Um jovem conseguiu alterar as notas de qualquer aluno no portal de exames da Índia

Durante boa parte da época de exames, o sítio onde são corrigidas as provas mais importantes da Índia parece ter confiado em quase toda a gente que soubesse pedir-lhe da forma certa. Um investigador de segurança autodidata afirma que conseguiu entrar no portal de correção como qualquer examinador, abrir os painéis onde as provas são revistas, repor as palavras-passe de outros corretores e alterar as notas associadas às folhas dos alunos. O portal pertence ao Central Board of Secondary Education, o organismo cujos resultados da Classe 12 decidem a que universidades podem aceder milhões de adolescentes indianos.

Essas notas não são um assunto privado entre um estudante e um professor. Na Índia, são a moeda da admissão, e a diferença de um único valor pode mover um candidato de um curso para outro ou deixá-lo de fora da universidade. Um sistema que permite a um estranho editá-las em silêncio não é uma falha cosmética. Toca na justiça do próprio exame, a única parte do processo em que se diz aos estudantes que podem confiar.

O mais impressionante dos problemas descritos é de uma simplicidade quase embaraçosa. Uma palavra-passe mestra estava escrita diretamente no código que o navegador de cada visitante descarrega para mostrar o sítio. Qualquer pessoa que abrisse esse código e o lesse podia usá-la para ultrapassar os códigos de uso único concebidos para proteger cada conta. Em termos correntes, equivale a imprimir a chave-mestra no tapete de entrada e esperar que ninguém olhe para o chão.

Leitura recomendadaSony A7R VI chega hoje com sensor empilhado de 67 MP, 8K30p e corpo por 4999 dólares

As outras fragilidades agravam a primeira. O sítio, diz, pedia ao próprio navegador do visitante que confirmasse quem era em vez de o verificar nos seus servidores. A páginas reservadas a corretores com sessão iniciada chegava-se escrevendo diretamente o seu endereço. Um pedido para mudar a palavra-passe não exigia conhecer a anterior. No conjunto, significavam que o sítio acreditava na palavra de cada utilizador quanto à sua identidade, o erro cardeal da segurança na web, porque tudo o que corre dentro de um navegador pode ser reescrito pela pessoa que o utiliza.

É a escala que torna difícil desvalorizar as descobertas. O organismo reúne mais de 28.000 escolas na Índia e outras no estrangeiro, e os exames de Classe 12 que administra são feitos por milhões de estudantes todos os anos. O software de correção foi desenvolvido por uma empresa externa cuja plataforma é também usada por outros conselhos de exame, pelo que as perguntas levantadas pelo caso ultrapassam uma única organização.

Além disso, tudo rebentou a meio de um período de resultados já tenso. Os estudantes queixavam-se em público de notas que pareciam erradas, de provas digitalizadas que chegavam desfocadas e de um portal que ia abaixo com a carga. Nesse contexto, a afirmação de que o mesmo sistema podia ser aberto com uma palavra-passe retirada do seu próprio código transformou uma queixa de manutenção numa questão de integridade.

O organismo rejeita por completo o relato. Em declarações públicas, o Central Board of Secondary Education sustentou que o endereço que circulava na internet não era o verdadeiro portal de avaliação e que o sistema usado para corrigir as provas não tinha sido comprometido nem deixado vulnerável. O investigador respondeu com cópias arquivadas do código do sítio, uma gravação de ecrã da palavra-passe mestra a funcionar e provas de que essa mesma palavra-passe abria vários endereços relacionados da mesma plataforma, material difícil de conciliar com a ideia de um inofensivo ambiente de testes. Nada disso prova que algum resultado tenha de facto sido alterado, e nenhuma nota adulterada foi documentada. A discussão é sobre se poderia ter acontecido, e durante quanto tempo a porta ficou aberta.

De fora, nem todas as afirmações podem ser verificadas de forma independente, e a leitura mais prudente trata o relato do investigador como uma denúncia séria e bem documentada e não como um facto encerrado. O que não está em causa é que as descobertas técnicas foram registadas junto da equipa nacional de emergências informáticas da Índia e que uma organização de direitos digitais escreveu desde então ao Ministério da Educação e a essa mesma agência a pedir uma auditoria independente do portal e um relato claro de quem tinha acesso.

O sítio é indiano, mas a lição não é. Conselhos de exame, autoridades de licenciamento e serviços públicos em quase todos os mercados funcionam já sobre o mesmo tipo de aplicações web de página única, e o mesmo atalho que aqui causou o problema, deixar o código do navegador decidir quem pode entrar, é um a que cedem programadores em todo o lado. O pormenor incómodo é que as falhas descritas não são exóticas. São do género que uma equipa competente fecharia numa tarde, o que torna tão difícil de explicar a sua presença num sistema nacional de exames.

O investigador diz que notificou os problemas pela primeira vez à equipa de emergências informáticas da Índia no fim de fevereiro e que não teve resposta substancial durante três meses, um período que incluiu a divulgação dos resultados de Classe 12 deste ano. Publicou o relato completo no seu blogue a 22 de maio, depois de concluir que os seus avisos tinham sido ignorados, e dias mais tarde assinalou outra vulnerabilidade na base de dados antes de o portal ser retirado. Se o Ministério da Educação ordenará a revisão independente agora exigida, e se os restantes clientes da empresa examinarão os seus próprios sistemas, é a parte da história ainda por escrever.

Mais artigos semelhantes

Meridiem Games anuncia The Pixel Pulps Collection – Edição Especial para Nintendo Switch e PlayStation 5

Dragonkin: The Banished e a ascensão do desenvolvimento de RPG moldado pela comunidade

Meta testa o primeiro WhatsApp pago — e o essencial continua gratuito

A Nova Física da Inteligência: Computação Termodinâmica e o Fim do Paradigma Digital Determinista

SpaceX apresenta o maior IPO da história: 75 mil milhões a 1,75 biliões de dólares

Claude encontrou 10.000 falhas críticas num mês — patches ficaram para trás