Hindistan’daki Ortaöğretim Merkezi Kurulu (CBSE), 10. ve 12. sınıf sınavları için CBSE 2024 sonuçlarını açıklarken, resmi web sitesinde önemli bir siber güvenlik açığı keşfedildi. The Cyber Express tarafından belirlenen bu güvenlik açığı, yetkisiz kişilerin öğrencilerin sınav sonuçlarını görüntülemesine ve değiştirmesine olanak tanıyabilir.
12. Sınıf sınavları 15 Şubat – 2 Nisan tarihleri arasında, 10. Sınıf sınavları ise 15 Şubat – 13 Mart tarihleri arasında geleneksel kağıt-kalem yöntemleri kullanılarak toplam 3.860.051 öğrencinin katılımıyla gerçekleştirildi. Bunlardan 1.621.224 öğrenci 12. Sınıf sınavlarına katılırken, 2.238.827 öğrenciden oluşan çok daha büyük bir grup 10. Sınıf sınavlarına girdi. Pazartesi günü öğrenciler, doğum tarihi, kayıt kodu ve kayıt numarası gibi bilgileri girerek sonuçlarına çevrimiçi olarak ulaşabildiler.
Ancak bu sabahın erken saatlerinde keşfedilen güvenlik açığı, potansiyel olarak Hindistan genelinde milyonlarca öğrenciyi etkileyecek büyük bir CBSE veri sızıntısına yol açabilir. Güvenlik açığı ilk olarak bu sabah erken saatlerde, sonuçların öğrenciler ve aileleri için güvenli bir şekilde erişilebilir olması beklenirken fark edildi. CBSE web sitesindeki kusur, idari kimlik bilgilerinin açığa çıkması ve SQL veritabanı sistemindeki, özellikle ‘Geetcbse10_All_2024’ adı verilen saklı prosedürdeki teknik bir yanlış yapılandırmayla ilgilidir.
Ortalama bir insana bu sadece bir aksaklık gibi görünebilir, ancak kötü niyetli aktörlerin sonuçlar da dahil olmak üzere önemli bilgileri manipüle etme ve kötüye kullanma fırsatı sağlayan önemli bir güvenlik açığıdır. Bu güvenlik açığının sayısız öğrencinin kişisel ve akademik verilerini tehlikeye atması ve potansiyel olarak gelecekteki fırsatlarını etkilemesi nedeniyle bunun sonuçları derindir.
CBSE Sonuçları 2024: Öğrenci Veri Riski Açıklaması
Web sitesinde görüntülenen kod mesajı, 2024 yılı CBSE (Ortaöğretim Merkezi Kurulu) Sınıf 10 sonuçlarına ilişkin verilerin alınmasıyla ilgili bir veritabanı sorgusundan kaynaklanmaktadır.
‘Geetcbse10_All_2024’ veritabanındaki saklı bir prosedürü ifade eder. Saklı prosedür, kaydedip yeniden kullanabileceğiniz hazırlanmış bir SQL kodudur. Bu durumda, muhtemelen 2024 yılı için CBSE Sınıf 10 sonuçlarıyla ilgili tüm verileri almayı amaçlayan bir prosedürdür.
‘Getcbse10_All_2024’ prosedürü ‘@admid’ adında bir parametre bekliyor ancak prosedür çağrısında sağlanmadı. ‘@admid’ muhtemelen “Yönetici Kimliği” veya prosedürün düzgün bir şekilde yürütülmesi için iletilmesi gereken benzer bir tanımlayıcı anlamına gelir. Bu parametrenin olmaması, prosedürün amaçlandığı gibi çalışamayacağı ve hataya yol açacağı anlamına gelir.
Hata mesajı ayrıca veritabanına bağlanmak için kritik olan ancak güvenlik risklerine yol açabileceğinden asla açığa çıkmaması gereken bağlantı dizesi ayrıntılarını da içerir.
sağlayıcı=MSOLEDBSQL: Bu, SQL Server için kullanılan sağlayıcıyı belirtir. MSOLEDBSQL, SQL Server için bir Microsoft OLE DB sağlayıcısıdır.
sunucu=10.***.10.***: Bu, veritabanının barındırıldığı sunucunun IP adresidir. Sunucu adresini bilmek, yetkisiz kullanıcıların veritabanına bağlanmayı denemesine olanak tanıyabilir.
Veritabanı=****sonuçlar**: Bu veritabanının adıdır. Veritabanı adını bilmek, sorguların ve komutların doğru veritabanına yönlendirilmesine yardımcı olur.
uid=cbseresults24; pwd=******************** : Bunlar, veritabanında kimlik doğrulaması yapmak için kullanılan kimlik bilgileridir (kullanıcı adı ‘uid’ ve şifre ‘pwd’). Yetkisiz bir kullanıcı, bu kimlik bilgileriyle potansiyel olarak veritabanına tam erişim kazanarak verileri görüntülemesine, değiştirmesine veya silmesine olanak tanıyabilir.
Açığa çıkan veriler önemli bir risk oluştursa da, yapay zeka destekli tehdit istihbarat platformundan bir araştırmacı olan Cyble, tehdit potansiyelinin eksik bilgi ifşası nedeniyle bir miktar hafifletildiğini belirtti.
“IP adresi dahilidir ve halka açık değildir; bu, bir tehdit aktörünün bilgi çıkarması veya erişim elde etmesi için SQL enjeksiyonu veya diğer yöntemler gibi saldırgan eylemlerde bulunması gerektiği anlamına gelir. Ancak bu, doğru sunucu adresi keşfedilirse yine de istismar edilebilecek olan açığa çıkan kimlik ve şifrenin ciddiyetini azaltmıyor” diye açıkladı araştırmacı.
Hata mesajı yalnızca veritabanı sorgusunun yürütülmesindeki teknik bir sorunu belirtmekle kalmaz, aynı zamanda olası bir güvenlik açığını da vurgular. Bu güvenlik açığı, veritabanı yönetimi ve ayrıcalık yükseltme konusunda uzman bir kişi tarafından kullanılırsa veritabanına yetkisiz erişime izin verebilir.
Bu tür yetkisiz erişim, verilerin manipülasyonu, silinmesi veya kimlik avı veya şantaj gibi kötü amaçlarla kullanılması da dahil olmak üzere çeşitli güvenlik risklerine yol açabilir.
Veritabanının güvenliğini sağlamak için, veritabanı kimlik bilgilerinin değiştirilmesi, yetkisiz erişimi kontrol etmek için günlüklerin gözden geçirilmesi ve hata mesajları veya günlüklerdeki hassas bilgilerin açığa çıkmaması gibi daha iyi güvenlik uygulamalarının uygulanması dahil olmak üzere acil adımlar atılmalıdır.
CBSE Neden Önemlidir?
Ortaöğretim Merkez Kurulu (CBSE), Hindistan’da hem devlet okullarını hem de özel okulları denetleyen önde gelen bir ulusal eğitim kuruludur. Hindistan Hükümeti Eğitim Bakanlığı’nın doğrudan yetkisi altındadır.
CBSE, 10. ve 12. sınıflarını tamamlayan öğrencilere yönelik, yüksek öğrenime ve profesyonel yollara ilerlemek için çok önemli olan kapsamlı sınavlar uygular. Kurul, titiz müfredatıyla tanınmaktadır ve ülke çapında eğitim standartlarının belirlenmesinde etkilidir.
Cyber Express, tespit edilen bir güvenlik açığını bildirmek için Ortaöğretim Merkez Kurulu (CBSE) yetkilileriyle temasa geçti. Sorunun farkında olup olmadıklarını, bu aksaklığın nedenlerini ve bu sorunu çözmek için atmayı düşündükleri adımları sorduk. Şu anda kurumdan yanıt bekliyoruz.
CBSE Verilerine Maruz Kalmanın Teknik Boyutu: Potansiyel Riskler
CBSE veri sızıntısında yönetici veritabanı kimliğinin ve şifresinin açığa çıkması birçok potansiyel riskin ortaya çıkmasına neden olur. Bu olayların hiçbiri gerçekleşmemiş olsa da, bu tür kritik kimlik bilgilerinin açığa çıkması, derhal müdahale edilmediği takdirde ciddi sonuçlara yol açabilir.
1. Yetkisiz Erişim ve Kontrol: Yönetici kimlik bilgileri açığa çıktığında, yetkisiz kullanıcıların CBSE’nin SQL veritabanına tam erişim elde etme potansiyeli vardır. Bu, sınav sonuçları ve öğrenci kişisel bilgileri de dahil olmak üzere hassas verileri görüntülemelerine, kopyalamalarına ve değiştirmelerine olanak tanıyacaktır.
2. Veri Manipülasyonu Riski: Verilerin değiştirilebilmesi önemli bir risktir. Her ne kadar hiçbir verinin değiştirilmiş olduğu bildirilmese de bu olasılık mevcuttur. Yetkisiz değişiklikler, sınav sonuçlarının tahrif edilmesini veya öğrenci kayıtlarının değiştirilmesini içerebilir ve bu, CBSE’nin eğitimsel değerlendirmelerinin bütünlüğünü ciddi şekilde zayıflatabilir.
3. Veri Hırsızlığı Tehdidi: Açığa çıkan kimlik bilgileri, hassas bilgilere erişmek ve bunları çıkarmak için potansiyel olarak kullanılabilir. Öğrencilerin ve personelin kişisel bilgilerini içerebilecek bu veriler, kimlik hırsızlığı veya dolandırıcılık gibi kötü amaçlarla kullanılma riskiyle karşı karşıyadır.
4. Operasyonel Kesinti Potansiyeli: Herhangi bir kesinti meydana gelmemiş olsa da, açığa çıkan kimlik bilgileri veri bütünlüğüne zarar vermek veya yasal kullanıcıları kilitlemek için kullanılabilir, bu da potansiyel olarak CBSE’nin faaliyetlerinde önemli kesintilere neden olabilir ve eğitim faaliyetlerini etkileyebilir.
5. Daha Fazla Saldırının Temeli: Sızıntının kendisi daha sonraki saldırıları kolaylaştırabilir. Saldırganlar, yönetim erişimiyle ek kötü amaçlı yazılım dağıtabilir, sürekli erişim için arka kapılar oluşturabilir veya bağlı sistemlere saldırılar başlatmak için ele geçirilen veritabanından yararlanabilir.
Durum halen akıcıdır ve daha fazla bilgi geldikçe güncellemeler yapılması beklenmektedir. Hikaye ilerledikçe daha fazlasını öğrenmek için The Cyber Express’e abone olun.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.