Nisarga Adhikary on CBSE OSM: सीबीएसई बोर्ड से 12वीं कक्षा की परीक्षा देने जा रही छात्र निसर्ग अधिकारी ने फरवरी में सीबीएसई द्वारा इस्तेमाल किए ने वाले डिजिटल मूल्यांकन पोर्टल के बारे में खोजबीन करना शुरू किया। उन्होंने यूट्यूब वीडियो और सार्वजनिक तौर पर उपलब्ध सर्कुलर से जानकारियां जुटाटनी शुरू की। उन्होंने यह जानकारी जिज्ञासावश जुटाई थी, जो जल्द ही एक ऐसी जिम्मेदारी में बदल गया, जिसमें भारत की साइबर इमाजेंसी एजेंसी CERT-In भी जुड़ गई। महीनों लंबी चली इस मुहिम में वेंडर्स को बिना जवाब वाले मेल मिले और आखिरकार, एक वायरल खुलासा हुआ जिससे पोर्टल को ऑफलाइन करना पड़ा।
Nisarga Adhikary on CBSE OSM: शौकिया हैकर निसर्ग ने बताया कैसे पकड़ी सीबीएसई के मूल्यांकन सिस्टम में गड़बडियां, पोर्टल तैयार करने वाले कंपनी का है पुराना इतिहास
Nisarga Adhikary on CBSE OSM: खुद को एथिकल हैकर कहने वाले निसर्ग अधिकारी ने कई देश की साइबर सुरक्षा एजेंसी को पूरे मामले की खबर दी। उन्होंने काफी समय तक सीबीएसई बोर्ड सहित सभी पक्षों से जवाब का इंतजार किया। जवाब नहीं मिलने पर उन्होंने सोशल मीडिया पर जांच का खुलासा किया
अपडेटेड May 27, 2026 पर 5:40 PM
निसर्ग शौकिया साइबर सिक्योरिटी रिसर्चर है और इसी साल 12वीं क्लास की परीक्षा दी है।
निसर्ग ने मनीकंट्रोल को पश्चिम बंगाल के सिलिगुड़ी से फोन इंटरव्यू में बताया, ‘मुझे यह जानकर उत्सुकता हुई कि उन्होंने कॉपियों के डिजिटल मूल्यांकन के लिए एक पोर्टल http://cbse.onmark.co.in तैयार किया है। मैंने देखना शुरू किया, तो मुझे डोमेन मिल गया। टीचर्स उसका इस्तेमाल कर रहे थे और उस पर ऑनलाइन वीडियो भी थे।’ अधिकारी ने कहा कि उनके पास इसे एक्सेस करने के लिए जरूरी क्रेडेंशियल नहीं थे। उन्होंने कहा, ‘मुझे मास्टर पासवर्ड मिला, जो छुपा हुआ नहीं था बल्कि यह असल में कोड में हार्डकोडेड था।’
अपने ब्लॉग पोस्ट में अधिकारी ने सीबीएसई के डिजिटल मूल्यांकन पोर्टल में मौजूद कई कथित खामियों के बारे में विस्तार से बताया है। इसमें क्लाइंट साइड ओटीपी प्रमाणिकता, उजागर क्रेडेंशियल और अपर्याप्त एक्सेस कंट्रोल शामिल है। अधिकारी ने इनकी तुलना नौसीखिया द्वारा की जाने वाली गलतियों से की। वह कहते हैं, ‘ये बहुत बड़ी सुरक्षा चूक है।’ जिसके पास ब्राउजर है, वो ये कोड आराम से देख सकता है। इसके लिए बहुत गहराई से जांच करने की भी जरूरत नहीं है।
[1/4] CBSE is claiming that the portal wasn't compromised but here's some video evidence proving that there was indeed a security lapse from their side which leaked the master password and it could be used to gain unauthorized access the portal which had prod data pic.twitter.com/3Kn5uZnEZc
— nisarga (@ni5arga) May 26, 2026
सीबीएसई के लिए पोर्टल बनाने वाले कंपनी पर पहले भी लगे आरोप
सीबीएसई के लिए आंसर शीट मूल्यांकन के लिए डिजिटल प्लैटफॉर्म “ऑनमार्क” को हैदराबाद की कोएम्प्ट एडुटेक ने बनाया है। कोएम्प्ट एडुटेक और ग्लोबरेना टेक्नोलॉजीज की लीडरशिप मिलीजुली है, जिसमें डायरेक्ट वीएसएन राजू भी शामिल है। ग्लोबरेना टेक्नोलॉजीज वही कंपनी है, जिसे 2019 के तेलंगाना इंटरमीडिएट बोर्ड के नतीजों के दौरान जांच का सामना करना पड़ा था। तब हजारों छात्रों द्वारा नंबरों में अंतर की शिकायत की गई थी। मनीकंट्रोल के कई प्रयासों के बावजूद ग्लोबरेना टेक्नोलॉजीज और राजू से संपर्क नहीं हो सका।
वेबसाइट हाल ही में बंद कर दी गई
अधिकारी ने कहा कि उन्होंने सबसे पहले 25 फरवरी को इंडियन कंप्यूटर इमरजेंसी रिस्पॉन्स टीम (CERT-In) को डिजिअल पोर्टल की कमजोरियों के बारे में बताया था। एजेंसी ने उनसे प्रूफ-ऑफ-कॉन्सेप्ट वीडियो डेमोंस्ट्रेशन मांगा था, जिसे उन्होंने शेयर किया।
इसके बाद CERT-In ने जवाब दिया, जिसकी एक कॉपी मनीकंट्रोल ने भी देखी है। इसमें कहा गया है, "CERT-In को इस घटना की रिपोर्ट करने के लिए धन्यवाद। हमने आपकी शिकायत दर्ज कर ली है। हम संबंधित अथॉरिटी के साथ उचित कार्रवाई करने की प्रक्रिया में हैं।" उनकी इतनी कवायद के बाद डिजिटल पोर्टल से हार्डकोडेड मास्टर पासवर्ड को कोड से हटा दिया गया था, लेकिन दूसरी कमजोरियों को ठीक नहीं किया गया। इसके बाद 25 मई को भी उन्हें पोर्टल की एक और कमजोरी का पता चला, जिसमें मूल्यांकनकर्ता के यूजरनेम, पासवर्ड ओर बैंक डिटेल्स दिख रहे थे। एक बार फिर उन्होंने इसकी जनकारी साइबर सुरक्षा एजेंसी को दी, जिसके जवाब में उन्हें केवल एक एक्नॉलेजमेंट ईमेल मिला। इसके बाद उनका ट्वीट वायरल होने के बाद पोर्टल को ऑफलाइन कर दिया गया।
सीबीएसई ने खारिज किया दावा
निसर्ग अधिकारी के खुलासे के बाद छात्रों, अभिभावकों और टीचर्स के बीच तहलका मच गया। हालांकि, 26 मई को सीबीएसई ने एक वक्तव्य जारी कर पोर्टल हैक होने के आरोप को खारिज कर दिया है। सीबीएसई बोर्ड ने दावा किया है कि उसका प्राथमिक डाटा सिस्टम हैक नहीं हुआ है और ये पूरी तरह सुरक्षित है। कथित हैक पोर्टल परीक्षण साइट थी, जहां आंतरिक परीक्षण और समीक्षा के लिए सैंपल डाटा का इस्तेमाल किया गया था।
भरोसेमंद नहीं सीबीएसई बोर्ड का जवाब
सिक्योरिटी रिसर्चर करण सैनी ने निसर्ग अधिकारी की पड़ताल की समीक्षा की। उन्होंने सीबीएसई बोर्ड के इस दावे को गलत बताया कि हैक किया गया पोर्टल सिर्फ एक “टेस्ट” डोमेन था। सैनी ने कहा कि सीबीएसई बोर्ड के दावे को सही ठहराने का कोई ठोस प्रमाण सार्वजनिक रूप से उपलब्ध नहीं है। अधिकारी ने जिस डोमेन को हैक करने का दावा किया है, उसे सीबीएसई बोर्ड के आधिकारिक ईमेल में छात्रों के साथ शेयर किया गया था। इससे पता चलता है कि यह सिर्फ टेस्ट डोमेन नहीं था। उन्होंने कहा कि ये मान भी लिया जाए कि हैक डोमेन सिर्फ टेस्टिंग के लिए था, तब भी ज्यादातर मामलों में, टेस्ट और प्रोडक्शन सिस्टम एक ही कोडबेस शेयर करते हैं। एक एनवायरनमेंट में कमी अक्सर दूसरे में भी होती है।
चिंताजनक है गड़बड़झाले की पूरी तस्वीर
सीबीएसई के इवैलुएशन पोर्टल के सच और दावे से तैयार हो रही तस्वीर काफी चिंताजनक है। यह पब्लिक के सामने मौजूद डिजिटल इंफ्रास्ट्रक्चर, खासकर संवेदनशील एजुकेशनल और पर्सनल डेटा को संभालने वाले सिस्टम में साइबर सिक्योरिटी हाइजीन पर सवाल खड़े करती है।
क्यों किया पूरी प्रक्रिया का खुलासा ?
निसर्ग ने एक पोस्ट में बताया कि वह एक शौकिया साइबर सिक्योरिटी रिसर्चर है और इसी साल 12वीं क्लास की परीक्षा दी है। वह पहले भी शौक के तौर पर बग बाउंटी और सिक्योरिटी से जुड़े काम कर चुका है। मूल्यांकन पोर्टल के बारे में अधिकारी ने सीबीएसई, डेवलपर्स और प्लेटफॉर्म से जुड़े वेंडर से संपर्क करने की कोशिश की, लेकिन कोई जवाब नहीं मिला। काफी समय तक नाकाम फॉलो-अप के बाद इन समस्याओं को पब्लिक में बताने का फैसला किया।
हिंदी में शेयर बाजार, स्टॉक मार्केट न्यूज़, बिजनेस न्यूज़, पर्सनल फाइनेंस और अन्य देश से जुड़ी खबरें सबसे पहले मनीकंट्रोल हिंदी पर पढ़ें. डेली मार्केट अपडेट के लिए Moneycontrol App डाउनलोड करें।