Một thiếu niên có thể sửa điểm của bất kỳ học sinh nào trên cổng chấm thi của Ấn Độ

Trong phần lớn mùa thi, trang web nơi chấm những kỳ thi quan trọng nhất Ấn Độ dường như đã tin gần như bất kỳ ai biết hỏi nó đúng cách. Một nhà nghiên cứu bảo mật tự học nói rằng anh có thể đăng nhập vào cổng chấm thi với tư cách bất kỳ giám khảo nào, mở các bảng điều khiển nơi bài thi được rà soát, đặt lại mật khẩu của những người chấm khác và thay đổi điểm gắn với bài làm của học sinh. Cổng này thuộc về Central Board of Secondary Education, cơ quan có kết quả Lớp 12 quyết định hàng triệu thiếu niên Ấn Độ được vào những trường đại học nào.

Những con điểm ấy không phải chuyện riêng giữa một học sinh và một giáo viên. Ở Ấn Độ, chúng là đồng tiền của việc tuyển sinh, và chênh lệch chỉ một điểm có thể dời một thí sinh từ ngành này sang ngành khác hoặc bật ra khỏi đại học. Một hệ thống cho phép người ngoài lặng lẽ chỉnh sửa chúng không phải một lỗi bề ngoài. Nó chạm tới chính sự công bằng của kỳ thi, phần duy nhất của quy trình mà học sinh được bảo rằng có thể tin tưởng.

Vấn đề nổi bật nhất mà anh mô tả đơn giản đến mức gần như ngượng ngùng. Một mật khẩu chủ được viết thẳng vào đoạn mã mà trình duyệt của mỗi người truy cập tải về để hiển thị trang. Bất kỳ ai mở đoạn mã đó và đọc đều có thể dùng mật khẩu này để đi vòng qua các mã dùng một lần vốn để bảo vệ từng tài khoản. Nói nôm na, nó chẳng khác gì in chiếc chìa khóa vạn năng lên tấm thảm chùi chân rồi hy vọng không ai nhìn xuống.

Bài đọc đề xuấtBloomberg đặt Alibaba ở đầu kia của đường ống chip Nvidia 2,5 tỷ đô đi qua Thái Lan

Những điểm yếu còn lại làm trầm trọng thêm cái đầu tiên. Anh cho biết trang web nhờ chính trình duyệt của người truy cập xác nhận họ là ai thay vì kiểm tra trên máy chủ của mình. Những trang chỉ dành cho người chấm đã đăng nhập lại có thể vào được bằng cách gõ thẳng địa chỉ. Một yêu cầu đổi mật khẩu không đòi biết mật khẩu cũ. Gộp lại, chúng có nghĩa là trang web tin lời mỗi người dùng về danh tính của họ, lỗi căn bản nhất trong bảo mật web, bởi mọi thứ chạy bên trong một trình duyệt đều có thể bị chính người dùng viết lại.

Chính quy mô khiến những phát hiện khó bị xem nhẹ. Cơ quan này tập hợp hơn 28.000 trường ở Ấn Độ và nhiều trường khác ở nước ngoài, còn các kỳ thi Lớp 12 mà nó tổ chức có hàng triệu học sinh dự mỗi năm. Phần mềm chấm thi do một nhà thầu bên ngoài phát triển, nền tảng của họ cũng được các hội đồng thi khác dùng, nên những câu hỏi mà vụ việc đặt ra vượt khỏi một tổ chức đơn lẻ.

Hơn nữa, tất cả bùng lên giữa một mùa kết quả vốn đã căng thẳng. Học sinh đã công khai than phiền về những điểm số trông sai, bài làm quét lên bị mờ và một cổng cứ sập dưới tải. Trên nền đó, lời khẳng định rằng cùng hệ thống ấy có thể mở bằng một mật khẩu rút ra từ chính mã của nó đã biến một lời than về bảo trì thành một câu hỏi về tính liêm chính.

Cơ quan này bác bỏ hoàn toàn câu chuyện. Trong các tuyên bố công khai, Central Board of Secondary Education khẳng định địa chỉ lan truyền trên mạng không phải cổng đánh giá thật và hệ thống dùng để chấm bài không hề bị xâm nhập hay để hở. Nhà nghiên cứu đáp lại bằng các bản lưu mã của trang, một đoạn ghi màn hình cho thấy mật khẩu chủ hoạt động và bằng chứng rằng cùng mật khẩu đó mở được nhiều địa chỉ liên quan trên cùng nền tảng, những tư liệu khó dung hòa với ý niệm về một môi trường thử nghiệm vô hại. Không gì trong số đó chứng minh có kết quả nào thực sự bị sửa, và chưa có điểm gian lận nào được ghi nhận. Tranh cãi nằm ở chỗ liệu điều đó có thể xảy ra hay không, và cánh cửa đã mở trong bao lâu.

Từ bên ngoài, không phải lời khẳng định nào cũng kiểm chứng độc lập được, và cách đọc thận trọng nhất xem câu chuyện của nhà nghiên cứu là một cáo buộc nghiêm túc và có cơ sở vững, chứ không phải một sự thật đã ngã ngũ. Điều không phải bàn cãi là các phát hiện kỹ thuật đã được trình báo với đội ứng cứu khẩn cấp máy tính quốc gia của Ấn Độ, và một tổ chức về quyền số kể từ đó đã viết thư cho Bộ Giáo dục cùng chính cơ quan ấy, yêu cầu một cuộc kiểm toán độc lập với cổng này và một bản kê rõ ai từng có quyền truy cập.

Trang web là của Ấn Độ, nhưng bài học thì không. Hội đồng thi, cơ quan cấp phép và dịch vụ công ở gần như mọi thị trường nay đều chạy trên cùng loại ứng dụng web một trang, và chính lối tắt đã gây họa ở đây, để mã trong trình duyệt quyết định ai được vào, là điều mà các lập trình viên khắp nơi đều dễ sa vào. Chi tiết khó chịu là những lỗ hổng được mô tả chẳng có gì kỳ lạ. Chúng thuộc loại mà một đội ngũ thạo nghề có thể vá xong trong một buổi chiều, và đó chính là điều khiến sự hiện diện của chúng trong một hệ thống thi quốc gia khó giải thích đến vậy.

Nhà nghiên cứu nói anh lần đầu báo các vấn đề cho đội ứng cứu khẩn cấp máy tính của Ấn Độ vào cuối tháng Hai và suốt ba tháng không nhận được phản hồi thực chất, quãng thời gian bao gồm cả đợt công bố kết quả Lớp 12 năm nay. Anh đăng toàn bộ câu chuyện trên blog của mình vào ngày 22 tháng 5, sau khi kết luận rằng các cảnh báo đã bị phớt lờ, và vài ngày sau nêu thêm một lỗ hổng cơ sở dữ liệu nữa trước khi cổng bị gỡ khỏi mạng. Liệu Bộ Giáo dục có ra lệnh tiến hành cuộc rà soát độc lập đang được yêu cầu hay không, và liệu các khách hàng khác của nhà thầu có soát lại hệ thống của chính họ hay không, vẫn là phần chưa được viết của câu chuyện.

Bài viết tương tự

Apple phê duyệt TinyGPU — Mac Mini có thể chạy mô hình AI lớn tại chỗ

Pixel Maniacs và PM Studios công bố ChromaGun 2: Dye Hard, tựa game giải đố dựa trên màu sắc

Pháp ra lệnh chuyển 2,5 triệu máy tính chính phủ từ Windows sang Linux

Endflame công bố Silent Road: Tựa game kinh dị tâm lý lấy bối cảnh Nhật Bản

ICARUS: Console Edition được công bố cho PlayStation 5 và Xbox Series

DJI Osmo Pocket 4 ra mắt toàn cầu với 4K/240fps — nhưng người Mỹ không thể mua chính hãng