ინდოეთის სახელმწიფო გამოცდების სისტემაში კრიტიკული ხარვეზი გამოვლინდა

მილიონობით მოსწავლის ნაშრომების შემფასებელ პორტალზე ჰაკერმა სრული კონტროლის მოპოვების გზა აღმოაჩინა.

SPREEDi

26 მაისი, 2026 · 11:532 წუთის წასაკითხი

კომპიუტერის ეკრანი კოდითა და უსაფრთხოების შეტყობინებებით — ფოტო: Hacker News

გააზიარე

რა ვიცით ჯერჯერობით

სისტემაში აღმოჩენილია მყარად ჩაშენებული პაროლი (hardcoded master password).
ერთჯერადი კოდის (OTP) შემოწმება ხდებოდა კლიენტის ბრაუზერში და არა სერვერზე.
სისტემას გააჩნია IDOR ტიპის დაუცველობა, რაც მომხმარებელთა ანგარიშების გადაცმის საშუალებას იძლევა.
ინდოეთის სახელმწიფო უწყებამ (CERT-In) მიღებული ინფორმაციის მიუხედავად, დროული ზომები არ მიიღო.

ეს ამბავი ვითარდება37 განახლება

კიბერუსაფრთხოების კრიზისი: AI და კრიპტო საფრთხეები

ტექნოლოგიური სამყარო კიბერუსაფრთხოების მზარდი გამოწვევების წინაშე აღმოჩნდა, სადაც ხელოვნური ინტელექტი როგორც დამცავ, ისე დამანგრეველ ინსტრუმენტად იქცა. კრიპტოინდუსტრია ჰაკერული თავდასხმების, ფიზიკური უსაფრთხოების რისკებისა და კვანტური საფრთხეების ტალღამ მოიცვა, რაც მილიონობით დოლარის ზარალს იწვევს. პარალელურად, ექსპერტები და პროგრამისტები აფრთხილებენ საზოგადოებას AI-ს ბრმად მინდობის საფრთხეებზე, რაც პროგრამული უზრუნველყოფის ხარისხსა და მონაცემთა კონფიდენციალურობას ეჭვქვეშ აყენებს. ეს დინამიკა ნათლად აჩვენებს, რომ ტექნოლოგიური პროგრესი უსაფრთხოების სტრატეგიების გადახედვის გარეშე სერიოზულ სისტემურ რისკებს შეიცავს.

26 მაისი, 2026 · 13:06
7-Eleven-ის კიბერშეტევა: 185 000-ზე მეტი მომხმარებლის მონაცემი გაჟონა
26 მაისი, 2026 · 12:31
ლინუს ტორვალდსი AI-ის მიერ გენერირებულ შეცდომებზე გაბრაზდა
26 მაისი, 2026 · 11:53 · ეს სტატია
ინდოეთის სახელმწიფო გამოცდების სისტემაში კრიტიკული ხარვეზი გამოვლინდა
26 მაისი, 2026 · 09:15
უნდა ვენდოთ თუ არა AI ჩატბოტების სამედიცინო რჩევებს?

ნახე სრული ქრონიკა

ინდოეთის საშუალო განათლების ცენტრალურმა საბჭომ (CBSE), რომელიც ყოველწლიურად მილიონობით მოსწავლის გამოცდებს ატარებს, ციფრული შეფასების ახალ სისტემაზე გადასვლა დაიწყო. თუმცა, როგორც ახალგაზრდა კიბერუსაფრთხოების მკვლევარმა გამოავლინა, პლატფორმა, რომელიც პასუხისმგებელია მოსწავლეთა ნაშრომების შეფასებაზე, უსაფრთხოების სერიოზულ ხარვეზებს შეიცავს.

სისტემაში, რომელიც Coempt EduTeck Pvt Ltd-ის მიერაა შემუშავებული, აღმოჩენილია „ოსტატური პაროლი“ (master password). ის პირდაპირ, ღია ტექსტის სახით იყო ჩაშენებული პლატფორმის კლიენტურ ნაწილში. ამ პაროლის გამოყენებით შესაძლებელი იყო ავტორიზაციის პროცესის სრული გვერდის ავლით სისტემაში შესვლა.

რა საფრთხეს უქმნის ხარვეზები სისტემას?

მკვლევარის თქმით, სისტემური პრობლემა გაცილებით მასშტაბურია, ვიდრე მხოლოდ ერთი პაროლი. პლატფორმის არქიტექტურა არ ითვალისწინებდა უსაფრთხოების სათანადო დაცვას, რამაც შემდეგი რისკები წარმოშვა:

ავთენტიფიკაციის გვერდის ავლა: ერთჯერადი პაროლი (OTP) მხოლოდ ფორმალური იყო, რადგან მისი შემოწმება სერვერის ნაცვლად ბრაუზერში ხდებოდა.
IDOR (Insecure Direct Object Reference) ხარვეზი: სისტემა ენდობოდა კლიენტის მიერ გაგზავნილ მომხმარებლის ID-ს, რაც თავდამსხმელს საშუალებას აძლევდა, მარტივად შეეცვალა ნებისმიერი შემფასებლის ანგარიში.
პაროლის შეცვლის მექანიზმი: სისტემა არ ამოწმებდა ძველ პაროლს, რაც ნებისმიერი ანგარიშის პაროლის მარტივად გადაყენების საშუალებას იძლეოდა.

მკვლევარმა აღნიშნა, რომ პლატფორმის მარშრუტიზაცია დაცული არ იყო და ნებისმიერ მომხმარებელს შეეძლო პირდაპირ გადასულიყო შეფასების დაფაზე, ყოველგვარი ავტორიზაციის გარეშე. საკმარისი იყო ბრაუზერის კონსოლში რამდენიმე მნიშვნელობის შეცვლა.

რეაგირება და შედეგები

აღმოჩენილი ხარვეზების შესახებ ინფორმაცია ინდოეთის კომპიუტერული ინციდენტების რეაგირების ჯგუფს (CERT-In) ჯერ კიდევ 2026 წლის თებერვალში მიეწოდა. მიუხედავად დეტალური მტკიცებულებებისა, მათ შორის ვიდეო ინსტრუქციებისა, სახელმწიფო უწყების მხრიდან ეფექტური რეაგირება არ მომხდარა.

საბოლოოდ, მკვლევარმა გადაწყვიტა, აღნიშნული ინფორმაცია საჯარო გაეხადა. მისი თქმით, სისტემის უსაფრთხოება, რომელიც მილიონობით მოსწავლის აკადემიურ ბედს წყვეტს, კრიტიკულად მნიშვნელოვანია და მსგავსი ხარვეზები დაუყოვნებლივ გამოსწორებას საჭიროებს.

რატომ აქვს ამას მნიშვნელობა

ეს შემთხვევა ნათელი მაგალითია იმისა, თუ რა საფრთხეებს უქმნის სახელმწიფო სერვისების დიგიტალიზაციას არასათანადო კიბერუსაფრთხოების აუდიტი. საქართველოში, სადაც განათლების სექტორი აქტიურად ნერგავს ელექტრონულ პლატფორმებს (მაგალითად, ელექტრონული ჟურნალი ან საგამოცდო სისტემები), მსგავსი ინციდენტები შეხსენებაა, რომ კოდის გამჭვირვალობა და უსაფრთხოების ტესტირება არის არა ფუფუნება, არამედ აკადემიური მთლიანობის გარანტი.

თეგები#კიბერუსაფრთხოება #განათლება #ინდოეთი #პერსონალური მონაცემები #ტექნოლოგიები

ხშირად დასმული კითხვები

ეს არის უსაფრთხოების ხარვეზი, როდესაც აპლიკაცია არ ამოწმებს, აქვს თუ არა მომხმარებელს უფლება მიიღოს წვდომა კონკრეტულ ობიექტზე, რაც თავდამსხმელს საშუალებას აძლევს სხვისი მონაცემები იხილოს ან შეცვალოს.
რადგან მისი შემოწმება ბრაუზერში ხდებოდა, თავდამსხმელს შეეძლო კოდის წაკითხვა ქსელური მოთხოვნების მონიტორინგით ან უბრალოდ შემოწმების გვერდის ავლით.
ეს ეხება მილიონობით მოსწავლის გამოცდების შედეგებს, რომელთა გაყალბება ან ჩაშლა პირდაპირ აზიანებს საგანმანათლებლო სისტემის სანდოობას.