Bir genç, Hindistan’ın sınav portalında herhangi bir öğrencinin notunu değiştirebiliyordu

Sınav döneminin büyük bölümünde, Hindistan’ın en önemli sınavlarının değerlendirildiği site, doğru biçimde soran hemen herkese güvenmiş görünüyor. Kendi kendini yetiştirmiş bir güvenlik araştırmacısı, değerlendirme portalına herhangi bir sınav görevlisi gibi girebildiğini, kâğıtların incelendiği panelleri açabildiğini, başka değerlendiricilerin parolalarını sıfırlayabildiğini ve öğrencilerin kâğıtlarına bağlı notları değiştirebildiğini söylüyor. Portal, 12. sınıf sonuçları milyonlarca Hintli gencin hangi üniversitelere girebileceğini belirleyen kurum olan Central Board of Secondary Education’a ait.

Bu notlar bir öğrenciyle öğretmen arasındaki özel bir mesele değil. Hindistan’da kabulün para birimidir ve tek bir puanlık fark, bir adayı bir bölümden diğerine taşıyabilir ya da üniversitenin tümüyle dışında bırakabilir. Bir yabancının bunları sessizce düzenlemesine izin veren bir sistem, kozmetik bir kusur değildir. Sınavın kendi adaletine dokunur; sürecin öğrencilere güvenebilecekleri söylenen tek parçasına.

Anlattığı sorunların en çarpıcısı neredeyse utandıracak kadar basit. Bir ana parola, her ziyaretçinin tarayıcısının sayfayı göstermek için indirdiği kodun tam içine yazılmıştı. O kodu açıp okuyan herkes, bu parolayı kullanarak her hesabı koruması gereken tek kullanımlık kodların yanından geçebiliyordu. Sıradan bir deyişle, ana anahtarı paspasın üzerine basıp kimsenin yere bakmamasını ummak gibidir.

Önerilen OkumalarInstagram ‘AI creator’ etiketini test ediyor, kararı yaratıcılara bırakıyor

Diğer zayıflıklar ilkini ağırlaştırıyor. Site, kim olduklarını kendi sunucularında denetlemek yerine ziyaretçinin tarayıcısından doğrulamasını istiyordu. Yalnızca oturum açmış değerlendiricilere ayrılmış sayfalara, adresleri doğrudan yazılarak ulaşılabiliyordu. Parola değiştirme isteği, eskisini bilmeyi gerektirmiyordu. Birlikte ele alındığında bunlar, sitenin her kullanıcının kimliği konusunda sözüne güvendiği anlamına geliyordu; bu da web güvenliğinin temel hatasıdır, çünkü bir tarayıcının içinde çalışan her şey, onu kullanan kişi tarafından yeniden yazılabilir.

Bulguları küçümsemeyi zorlaştıran şey ölçek. Kurum, Hindistan’da 28.000’den fazla okulu ve yurt dışında başkalarını bir araya getiriyor; yönettiği 12. sınıf sınavlarına her yıl milyonlarca öğrenci giriyor. Değerlendirme yazılımı, platformu başka sınav kurullarınca da kullanılan dış bir yükleniciye ait; dolayısıyla olayın gündeme getirdiği sorular tek bir kuruluşu aşıyor.

Üstelik tüm bunlar, hâlihazırda gergin bir sonuç döneminin ortasında patlak verdi. Öğrenciler yanlış görünen notlardan, bulanık gelen taranmış kâğıtlardan ve yük altında sürekli çöken bir portaldan açıkça yakınıyordu. Bu zeminde, aynı sistemin kendi kodundan çıkarılmış bir parolayla açılabildiği iddiası, bir bakım şikâyetini bir bütünlük sorusuna dönüştürdü.

Kurum anlatıyı tümüyle reddediyor. Kamuya yaptığı açıklamalarda Central Board of Secondary Education, çevrimiçi dolaşan adresin gerçek değerlendirme portalı olmadığını, kâğıtların değerlendirilmesinde kullanılan sistemin ne ele geçirildiğini ne de savunmasız bırakıldığını savundu. Araştırmacı buna, sitenin kodunun arşivlenmiş kopyaları, ana parolanın çalıştığını gösteren bir ekran kaydı ve aynı parolanın aynı platformdaki birkaç ilişkili adresi açtığına dair kanıtlarla yanıt verdi; bunlar zararsız bir test ortamı fikriyle bağdaştırılması güç malzemeler. Bunların hiçbiri herhangi bir sonucun gerçekten değiştirildiğini kanıtlamıyor ve değiştirilmiş bir not belgelenmiş değil. Tartışma, bunun olabilip olamayacağı ve kapının ne kadar süre açık kaldığı üzerine.

Dışarıdan her iddia bağımsız olarak doğrulanamaz ve en ihtiyatlı okuma, araştırmacının anlatısını yerleşik bir gerçek değil, ciddi ve iyi belgelenmiş bir suçlama olarak ele alır. Tartışmasız olan şu: teknik bulgular Hindistan’ın ulusal siber acil durum ekibine bildirildi ve bir dijital haklar kuruluşu o zamandan beri Eğitim Bakanlığı’na ve aynı kuruma yazarak portalın bağımsız bir denetimini ve kimlerin erişimi olduğuna dair açık bir döküm istedi.

Site Hint malı, ama ders öyle değil. Sınav kurulları, lisans veren makamlar ve neredeyse her pazardaki kamu hizmetleri bugün aynı türden tek sayfalık web uygulamaları üzerinde çalışıyor ve burada soruna yol açan kestirme yol, kimin gireceğine tarayıcıdaki kodun karar vermesine izin vermek, her yerde geliştiricilerin kapıldığı bir kestirme. Rahatsız edici ayrıntı, anlatılan açıkların egzotik olmaması. Yetkin bir ekibin bir öğleden sonrada kapatabileceği türden açıklar; bir ulusal sınav sisteminde bulunmalarını bu kadar zor açıklanır kılan da tam olarak bu.

Araştırmacı, sorunları ilk kez şubat sonunda Hindistan’ın siber acil durum ekibine bildirdiğini ve bu yılın 12. sınıf sonuçlarının açıklanmasını da kapsayan üç ay boyunca esaslı bir yanıt alamadığını söylüyor. Uyarılarının görmezden gelindiği sonucuna vardıktan sonra tam anlatıyı 22 Mayıs’ta blogunda yayımladı ve günler sonra, portal hizmet dışı bırakılmadan önce veritabanında başka bir açığa daha dikkat çekti. Eğitim Bakanlığı’nın şimdi talep edilen bağımsız incelemeyi başlatıp başlatmayacağı ve yüklenicinin diğer müşterilerinin kendi sistemlerini gözden geçirip geçirmeyeceği, hikâyenin henüz yazılmamış kısmı.

Buna benzer içerikler

ICARUS: Console Edition, PlayStation 5 ve Xbox Series için Duyuruldu

FLOW Digital Infrastructure, Tokyo’nun Merkezinde Büyük Bir Veri Merkezi Kampüsünün İnşaatına Başlıyor

DeepSeek V4 GPT-5’in beşte biri fiyatına ve Nvidia çipi olmadan çalışıyor

cPanel’deki bir oturum açma hatası 70 milyon web sitesini herkese açık bıraktı

Bloomberg, Tayland üzerinden Çin’e uzanan 2,5 milyar dolarlık Nvidia çip hattının ucuna Alibaba’yı koyuyor

Samsung Galaxy Glasses sonbaharda Warby Parker ve Gentle Monster çerçeveleriyle geliyor