MCM
  • Fernsehen
  • Kino
  • Technologie
  • Musik
  • Wissenschaft
  • Wirtschaft und Finanzen
  • Fußball-WM 2026
    • Nachrichten
    • Gruppen
    • Spielplan
    • Mannschaften
    • Statistiken
    • Stadien
  • Kunst
  • Mehr
    • Menschen
    • Theater
    • Bücher
    • Weltweite Nachrichten
    • Stil
    • Geschichte
    • Gesundheit
    • Sport
  • Deutsch
    • English
    • Español
    • Deutsch
    • Français
    • Dansk
    • हिन्दी
    • Italiano
    • 日本語
    • 한국어
    • Norsk bokmål
    • Polski
    • Português (PT)
    • Português (BR)
    • Română
    • Русский
    • Svenska
    • Türkçe
    • Tiếng Việt
    • 简体中文
    • 繁體中文
    • Español (Latinoamérica)
MCM
  • Fernsehen
  • Kino
  • Technologie
  • Musik
  • Wissenschaft
  • Wirtschaft und Finanzen
  • Fußball-WM 2026
    • Nachrichten
    • Gruppen
    • Spielplan
    • Mannschaften
    • Statistiken
    • Stadien
  • Kunst
  • Mehr
    • Menschen
    • Theater
    • Bücher
    • Weltweite Nachrichten
    • Stil
    • Geschichte
    • Gesundheit
    • Sport
  • Deutsch
    • English
    • Español
    • Deutsch
    • Français
    • Dansk
    • हिन्दी
    • Italiano
    • 日本語
    • 한국어
    • Norsk bokmål
    • Polski
    • Português (PT)
    • Português (BR)
    • Română
    • Русский
    • Svenska
    • Türkçe
    • Tiếng Việt
    • 简体中文
    • 繁體中文
    • Español (Latinoamérica)

Drücken Sie die Eingabetaste zum Suchen

Cybersicherheit

Ein Jugendlicher konnte im Prüfungsportal Indiens die Noten jedes Schülers ändern

Ein Jugendlicher konnte im Prüfungsportal Indiens die Noten jedes Schülers ändern
Photo: Yann / Wikimedia Commons (CC BY-SA 4.0)
Susan Hill
Von Susan Hill
31.05.2026 · 4 Min. Lesezeit

Über weite Teile der Prüfungssaison hat die Website, auf der Indiens wichtigste Prüfungen bewertet werden, offenbar fast jedem vertraut, der sie auf die richtige Weise fragte. Ein autodidaktischer Sicherheitsforscher sagt, er habe sich im Bewertungsportal als beliebiger Prüfer anmelden, die Oberflächen öffnen können, auf denen Klausuren begutachtet werden, die Passwörter anderer Korrektoren zurücksetzen und die Noten auf den Bögen der Schüler ändern können. Das Portal gehört zum Central Board of Secondary Education, der Behörde, deren Ergebnisse der Klasse 12 darüber entscheiden, welche Universitäten Millionen indischer Jugendlicher besuchen dürfen.

Diese Noten sind keine Privatsache zwischen Schüler und Lehrer. In Indien sind sie die Währung der Zulassung, und ein einziger Punkt Unterschied kann einen Bewerber von einem Studiengang in einen anderen verschieben oder ganz aus der Universität drängen. Ein System, das einem Außenstehenden erlaubt, sie unbemerkt zu bearbeiten, ist kein kosmetischer Fehler. Es berührt die Fairness der Prüfung selbst, jenen einen Teil des Verfahrens, dem die Schüler vertrauen sollen.

Das auffälligste der beschriebenen Probleme ist von fast beschämender Einfachheit. Ein Master-Passwort stand direkt im Code, den der Browser jedes Besuchers herunterlädt, um die Seite anzuzeigen. Wer diesen Code öffnete und las, konnte mit dem Passwort an den Einmalcodes vorbeigehen, die jedes Konto schützen sollten. Im Alltagsvergleich ist es, als drucke man den Generalschlüssel auf die Fußmatte und hoffe, dass niemand nach unten blickt.

LeseempfehlungEin Login-Fehler ließ 70 Millionen cPanel-Webseiten für jedermann offen stehen
Ein Login-Fehler ließ 70 Millionen cPanel-Webseiten für jedermann offen stehen

Die weiteren Schwachstellen verschärfen die erste. Die Seite, sagt er, bat den Browser des Besuchers selbst darum, dessen Identität zu bestätigen, statt sie auf ihren Servern zu prüfen. Seiten, die nur angemeldeten Korrektoren vorbehalten waren, ließen sich durch direkte Eingabe ihrer Adresse erreichen. Eine Passwortänderung verlangte nicht, das alte Passwort zu kennen. Zusammen bedeuteten sie, dass die Website jedem Nutzer seine Identität einfach glaubte, der Kardinalfehler der Web-Sicherheit, denn alles, was im Browser läuft, kann von der Person umgeschrieben werden, die ihn bedient.

Die Größenordnung macht die Funde schwer abzutun. Die Behörde umfasst mehr als 28.000 Schulen in Indien und weitere im Ausland, und die Prüfungen der Klasse 12, die sie verwaltet, legen jedes Jahr Millionen Schüler ab. Die Bewertungssoftware stammt von einem externen Auftragnehmer, dessen Plattform auch andere Prüfungsbehörden nutzen, sodass die Fragen des Falls über eine einzelne Organisation hinausreichen.

Hinzu kommt, dass alles mitten in eine ohnehin angespannte Ergebnisphase fiel. Schüler hatten sich öffentlich über Noten beschwert, die falsch wirkten, über unscharf eingescannte Antwortbögen und über ein Portal, das unter Last immer wieder zusammenbrach. Vor diesem Hintergrund machte die Behauptung, dasselbe System lasse sich mit einem aus seinem eigenen Code gezogenen Passwort öffnen, aus einem Wartungsärgernis eine Frage der Integrität.

Die Behörde weist die Darstellung vollständig zurück. In öffentlichen Stellungnahmen erklärte das Central Board of Secondary Education, die im Netz kursierende Adresse sei nicht das echte Bewertungsportal, und das zur Korrektur der Bögen genutzte System sei weder kompromittiert noch verwundbar gewesen. Der Forscher antwortete mit archivierten Kopien des Seitencodes, einer Bildschirmaufnahme des funktionierenden Master-Passworts und Belegen, dass dasselbe Passwort mehrere verwandte Adressen derselben Plattform öffnete, Material, das sich schwer mit der Idee einer harmlosen Testumgebung vereinbaren lässt. Nichts davon beweist, dass tatsächlich ein Ergebnis verändert wurde, und keine manipulierte Note ist belegt. Der Streit dreht sich darum, ob es hätte geschehen können und wie lange die Tür offenstand.

Von außen lässt sich nicht jede Behauptung unabhängig prüfen, und die vorsichtigste Lesart behandelt die Schilderung des Forschers als ernste, gut belegte Anschuldigung und nicht als feststehende Tatsache. Unstrittig ist, dass die technischen Funde beim nationalen Computer-Notfallteam Indiens gemeldet wurden und dass eine Organisation für digitale Rechte seither das Bildungsministerium und ebenjene Behörde angeschrieben hat, um eine unabhängige Prüfung des Portals und eine klare Auskunft darüber zu verlangen, wer Zugriff hatte.

Die Seite ist indisch, die Lehre ist es nicht. Prüfungsbehörden, Zulassungsstellen und öffentliche Dienste in nahezu jedem Markt laufen inzwischen auf derselben Art von Single-Page-Webanwendungen, und dieselbe Abkürzung, die hier den Schaden anrichtete, den Code im Browser entscheiden zu lassen, wer hinein darf, ist eine, zu der Entwickler überall neigen. Das Unangenehme daran ist, dass die beschriebenen Fehler nicht exotisch sind. Es sind solche, die ein kompetentes Team an einem Nachmittag schließen würde, was ihr Auftauchen in einem nationalen Prüfungssystem so schwer erklärbar macht.

Der Forscher sagt, er habe die Probleme Ende Februar erstmals dem Computer-Notfallteam Indiens gemeldet und drei Monate lang keine substanzielle Antwort erhalten, ein Zeitraum, der die Veröffentlichung der diesjährigen Ergebnisse der Klasse 12 umfasste. Den vollständigen Bericht stellte er am 22. Mai in sein Blog, nachdem er zu dem Schluss gekommen war, seine Warnungen seien ignoriert worden, und meldete Tage später eine weitere Datenbank-Schwachstelle, bevor das Portal vom Netz genommen wurde. Ob das Bildungsministerium die nun geforderte unabhängige Überprüfung anordnet und ob die übrigen Kunden des Anbieters ihre eigenen Systeme prüfen, ist der noch ungeschriebene Teil der Geschichte.

Schlagwörter: Cybersicherheit, tech-en1, Account-Übernahme, CBSE, CERT-In, Nisarga Adhikary

Diesen Beitrag teilen

Ähnliche Beiträge

„Kota Factory- Staffel 3: Das indische Schülerleben endet mit der großen Prüfung“

„Kota Factory- Staffel 3: Das indische Schülerleben endet mit der großen Prüfung“

Immer mehr Menschen schalten KI-Schreibhilfen bewusst ab

Immer mehr Menschen schalten KI-Schreibhilfen bewusst ab

Wenn der Algorithmus die Physik prüft: der stille Vertrauensverlust des Peer-Review

Wenn der Algorithmus die Physik prüft: der stille Vertrauensverlust des Peer-Review

Gemini verwandelt deine Lehrbücher und Notizen in einen personalisierten KI-Lernplan

Gemini verwandelt deine Lehrbücher und Notizen in einen personalisierten KI-Lernplan

Anthropics Claude Fable 5 ist da, mit angezogener Handbremse

Anthropics Claude Fable 5 ist da, mit angezogener Handbremse

Schadcode steckte in Red Hats eigenen npm-Paketen und verbreitete sich von selbst

Schadcode steckte in Red Hats eigenen npm-Paketen und verbreitete sich von selbst

Diskussion

Es gibt 0 Kommentare.

Meistgelesen

  • 1
    Movies Nothing to Lose on Netflix: how far a mother goes when no donor matches her son
  • 2
    Kino Sally Hawkins macht in Bring Her Back die Güte einer Pflegemutter zur Bedrohung
  • 3
    Fernsehen Sommer ’36 bei Netflix: ein Mord an der Riviera im Sommer der ersten bezahlten Ferien Frankreichs
  • 4
    Tech Products Google Pixel 11 Pro: higher price, thinner upgrade, and AI the base model can’t fully run
  • 5
    Gaming Valve’s Steam Frame Makes Its Case on Compatibility, Not Hardware

Unternehmen

  • Über Martin Cid Magazine
  • Pressemappe
  • Teammitglieder
  • Werbung
  • Stellenangebote
  • Kontakt

Ethik

  • Redaktionelle Grundsätze
  • Ethik-Erklärung
  • Diversitätsrichtlinie
  • Korrekturrichtlinie
  • Feedback-Richtlinie
  • Vielfalt im Team

Abonnieren Sie unseren Newsletter

Erhalten Sie die neuesten Updates direkt in Ihrem Posteingang.

▶ Web Stories
  • Bedingungen und Konditionen
  • Rechtliche Hinweise (Impressum)
  • Cookie-Richtlinie
  • Datenschutzerklärung
  • Copyrights
© 2026 Martin Cid Magazine®. Alle Rechte vorbehalten.