CBSE की डिजिटल चेकिंग में भारी सुरक्षा चूक, हैकर निसर्ग का दावा बिना OTP, पासवर्ड खुल रहा था कॉपी चेकिंग पोर्टल!

CBSE Class 12 Revaluation Issues:केंद्रीय माध्यमिक शिक्षा बोर्ड (CBSE) की ऑनलाइन स्क्रीन मार्किंग (OSM) को लेकर पहले ही स्टूडेंट्स में भारी गुस्सा है और अब एक नए खुलासे ने बोर्ड की सुरक्षा व्यवस्था की पोल खोल दी है। 19 साल के एक साइबर सुरक्षा रिसर्चर निसर्ग अधिकारी ने दावा किया है कि, उसने सीबीएसई के चेकिंग पोर्टल में बड़ी खामियां खोजी थीं और महीनों पहले ही सरकार को इसकी चेतावनी दे दी थी। निसर्ग का दावा है कि, इस पोर्टल से आसानी से किसी भी स्टूडेंट के नंबर देखे और बदले जा सकते थे।

क्या है पूरा मामला?

यह सनसनीखेज खुलासा तब सामने आया जब टेक बिजनेसमैन डीडी दास (Deedy Das) ने सोशल मीडिया प्लेटफॉर्म एक्स (X) पर निसर्ग के ब्लॉग को शेयर किया। निसर्ग ने अपने ब्लॉग में बताया है कि, उसने इस साल फरवरी में ही सीबीएसई के ऑनलाइन स्क्रीन मार्किंग पोर्टल में कई खतरनाक कमियां ढूंढ निकाली थीं और तुरंत भारत सरकार की साइबर सुरक्षा एजेंसी 'सर्ट इन' (CERT In) को इसकी जानकारी दी थी। लेकिन निसर्ग का दावा है कि, उसकी शिकायत के महीनों बाद भी उन कमियों को ठीक नहीं किया गया।

कैसे खुली सीबीएसई सिस्टम की पोल

निसर्ग ने बताया कि यह सब केवल एक एक्साइटमेंट के चलते शुरू हुआ था। उसने देखा कि सीबीएसई का ओएसएम पोर्टल (जहां शिक्षक ऑनलाइन कॉपियां चेक करते हैं) पूरी तरह से पब्लिक था। जब उसने साइट के अंदर के कोड (वेबसाइट की कोडिंग) को देखना शुरू किया तो उसके होश उड़ गए। निसर्ग ने लिखा कि, लॉगिन पेज पर केवल तीन चीजें मांगी जाती थीं, यूजर आईडी, स्कूल कोड और पासवर्ड जिसके बाद ओटीपी आता है। बाहर से सब कुछ सामान्य लग रहा था लेकिन असली खेल कोडिंग के अंदर था।

अंदर का नजारा भयानक था

निसर्ग के ब्लॉग के अनुसार, पोर्टल में सबसे बड़ी खामी यह थी कि उसका एक मास्टर पासवर्ड खुलेआम वेबसाइट की जावास्क्रिप्ट (कोडिंग का एक हिस्सा) में रखा हुआ था जिसे, कोई भी आसानी से देख सकता था। निसर्ग ने दावा किया कि, यह पासवर्ड सीधा-सीधा लिखा हुआ था न कि किसी सुरक्षित कोड या हैश (Hash) के रूप में।

उसका दावा है कि, इस मास्टर पासवर्ड का इस्तेमाल करने पर ओटीपी की जरूरत ही खत्म हो जाती थी और किसी भी एग्जामिनर (कॉपी चेक करने वाले शिक्षक) के अकाउंट में आसानी से प्रवेश किया जा सकता था। इसके लिए सिर्फ एक यूजर आईडी और स्कूल कोड चाहिए था जो आसानी से इंटरनेट पर मिल जाता है।

OTP सिस्टम था सिर्फ एक दिखावा

निसर्ग ने एक और बड़ा दावा करते हुए कहा कि, पोर्टल काओटीपी सिस्टमकेवल एक दिखावा था। जब सिस्टम ओटीपी भेजता था तो, वह उसी पेज पर कोड के अंदर दिख जाता था और वेबसाइट खुद ही उसकी जांच कर लेती थी। आसान भाषा में कहें तो, जो ओटीपी आपके फोन पर आना चाहिए वह वेबसाइट पर ही देखा जा सकता था। कोई भी व्यक्ति थोड़ी सी चालाकी से बिना ओटीपी डाले ही लॉगिन कर सकता था।

पासवर्ड बदले बिना मिल रहा था पूरा कंट्रोल

इतना ही नहीं निसर्ग ने यह भी दावा किया कि, पोर्टल के डैशबोर्ड या प्रोफाइल जैसे पन्नों पर जाने के लिए भी कोई पुख्ता सुरक्षा नहीं थी। बिना असली पासवर्ड डाले केवल कुछ कमांड देकर पूरा अकाउंट कंट्रोल किया जा सकता था। यह एक बहुत बड़ी चूक थी जिससे, कोई भी बाहर बैठा इंसान एग्जामिनर बनकर कॉपियों के साथ छेड़छाड़ कर सकता था।

शिकायत की लेकिन नहीं हुआ कोई सुधार

निसर्ग का कहना है कि, उसने फरवरी में ही CERT In को ईमेल और वीडियो भेजकर इन सभी कमियों की जानकारी दे दी थी। उसे शिकायत दर्ज होने का एक साधारण सा ईमेल भी मिला लेकिन कई बार याद दिलाने के बाद भी पोर्टल में कोई सुधार नहीं किया गया। सोशल मीडिया पर लोग सीबीएसई की कार्यप्रणाली पर कड़े सवाल उठा रहे हैं। हालांकि सीबीएसई ने अभी तक इन दावों की पुष्टि नहीं की है और न ही यह बताया है कि, क्या सच में किसी छात्र के नंबरों के साथ कोई छेड़छाड़ हुई है या नहीं। लेकिन इस खुलासे ने लाखों स्टूडेंट्स और अभिभावकों की नींद जरूर उड़ा दी है।