierende Adresse sei nicht das echte Bewertungsportal, und das zur Korrektur der Bögen genutzte System sei weder kompromittiert noch verwundbar gewesen. Der Forscher antwortete mit archivierten Kopien des Seitencodes, einer Bildschirmaufnahme des funktionierenden Master-Passworts und Belegen, dass dasselbe Passwort mehrere verwandte Adressen derselben Plattform öffnete, Material, das sich schwer mit der Idee einer harmlosen Testumgebung vereinbaren lässt. Nichts davon beweist, dass tatsächlich ein Ergebnis verändert wurde, und keine manipulierte Note ist belegt. Der Streit dreht sich darum, ob es hätte geschehen können und wie lange die Tür offenstand.

Von außen lässt sich nicht jede Behauptung unabhängig prüfen, und die vorsichtigste Lesart behandelt die Schilderung des Forschers als ernste, gut belegte Anschuldigung und nicht als feststehende Tatsache. Unstrittig ist, dass die technischen Funde beim nationalen Computer-Notfallteam Indiens gemeldet wurden und dass eine Organisation für digitale Rechte seither das Bildungsministerium und ebenjene Behörde angeschrieben hat, um eine unabhängige Prüfung des Portals und eine klare Auskunft darüber zu verlangen, wer Zugriff hatte.

Die Seite ist indisch, die Lehre ist es nicht. Prüfungsbehörden, Zulassungsstellen und öffentliche Dienste in nahezu jedem Markt laufen inzwischen auf derselben Art von Single-Page-Webanwendungen, und dieselbe Abkürzung, die hier den Schaden anrichtete, den Code im Browser entscheiden zu lassen, wer hinein darf, ist eine, zu der Entwickler überall neigen. Das Unangenehme daran ist, dass die beschriebenen Fehler nicht exotisch sind. Es sind solche, die ein kompetentes Team an einem Nachmittag schließen würde, was ihr Auftauchen in einem nationalen Prüfungssystem so schwer erklärbar macht.

Der Forscher sagt, er habe die Probleme Ende Februar erstmals dem Computer-Notfallteam Indiens gemeldet und drei Monate lang keine substanzielle Antwort erhalten, ein Zeitraum, der die Veröffentlichung der diesjährigen Ergebnisse der Klasse 12 umfasste. Den vollständigen Bericht stellte er am 22. Mai in sein Blog, nachdem er zu dem Schluss gekommen war, seine Warnungen seien ignoriert worden, und meldete Tage später eine weitere Datenbank-Schwachstelle, bevor das Portal vom Netz genommen wurde. Ob das Bildungsministerium die nun geforderte unabhängige Überprüfung anordnet und ob die übrigen Kunden des Anbieters ihre eigenen Systeme prüfen, ist der noch ungeschriebene Teil der Geschichte.

Mehr davon

Ein Scan von 380.000 mit KI gebauten Apps findet Tausende ohne jede Authentifizierung

Angeblicher OnlyFans-Leak: 340 Millionen Datensätze, aber kein Hack

Ein Login-Fehler ließ 70 Millionen cPanel-Webseiten für jedermann offen stehen

Wie sich Schadcode über die Lieferkette in vertrauenswürdige Software einschleicht

GlassWorm nistete ein Jahr in VS-Code-Erweiterungen, bevor er abgeschaltet wurde

Megalodon machte GitHub Actions zur Hintertür für 5.561 Repositorys