Um jovem mostrou que podia mudar a nota de qualquer aluno no portal de exames da Índia

Durante boa parte da temporada de provas, o site onde são corrigidos os exames mais importantes da Índia parece ter confiado em quase qualquer pessoa que soubesse pedir do jeito certo. Um pesquisador de segurança autodidata afirma que conseguiu entrar no portal de correção como qualquer examinador, abrir os painéis onde as provas são revisadas, redefinir as senhas de outros corretores e mudar as notas associadas às folhas dos alunos. O portal pertence ao Central Board of Secondary Education, o órgão cujos resultados da Classe 12 decidem a quais universidades milhões de adolescentes indianos podem ter acesso.

Essas notas não são um assunto privado entre um estudante e um professor. Na Índia, são a moeda da admissão, e a diferença de um único ponto pode mover um candidato de um curso para outro ou tirá-lo da universidade. Um sistema que permite a um estranho editá-las em silêncio não é uma falha cosmética. Ele atinge a justiça do próprio exame, a única parte do processo em que se diz aos estudantes que podem confiar.

O mais impressionante dos problemas descritos é de uma simplicidade quase constrangedora. Uma senha mestra estava escrita diretamente no código que o navegador de cada visitante baixa para exibir o site. Qualquer um que abrisse esse código e o lesse podia usá-la para passar por cima dos códigos de uso único feitos para proteger cada conta. Em termos comuns, é o equivalente a imprimir a chave-mestra no capacho e torcer para ninguém olhar para o chão.

As outras fragilidades agravam a primeira. O site, diz ele, pedia ao próprio navegador do visitante que confirmasse quem ele era em vez de checar nos seus servidores. Páginas reservadas a corretores logados eram alcançadas digitando diretamente seu endereço. Um pedido para trocar a senha não exigia saber a anterior. Juntas, significavam que o site acreditava na palavra de cada usuário sobre a própria identidade, o erro cardeal da segurança na web, porque tudo o que roda dentro de um navegador pode ser reescrito pela pessoa que o usa.

A escala é o que torna difícil minimizar as descobertas. O órgão reúne mais de 28.000 escolas na Índia e outras no exterior, e os exames de Classe 12 que administra são prestados por milhões de estudantes todos os anos. O software de correção foi desenvolvido por uma empresa terceirizada cuja plataforma também é usada por outros conselhos de exame, de modo que as perguntas levantadas pelo caso vão além de uma única organização.

Além disso, tudo estourou no meio de um período de resultados já tenso. Os estudantes vinham reclamando em público de notas que pareciam erradas, de provas digitalizadas que chegavam borradas e de um portal que vivia caindo sob carga. Nesse cenário, a afirmação de que o mesmo sistema podia ser aberto com uma senha tirada do próprio código transformou uma queixa de manutenção em uma questão de integridade.

O órgão rejeita totalmente o relato. Em declarações públicas, o Central Board of Secondary Education sustentou que o endereço que circulava na internet não era o verdadeiro portal de avaliação e que o sistema usado para corrigir as provas não havia sido comprometido nem deixado vulnerável. O pesquisador respondeu com cópias arquivadas do código do site, uma gravação de tela da senha mestra em funcionamento e provas de que essa mesma senha abria vários endereços relacionados da mesma plataforma, material difícil de conciliar com a ideia de um inofensivo ambiente de testes. Nada disso prova que algum resultado tenha de fato sido alterado, e nenhuma nota adulterada foi documentada. A disputa é sobre se isso poderia ter acontecido, e por quanto tempo a porta ficou aberta.

De fora, nem toda afirmação pode ser verificada de forma independente, e a leitura mais prudente trata o relato do pesquisador como uma denúncia séria e bem documentada, não como um fato encerrado. O que não está em dúvida é que as descobertas técnicas foram registradas junto à equipe nacional de emergências cibernéticas da Índia e que uma organização de direitos digitais escreveu desde então ao Ministério da Educação e a essa mesma agência pedindo uma auditoria independente do portal e um relato claro de quem tinha acesso.

O site é indiano, mas a lição não é. Conselhos de exame, autoridades de licenciamento e serviços públicos em quase todos os mercados já rodam sobre o mesmo tipo de aplicações web de página única, e o mesmo atalho que causou o problema aqui, deixar o código do navegador decidir quem pode entrar, é um a que desenvolvedores no mundo todo cedem. O detalhe incômodo é que as falhas descritas não são exóticas. São do tipo que uma equipe competente fecharia em uma tarde, o que é justamente o que torna tão difícil de explicar a presença delas em um sistema nacional de exames.

O pesquisador diz que notificou os problemas pela primeira vez à equipe de emergências cibernéticas da Índia no fim de fevereiro e que não teve resposta substancial por três meses, período que incluiu a divulgação dos resultados de Classe 12 deste ano. Publicou o relato completo em seu blog no dia 22 de maio, depois de concluir que seus avisos haviam sido ignorados, e dias depois apontou outra vulnerabilidade no banco de dados antes de o portal sair do ar. Se o Ministério da Educação vai ordenar a revisão independente agora exigida, e se os demais clientes da empresa vão examinar os próprios sistemas, é a parte da história ainda por escrever.