मैंने हैक कर दिया है CBSE का मार्किंग पोर्टल...19 साल के निसर्ग अधिकारी का दावा, कहा- बोर्ड को पहले ही दी थी चेतावनी 

ऐसे समय में जब लाखों सीबीएसई छात्र पहले से ही पुनर्मूल्यांकन पोर्टल क्रैश, धुंधली आंसरशीट और यहां तक ​​कि गलत नंबरों और मिसमैच कॉपियों जैसी परेशानी कम नहीं थीं कि अब एक और नया खुलासा हुआ है. तकनीकी उद्यमी दीदी दास की एक पोस्ट के बाद सीबीएसई से जुड़ा पुराना साइबर सुरक्षा मामला फिर चर्चा में आ गया. 19 साल के निसर्ग अधिकारी ने दावा किया कि उन्हें सीबीएसई के ऑनलाइन कॉपी जांचने वाले पोर्टल में बड़ी सुरक्षा खामियां मिली थीं. हैरानी की बात यह है उन्होंने इसकी जानकारी फरवरी 2026 में ही ढूंढकर सरकारी सुरक्षा एजेंसी CERT-In (कंप्यूटर इमरजेंसी रिस्पांस टीम) को सौंप दी थीं, लेकिन महीनों तक इस पर कोई कड़ा एक्शन नहीं लिया गया. 

सोशल मीडिया पोस्ट से दी जानकारी 

निसर्ग ने 22 मई को अपनी वेबसाइट और सोशल मीडिया प्लेटफॉर्म एक्स पर एक विस्तृत ब्लॉग पोस्ट में दावा किया कि उन्होंने फरवरी में ही CBSE के ऑन-स्क्रीन मार्किंग (OSM) पोर्टल में कई गंभीर खामियों का पता लगाया था और उनकी सूचना CERT-In को दी थी. उनके अनुसार, इनमें से कई खामियों को कथित तौर पर महीनों तक ठीक नहीं किया गया था. 

कैसे खामियों का लगाया पता? 

निसर्ग का कहना है कि यह सब जिज्ञासा के साथ शुरू हुआ. उन्होंने लिखा कि सीबीएसई ने OSM लॉन्च किया और मैंने देखा कि पोर्टल का लिंक पूरी तरह से प्राइवेट था. OSM प्रणाली का यूज स्कैन की गई बोर्ड परीक्षा की उत्तर पुस्तिकाओं के डिजिटल मूल्यांकन के लिए किया जाता है. प्रश्नपत्रों की जांच करने के बजाय, मूल्यांकनकर्ता पोर्टल में लॉग इन करके उत्तर पुस्तिकाओं का ऑनलाइन मूल्यांकन करते हैं. इतना ही नहीं उन्होंने आगे कहा कि जब उन्होंने साइट खोली और बैकएंड के बारे में जानने की कोशिश की तो, उन्हें एहसास हुआ कि समस्याएं उम्मीद से बहुत बड़ी थी. लॉगिन पेज पर तीन चीजें मांगी जाती हैं. पहला एक यूजर आईडी, स्कूल कोड और पासवर्ड, जिसके बाद एक ओटीपी भरना होता है. 

उस स्क्रीन में कुछ भी असामान्य नहीं दिखता. समस्या तभी सामने आई जब मैंने पेज को देखना बंद कर दिया और उसके पीछे के कोड को देखना शुरू किया. ब्लॉग में आगे ऐसी कई गलतियों के बारे में बताया गया है जिन्हें साइबर सुरक्षा विशेषज्ञ हमेशा डेवलपर्स को न करने की सलाह देते हैं. इसका मतलब साफ है कि ऐसी बेसिक सुरक्षा कमियां बताई गईं, जो डेटा और यूजर्स की सुरक्षा के लिए बड़ा खतरा बन सकती हैं. 

पोर्टल को समझना शुरू किया

निसर्ग अधिकारी ने अपने ब्लॉग में बताया कि उन्होंने सीबीएसई के ऑन-स्क्रीन मार्किंग पोर्टल को खोलकर उसके सिस्टम और रिक्वेस्ट्स को समझना शुरू किया. जांच के दौरान उन्हें कई गंभीर सुरक्षा खामियां मिलीं. उनका सबसे बड़ा दावा यह था कि वेबसाइट के पब्लिक जावास्क्रिप्ट कोड में एक मास्टर पासवर्ड छिपा हुआ था, जिसे कोई भी देख सकता था. निसर्ग के मुताबिक, यह पासवर्ड सीधे वेबसाइट के फ्रंटएंड कोड में लिखा हुआ था और हर यूजर के ब्राउजर तक पहुंच रहा था.

उन्होंने दावा किया कि इस पासवर्ड की मदद से ओटीपी सिस्टम को बायपास किया जा सकता था और परीक्षकों के अकाउंट तक पहुंच बनाई जा सकती थी. उनके अनुसार, किसी अकाउंट में लॉग इन करने के लिए सिर्फ यूजर आईडी और स्कूल कोड की जरूरत थी, जो आसानी से उपलब्ध हो सकते थे. 

ओटीपी सिस्टम भी सुरक्षित नहीं है...

बात यहीं पर खत्म नहीं होती है. निसर्ग अधिकारी ने अपने ब्लॉग में दावा किया कि सीबीएसई के पोर्टल का ओटीपी सिस्टम भी सेफ नहीं था. उनके मुताबिक, ओटीपी केवल दिखावे के लिए था क्योंकि वह सर्वर रिस्पॉन्स में ही वापस दिखाई दे रहा था. उन्होंने कहा कि सिस्टम खुद ब्राउजर में ही यह जांच कर रहा था कि डाला गया ओटीपी सही है या नहीं.

यानी कोई भी व्यक्ति नेटवर्क रिक्वेस्ट देखकर ओटीपी पता कर सकता था और सीधे सिस्टम को बता सकता था कि वेरिफिकेशन सफल हो गया. निसर्गा ने इसे बड़ी सुरक्षा चूक बताते हुए लिखा कि अगर सुरक्षा जांच हमलावर की ही मशीन पर हो रही है, तो वह असली सुरक्षा नहीं मानी जा सकती. 

और बड़ी थीं परेशानियां 

ब्लॉग में आगे इस बात का भी दावा किया गया है कि ये खामियां सिर्फ पासवर्ड या OTP तक सीमित नहीं थीं बल्कि सिस्टम और भी कई जगहों से कमजोर था. निसर्ग अधिकारी के अनुसार, एंगुलर बेस्ड एप्लिकेशन में कई पेज जैसे डैशबोर्ड, प्रोफाइल, इवैल स्क्रिप्ट्स व्यू और वेरिफिकेशन डैशबोर्ड को बिना परमिशन के भी ओपन किया जा सकता था. उनका दावा है कि ब्राउजर स्टोरेज में कुछ डेटा बदलकर सिस्टम को आसानी से धोखा दिया जा सकता है.

उन्होंने यह भी कहा कि पासवर्ड रीसेट करने की प्रक्रिया भी सुरक्षित नहीं थी क्योंकि उसमें पुराने पासवर्ड की चेकिंग ही नहीं हो रही थी. ब्लॉग के मुताबिक, इन कमजोरियों के चलते कोई भी व्यक्ति सिस्टम में दूसरे यूजर का रूप लेकर उसके अकाउंट तक पहुंच सकता था. 

फरवरी में दी थी चेतावनी

इस खुलासे के बाद जो बात सबसे ज्यादा परेशान करने वाली है, वह है इसका टाइमलाइन है. बता दें कि निसर्ग ने फरवरी 2026 में ही इन कमियों को खोजकर तुरंत भारत सरकार की साइबर सुरक्षा एजेंसी CERT-In को रिपोर्ट कर दिया था. एजेंसी ने उससे सबूत के तौर पर स्क्रीन रिकॉर्डिंग और वॉकथ्रू वीडियो भी मांगे थे, जो निसर्ग ने भेज दिए थे लेकिन इसके बावजूद इस गंभीर खतरे को फिक्स करने में महीनों का समय लग गया.

टेक एक्सपर्ट दीदी दास ने भी जब इस पोस्ट को सोशल मीडिया पर शेयर किया, तो इंटरनेट पर लोगों का गुस्सा फूट पड़ा. लोग कह रहे हैं कि कोडिंग की गलती तो बुरी थी ही, लेकिन चेतावनी मिलने के बाद भी उस पर तुरंत एक्शन न लेना उससे भी बदतर है.