Cybersicurezza

Un ragazzo poteva cambiare i voti di qualunque studente sul portale d’esame dell’India

Un ragazzo poteva cambiare i voti di qualunque studente sul portale d’esame dell’India
Photo: Yann / Wikimedia Commons (CC BY-SA 4.0)
Susan Hill
Di
4 min di lettura

Per buona parte della stagione degli esami, il sito su cui vengono corrette le prove più importanti dell’India sembra essersi fidato di quasi chiunque sapesse chiederglielo nel modo giusto. Un ricercatore di sicurezza autodidatta afferma di essere riuscito a entrare nel portale di correzione come un qualsiasi esaminatore, ad aprire i pannelli in cui si rivedono i compiti, a reimpostare le password di altri correttori e a cambiare i voti associati ai fogli degli studenti. Il portale appartiene al Central Board of Secondary Education, l’ente i cui risultati della Classe 12 decidono a quali università possono accedere milioni di adolescenti indiani.

Quei voti non sono una faccenda privata tra uno studente e un insegnante. In India sono la moneta dell’ammissione, e la differenza di un solo punto può spostare un candidato da un corso a un altro o escluderlo del tutto dall’università. Un sistema che permette a un estraneo di modificarli in silenzio non è un difetto cosmetico. Tocca l’equità dell’esame stesso, l’unica parte del processo di cui agli studenti viene detto che possono fidarsi.

Il più clamoroso dei problemi descritti è di una semplicità quasi imbarazzante. Una password principale era scritta direttamente nel codice che il browser di ogni visitatore scarica per mostrare il sito. Chiunque aprisse quel codice e lo leggesse poteva usarla per scavalcare i codici monouso pensati per proteggere ogni account. In termini comuni, equivale a stampare la chiave universale sullo zerbino e sperare che nessuno guardi a terra.

Sempre più persone disattivano l’IA per scrivere da sole

Le altre debolezze aggravano la prima. Il sito, dice, chiedeva al browser stesso del visitatore di confermare chi fosse anziché verificarlo sui propri server. A pagine riservate ai correttori con sessione aperta si arrivava digitandone direttamente l’indirizzo. Una richiesta di cambio password non esigeva di conoscere quella vecchia. Nell’insieme, significavano che il sito credeva a ogni utente sulla parola riguardo alla propria identità, l’errore cardinale della sicurezza web, perché tutto ciò che gira dentro un browser può essere riscritto dalla persona che lo usa.

È la scala a rendere difficile sminuire i risultati. L’ente raccoglie più di 28.000 scuole in India e altre all’estero, e gli esami di Classe 12 che amministra sono sostenuti ogni anno da milioni di studenti. Il software di correzione è stato sviluppato da un fornitore esterno la cui piattaforma è usata anche da altri enti d’esame, sicché le domande sollevate dal caso superano una singola organizzazione.

Inoltre tutto è scoppiato nel mezzo di un periodo di risultati già teso. Gli studenti si lamentavano in pubblico di voti che sembravano sbagliati, di compiti scansionati arrivati sfocati e di un portale che continuava a crollare sotto carico. In quel contesto, l’affermazione che lo stesso sistema potesse essere aperto con una password estratta dal suo stesso codice ha trasformato una lamentela di manutenzione in una questione di integrità.

L’ente respinge del tutto il racconto. In dichiarazioni pubbliche, il Central Board of Secondary Education ha sostenuto che l’indirizzo circolato in rete non era il vero portale di valutazione e che il sistema usato per correggere i compiti non era stato né compromesso né lasciato vulnerabile. Il ricercatore ha risposto con copie archiviate del codice del sito, una registrazione dello schermo con la password principale in funzione e prove che la stessa password apriva diversi indirizzi collegati della stessa piattaforma, materiale difficile da conciliare con l’idea di un innocuo ambiente di prova. Nulla di ciò dimostra che un risultato sia stato davvero alterato, e non è stato documentato alcun voto manomesso. La disputa riguarda se ciò sarebbe potuto accadere e per quanto tempo la porta sia rimasta aperta.

Dall’esterno non tutte le affermazioni possono essere verificate in modo indipendente, e la lettura più prudente tratta il racconto del ricercatore come una denuncia seria e ben documentata più che come un fatto acquisito. Ciò che non è in discussione è che i risultati tecnici sono stati depositati presso la squadra nazionale per le emergenze informatiche dell’India e che un’organizzazione per i diritti digitali ha da allora scritto al Ministero dell’Istruzione e a quella stessa agenzia per chiedere un audit indipendente del portale e un quadro chiaro di chi avesse accesso.

Il sito è indiano, ma la lezione non lo è. Enti d’esame, autorità di rilascio delle licenze e servizi pubblici in quasi ogni mercato girano ormai sullo stesso tipo di applicazioni web a pagina singola, e la stessa scorciatoia che qui ha causato il guaio, lasciare che sia il codice del browser a decidere chi può entrare, è una a cui cedono sviluppatori ovunque. Il dettaglio scomodo è che le falle descritte non sono esotiche. Sono di quelle che una squadra competente chiuderebbe in un pomeriggio, ed è proprio questo a rendere così difficile spiegarne la presenza in un sistema d’esame nazionale.

Il ricercatore dice di aver segnalato i problemi per la prima volta alla squadra per le emergenze informatiche dell’India a fine febbraio e di non aver ricevuto risposte di sostanza per tre mesi, un periodo che ha incluso la pubblicazione dei risultati di Classe 12 di quest’anno. Ha pubblicato il resoconto completo sul suo blog il 22 maggio, dopo aver concluso che i suoi avvisi erano stati ignorati, e pochi giorni dopo ha segnalato un’ulteriore vulnerabilità nel database prima che il portale venisse messo offline. Se il Ministero dell’Istruzione ordinerà la verifica indipendente ora richiesta, e se gli altri clienti del fornitore esamineranno i propri sistemi, è la parte della storia ancora da scrivere.

Altri articoli simili

Quando l’algoritmo verifica la fisica: il crollo silenzioso dell’autorità del peer review

Quando l’algoritmo verifica la fisica: il crollo silenzioso dell’autorità del peer review

Un bug di login ha lasciato 70 milioni di siti cPanel aperti a chiunque

Un bug di login ha lasciato 70 milioni di siti cPanel aperti a chiunque

Un’IA ha scritto un exploit zero-day funzionante — Google l’ha intercettato per primo

Un’IA ha scritto un exploit zero-day funzionante — Google l’ha intercettato per primo

Una scansione di 380.000 app costruite con l’IA ne trova migliaia senza alcuna autenticazione

Una scansione di 380.000 app costruite con l’IA ne trova migliaia senza alcuna autenticazione

Claude ha trovato 10.000 falle critiche in un mese, le patch non arrivano

Claude ha trovato 10.000 falle critiche in un mese, le patch non arrivano

Come il codice malevolo entra nel software fidato tramite la catena di fornitura

Come il codice malevolo entra nel software fidato tramite la catena di fornitura

Discussione

Ci sono 0 commenti.