मैंने हैक कर दिया है CBSE का मार्किंग पोर्टल...19 साल के निसर्ग अधिकारी का दावा, कहा- बोर्ड को पहले ही दी थी चेतावनी
CBSE इन दिनों अपनी 12वीं परीक्षा के नतीजों और नई डिजिटल चेकिंग व्यवस्था ऑनस्क्रीन मार्किंग को लेकर विवादों में घिरा है. लेकिन अब सीबीएसई को लेकर एक ऐसा सनसनीखेज खुलासा हुआ हैं जिसने पूरे देश के शिक्षा जगत और सुरक्षा एजेंसियों के होश उड़ा दिए हैं. एक 19 साल के एथिकल हैकर और रिसर्चर निसर्ग अधिकारी ने दावा किया है कि उसने सीबीएसई के ऑनलाइन मार्किंग पोर्टल में इतनी गंभीर कमियां ढूंढ निकाली थीं, जिससे कोई भी आसानी से किसी छात्र का पूरा अकाउंट हैक कर सकता था.
Advertisement
X
आजतक एजुकेशन डेस्क
- नई दिल्ली,
- 26 मई 2026,
- (अपडेटेड 26 मई 2026, 6:25 PM IST)
ऐसे समय में जब लाखों सीबीएसई छात्र पहले से ही पुनर्मूल्यांकन पोर्टल क्रैश, धुंधली आंसरशीट और यहां तक कि गलत नंबरों और मिसमैच कॉपियों जैसी परेशानी कम नहीं थीं कि अब एक और नया खुलासा हुआ है. तकनीकी उद्यमी दीदी दास की एक पोस्ट के बाद सीबीएसई से जुड़ा पुराना साइबर सुरक्षा मामला फिर चर्चा में आ गया. 19 साल के निसर्ग अधिकारी ने दावा किया कि उन्हें सीबीएसई के ऑनलाइन कॉपी जांचने वाले पोर्टल में बड़ी सुरक्षा खामियां मिली थीं. हैरानी की बात यह है उन्होंने इसकी जानकारी फरवरी 2026 में ही ढूंढकर सरकारी सुरक्षा एजेंसी CERT-In (कंप्यूटर इमरजेंसी रिस्पांस टीम) को सौंप दी थीं, लेकिन महीनों तक इस पर कोई कड़ा एक्शन नहीं लिया गया.
सोशल मीडिया पोस्ट से दी जानकारी
निसर्ग ने 22 मई को अपनी वेबसाइट और सोशल मीडिया प्लेटफॉर्म एक्स पर एक विस्तृत ब्लॉग पोस्ट में दावा किया कि उन्होंने फरवरी में ही CBSE के ऑन-स्क्रीन मार्किंग (OSM) पोर्टल में कई गंभीर खामियों का पता लगाया था और उनकी सूचना CERT-In को दी थी. उनके अनुसार, इनमें से कई खामियों को कथित तौर पर महीनों तक ठीक नहीं किया गया था.
सम्बंधित ख़बरें
कैसे खामियों का लगाया पता?
निसर्ग का कहना है कि यह सब जिज्ञासा के साथ शुरू हुआ. उन्होंने लिखा कि सीबीएसई ने OSM लॉन्च किया और मैंने देखा कि पोर्टल का लिंक पूरी तरह से प्राइवेट था. OSM प्रणाली का यूज स्कैन की गई बोर्ड परीक्षा की उत्तर पुस्तिकाओं के डिजिटल मूल्यांकन के लिए किया जाता है. प्रश्नपत्रों की जांच करने के बजाय, मूल्यांकनकर्ता पोर्टल में लॉग इन करके उत्तर पुस्तिकाओं का ऑनलाइन मूल्यांकन करते हैं. इतना ही नहीं उन्होंने आगे कहा कि जब उन्होंने साइट खोली और बैकएंड के बारे में जानने की कोशिश की तो, उन्हें एहसास हुआ कि समस्याएं उम्मीद से बहुत बड़ी थी. लॉगिन पेज पर तीन चीजें मांगी जाती हैं. पहला एक यूजर आईडी, स्कूल कोड और पासवर्ड, जिसके बाद एक ओटीपी भरना होता है.
Advertisement
उस स्क्रीन में कुछ भी असामान्य नहीं दिखता. समस्या तभी सामने आई जब मैंने पेज को देखना बंद कर दिया और उसके पीछे के कोड को देखना शुरू किया. ब्लॉग में आगे ऐसी कई गलतियों के बारे में बताया गया है जिन्हें साइबर सुरक्षा विशेषज्ञ हमेशा डेवलपर्स को न करने की सलाह देते हैं. इसका मतलब साफ है कि ऐसी बेसिक सुरक्षा कमियां बताई गईं, जो डेटा और यूजर्स की सुरक्षा के लिए बड़ा खतरा बन सकती हैं.
पोर्टल को समझना शुरू किया
निसर्ग अधिकारी ने अपने ब्लॉग में बताया कि उन्होंने सीबीएसई के ऑन-स्क्रीन मार्किंग पोर्टल को खोलकर उसके सिस्टम और रिक्वेस्ट्स को समझना शुरू किया. जांच के दौरान उन्हें कई गंभीर सुरक्षा खामियां मिलीं. उनका सबसे बड़ा दावा यह था कि वेबसाइट के पब्लिक जावास्क्रिप्ट कोड में एक मास्टर पासवर्ड छिपा हुआ था, जिसे कोई भी देख सकता था. निसर्ग के मुताबिक, यह पासवर्ड सीधे वेबसाइट के फ्रंटएंड कोड में लिखा हुआ था और हर यूजर के ब्राउजर तक पहुंच रहा था.
उन्होंने दावा किया कि इस पासवर्ड की मदद से ओटीपी सिस्टम को बायपास किया जा सकता था और परीक्षकों के अकाउंट तक पहुंच बनाई जा सकती थी. उनके अनुसार, किसी अकाउंट में लॉग इन करने के लिए सिर्फ यूजर आईडी और स्कूल कोड की जरूरत थी, जो आसानी से उपलब्ध हो सकते थे.
Advertisement
ओटीपी सिस्टम भी सुरक्षित नहीं है...
बात यहीं पर खत्म नहीं होती है. निसर्ग अधिकारी ने अपने ब्लॉग में दावा किया कि सीबीएसई के पोर्टल का ओटीपी सिस्टम भी सेफ नहीं था. उनके मुताबिक, ओटीपी केवल दिखावे के लिए था क्योंकि वह सर्वर रिस्पॉन्स में ही वापस दिखाई दे रहा था. उन्होंने कहा कि सिस्टम खुद ब्राउजर में ही यह जांच कर रहा था कि डाला गया ओटीपी सही है या नहीं.
यानी कोई भी व्यक्ति नेटवर्क रिक्वेस्ट देखकर ओटीपी पता कर सकता था और सीधे सिस्टम को बता सकता था कि वेरिफिकेशन सफल हो गया. निसर्गा ने इसे बड़ी सुरक्षा चूक बताते हुए लिखा कि अगर सुरक्षा जांच हमलावर की ही मशीन पर हो रही है, तो वह असली सुरक्षा नहीं मानी जा सकती.
और बड़ी थीं परेशानियां
ब्लॉग में आगे इस बात का भी दावा किया गया है कि ये खामियां सिर्फ पासवर्ड या OTP तक सीमित नहीं थीं बल्कि सिस्टम और भी कई जगहों से कमजोर था. निसर्ग अधिकारी के अनुसार, एंगुलर बेस्ड एप्लिकेशन में कई पेज जैसे डैशबोर्ड, प्रोफाइल, इवैल स्क्रिप्ट्स व्यू और वेरिफिकेशन डैशबोर्ड को बिना परमिशन के भी ओपन किया जा सकता था. उनका दावा है कि ब्राउजर स्टोरेज में कुछ डेटा बदलकर सिस्टम को आसानी से धोखा दिया जा सकता है.
Advertisement
उन्होंने यह भी कहा कि पासवर्ड रीसेट करने की प्रक्रिया भी सुरक्षित नहीं थी क्योंकि उसमें पुराने पासवर्ड की चेकिंग ही नहीं हो रही थी. ब्लॉग के मुताबिक, इन कमजोरियों के चलते कोई भी व्यक्ति सिस्टम में दूसरे यूजर का रूप लेकर उसके अकाउंट तक पहुंच सकता था.
फरवरी में दी थी चेतावनी
इस खुलासे के बाद जो बात सबसे ज्यादा परेशान करने वाली है, वह है इसका टाइमलाइन है. बता दें कि निसर्ग ने फरवरी 2026 में ही इन कमियों को खोजकर तुरंत भारत सरकार की साइबर सुरक्षा एजेंसी CERT-In को रिपोर्ट कर दिया था. एजेंसी ने उससे सबूत के तौर पर स्क्रीन रिकॉर्डिंग और वॉकथ्रू वीडियो भी मांगे थे, जो निसर्ग ने भेज दिए थे लेकिन इसके बावजूद इस गंभीर खतरे को फिक्स करने में महीनों का समय लग गया.
टेक एक्सपर्ट दीदी दास ने भी जब इस पोस्ट को सोशल मीडिया पर शेयर किया, तो इंटरनेट पर लोगों का गुस्सा फूट पड़ा. लोग कह रहे हैं कि कोडिंग की गलती तो बुरी थी ही, लेकिन चेतावनी मिलने के बाद भी उस पर तुरंत एक्शन न लेना उससे भी बदतर है.
---- समाप्त ----
