Nisarga Adhikary on CBSE OSM: सीबीएसई बोर्ड से 12वीं कक्षा की परीक्षा देने जा रही छात्र निसर्ग अधिकारी ने फरवरी में सीबीएसई द्वारा इस्तेमाल किए ने वाले डिजिटल मूल्यांकन पोर्टल के बारे में खोजबीन करना शुरू किया। उन्होंने यूट्यूब वीडियो और सार्वजनिक तौर पर उपलब्ध सर्कुलर से जानकारियां जुटाटनी शुरू की। उन्होंने यह जानकारी जिज्ञासावश जुटाई थी, जो जल्द ही एक ऐसी जिम्मेदारी में बदल गया, जिसमें भारत की साइबर इमाजेंसी एजेंसी CERT-In भी जुड़ गई। महीनों लंबी चली इस मुहिम में वेंडर्स को बिना जवाब वाले मेल मिले और आखिरकार, एक वायरल खुलासा हुआ जिससे पोर्टल को ऑफलाइन करना पड़ा।
Nisarga Adhikary on CBSE OSM: शौकिया हैकर निसर्ग ने बताया कैसे पकड़ी सीबीएसई के मूल्यांकन सिस्टम में गड़बडियां, पोर्टल तैयार करने वाले कंपनी का है पुराना इतिहास
Nisarga Adhikary on CBSE OSM: खुद को एथिकल हैकर कहने वाले निसर्ग अधिकारी ने कई देश की साइबर सुरक्षा एजेंसी को पूरे मामले की खबर दी। उन्होंने काफी समय तक सीबीएसई बोर्ड सहित सभी पक्षों से जवाब का इंतजार किया। जवाब नहीं मिलने पर उन्होंने सोशल मीडिया पर जांच का खुलासा किया
MoneyControl Newsअपडेटेड May 27, 2026 पर 5:40 PM
निसर्ग ने मनीकंट्रोल को पश्चिम बंगाल के सिलिगुड़ी से फोन इंटरव्यू में बताया, ‘मुझे यह जानकर उत्सुकता हुई कि उन्होंने कॉपियों के डिजिटल मूल्यांकन के लिए एक पोर्टल http://cbse.onmark.co.in तैयार किया है। मैंने देखना शुरू किया, तो मुझे डोमेन मिल गया। टीचर्स उसका इस्तेमाल कर रहे थे और उस पर ऑनलाइन वीडियो भी थे।’ अधिकारी ने कहा कि उनके पास इसे एक्सेस करने के लिए जरूरी क्रेडेंशियल नहीं थे। उन्होंने कहा, ‘मुझे मास्टर पासवर्ड मिला, जो छुपा हुआ नहीं था बल्कि यह असल में कोड में हार्डकोडेड था।’
अपने ब्लॉग पोस्ट में अधिकारी ने सीबीएसई के डिजिटल मूल्यांकन पोर्टल में मौजूद कई कथित खामियों के बारे में विस्तार से बताया है। इसमें क्लाइंट साइड ओटीपी प्रमाणिकता, उजागर क्रेडेंशियल और अपर्याप्त एक्सेस कंट्रोल शामिल है। अधिकारी ने इनकी तुलना नौसीखिया द्वारा की जाने वाली गलतियों से की। वह कहते हैं, ‘ये बहुत बड़ी सुरक्षा चूक है।’ जिसके पास ब्राउजर है, वो ये कोड आराम से देख सकता है। इसके लिए बहुत गहराई से जांच करने की भी जरूरत नहीं है।
सीबीएसई के लिए पोर्टल बनाने वाले कंपनी पर पहले भी लगे आरोप
सीबीएसई के लिए आंसर शीट मूल्यांकन के लिए डिजिटल प्लैटफॉर्म “ऑनमार्क” को हैदराबाद की कोएम्प्ट एडुटेक ने बनाया है। कोएम्प्ट एडुटेक और ग्लोबरेना टेक्नोलॉजीज की लीडरशिप मिलीजुली है, जिसमें डायरेक्ट वीएसएन राजू भी शामिल है। ग्लोबरेना टेक्नोलॉजीज वही कंपनी है, जिसे 2019 के तेलंगाना इंटरमीडिएट बोर्ड के नतीजों के दौरान जांच का सामना करना पड़ा था। तब हजारों छात्रों द्वारा नंबरों में अंतर की शिकायत की गई थी। मनीकंट्रोल के कई प्रयासों के बावजूद ग्लोबरेना टेक्नोलॉजीज और राजू से संपर्क नहीं हो सका।
वेबसाइट हाल ही में बंद कर दी गई
अधिकारी ने कहा कि उन्होंने सबसे पहले 25 फरवरी को इंडियन कंप्यूटर इमरजेंसी रिस्पॉन्स टीम (CERT-In) को डिजिअल पोर्टल की कमजोरियों के बारे में बताया था। एजेंसी ने उनसे प्रूफ-ऑफ-कॉन्सेप्ट वीडियो डेमोंस्ट्रेशन मांगा था, जिसे उन्होंने शेयर किया।
इसके बाद CERT-In ने जवाब दिया, जिसकी एक कॉपी मनीकंट्रोल ने भी देखी है। इसमें कहा गया है, "CERT-In को इस घटना की रिपोर्ट करने के लिए धन्यवाद। हमने आपकी शिकायत दर्ज कर ली है। हम संबंधित अथॉरिटी के साथ उचित कार्रवाई करने की प्रक्रिया में हैं।" उनकी इतनी कवायद के बाद डिजिटल पोर्टल से हार्डकोडेड मास्टर पासवर्ड को कोड से हटा दिया गया था, लेकिन दूसरी कमजोरियों को ठीक नहीं किया गया। इसके बाद 25 मई को भी उन्हें पोर्टल की एक और कमजोरी का पता चला, जिसमें मूल्यांकनकर्ता के यूजरनेम, पासवर्ड ओर बैंक डिटेल्स दिख रहे थे। एक बार फिर उन्होंने इसकी जनकारी साइबर सुरक्षा एजेंसी को दी, जिसके जवाब में उन्हें केवल एक एक्नॉलेजमेंट ईमेल मिला। इसके बाद उनका ट्वीट वायरल होने के बाद पोर्टल को ऑफलाइन कर दिया गया।
सीबीएसई ने खारिज किया दावा
निसर्ग अधिकारी के खुलासे के बाद छात्रों, अभिभावकों और टीचर्स के बीच तहलका मच गया। हालांकि, 26 मई को सीबीएसई ने एक वक्तव्य जारी कर पोर्टल हैक होने के आरोप को खारिज कर दिया है। सीबीएसई बोर्ड ने दावा किया है कि उसका प्राथमिक डाटा सिस्टम हैक नहीं हुआ है और ये पूरी तरह सुरक्षित है। कथित हैक पोर्टल परीक्षण साइट थी, जहां आंतरिक परीक्षण और समीक्षा के लिए सैंपल डाटा का इस्तेमाल किया गया था।
भरोसेमंद नहीं सीबीएसई बोर्ड का जवाब
सिक्योरिटी रिसर्चर करण सैनी ने निसर्ग अधिकारी की पड़ताल की समीक्षा की। उन्होंने सीबीएसई बोर्ड के इस दावे को गलत बताया कि हैक किया गया पोर्टल सिर्फ एक “टेस्ट” डोमेन था। सैनी ने कहा कि सीबीएसई बोर्ड के दावे को सही ठहराने का कोई ठोस प्रमाण सार्वजनिक रूप से उपलब्ध नहीं है। अधिकारी ने जिस डोमेन को हैक करने का दावा किया है, उसे सीबीएसई बोर्ड के आधिकारिक ईमेल में छात्रों के साथ शेयर किया गया था। इससे पता चलता है कि यह सिर्फ टेस्ट डोमेन नहीं था। उन्होंने कहा कि ये मान भी लिया जाए कि हैक डोमेन सिर्फ टेस्टिंग के लिए था, तब भी ज्यादातर मामलों में, टेस्ट और प्रोडक्शन सिस्टम एक ही कोडबेस शेयर करते हैं। एक एनवायरनमेंट में कमी अक्सर दूसरे में भी होती है।
चिंताजनक है गड़बड़झाले की पूरी तस्वीर
सीबीएसई के इवैलुएशन पोर्टल के सच और दावे से तैयार हो रही तस्वीर काफी चिंताजनक है। यह पब्लिक के सामने मौजूद डिजिटल इंफ्रास्ट्रक्चर, खासकर संवेदनशील एजुकेशनल और पर्सनल डेटा को संभालने वाले सिस्टम में साइबर सिक्योरिटी हाइजीन पर सवाल खड़े करती है।
क्यों किया पूरी प्रक्रिया का खुलासा ?
निसर्ग ने एक पोस्ट में बताया कि वह एक शौकिया साइबर सिक्योरिटी रिसर्चर है और इसी साल 12वीं क्लास की परीक्षा दी है। वह पहले भी शौक के तौर पर बग बाउंटी और सिक्योरिटी से जुड़े काम कर चुका है। मूल्यांकन पोर्टल के बारे में अधिकारी ने सीबीएसई, डेवलपर्स और प्लेटफॉर्म से जुड़े वेंडर से संपर्क करने की कोशिश की, लेकिन कोई जवाब नहीं मिला। काफी समय तक नाकाम फॉलो-अप के बाद इन समस्याओं को पब्लिक में बताने का फैसला किया।
हिंदी में शेयर बाजार, स्टॉक मार्केट न्यूज़, बिजनेस न्यूज़, पर्सनल फाइनेंस और अन्य देश से जुड़ी खबरें सबसे पहले मनीकंट्रोल हिंदी पर पढ़ें. डेली मार्केट अपडेट के लिए Moneycontrol App डाउनलोड करें।
