CBSE की डिजिटल चेकिंग में भारी सुरक्षा चूक, हैकर निसर्ग का दावा बिना OTP, पासवर्ड खुल रहा था कॉपी चेकिंग पोर्टल!

CBSE Class 12 Revaluation Issues: केंद्रीय माध्यमिक शिक्षा बोर्ड (CBSE) की ऑनलाइन स्क्रीन मार्किंग (OSM) को लेकर पहले ही स्टूडेंट्स में भारी गुस्सा है और अब एक नए खुलासे ने बोर्ड की सुरक्षा व्यवस्था की पोल खोल दी है। 19 साल के एक साइबर सुरक्षा रिसर्चर निसर्ग अधिकारी ने दावा किया है कि, उसने सीबीएसई के चेकिंग पोर्टल में बड़ी खामियां खोजी थीं और महीनों पहले ही सरकार को इसकी चेतावनी दे दी थी। निसर्ग का दावा है कि, इस पोर्टल से आसानी से किसी भी स्टूडेंट के नंबर देखे और बदले जा सकते थे।

क्या है पूरा मामला?

यह सनसनीखेज खुलासा तब सामने आया जब टेक बिजनेसमैन डीडी दास (Deedy Das) ने सोशल मीडिया प्लेटफॉर्म एक्स (X) पर निसर्ग के ब्लॉग को शेयर किया। निसर्ग ने अपने ब्लॉग में बताया है कि, उसने इस साल फरवरी में ही सीबीएसई के ऑनलाइन स्क्रीन मार्किंग पोर्टल में कई खतरनाक कमियां ढूंढ निकाली थीं और तुरंत भारत सरकार की साइबर सुरक्षा एजेंसी ‘सर्ट इन’ (CERT In) को इसकी जानकारी दी थी। लेकिन निसर्ग का दावा है कि, उसकी शिकायत के महीनों बाद भी उन कमियों को ठीक नहीं किया गया।

कैसे खुली सीबीएसई सिस्टम की पोल

निसर्ग ने बताया कि यह सब केवल एक एक्साइटमेंट के चलते शुरू हुआ था। उसने देखा कि सीबीएसई का ओएसएम पोर्टल (जहां शिक्षक ऑनलाइन कॉपियां चेक करते हैं) पूरी तरह से पब्लिक था। जब उसने साइट के अंदर के कोड (वेबसाइट की कोडिंग) को देखना शुरू किया तो उसके होश उड़ गए। निसर्ग ने लिखा कि, लॉगिन पेज पर केवल तीन चीजें मांगी जाती थीं, यूजर आईडी, स्कूल कोड और पासवर्ड जिसके बाद ओटीपी आता है। बाहर से सब कुछ सामान्य लग रहा था लेकिन असली खेल कोडिंग के अंदर था।

अंदर का नजारा भयानक था

निसर्ग के ब्लॉग के अनुसार, पोर्टल में सबसे बड़ी खामी यह थी कि उसका एक मास्टर पासवर्ड खुलेआम वेबसाइट की जावास्क्रिप्ट (कोडिंग का एक हिस्सा) में रखा हुआ था जिसे, कोई भी आसानी से देख सकता था। निसर्ग ने दावा किया कि, यह पासवर्ड सीधा-सीधा लिखा हुआ था न कि किसी सुरक्षित कोड या हैश (Hash) के रूप में।

उसका दावा है कि, इस मास्टर पासवर्ड का इस्तेमाल करने पर ओटीपी की जरूरत ही खत्म हो जाती थी और किसी भी एग्जामिनर (कॉपी चेक करने वाले शिक्षक) के अकाउंट में आसानी से प्रवेश किया जा सकता था। इसके लिए सिर्फ एक यूजर आईडी और स्कूल कोड चाहिए था जो आसानी से इंटरनेट पर मिल जाता है।

OTP सिस्टम था सिर्फ एक दिखावा

निसर्ग ने एक और बड़ा दावा करते हुए कहा कि, पोर्टल का ओटीपी सिस्टम केवल एक दिखावा था। जब सिस्टम ओटीपी भेजता था तो, वह उसी पेज पर कोड के अंदर दिख जाता था और वेबसाइट खुद ही उसकी जांच कर लेती थी। आसान भाषा में कहें तो, जो ओटीपी आपके फोन पर आना चाहिए वह वेबसाइट पर ही देखा जा सकता था। कोई भी व्यक्ति थोड़ी सी चालाकी से बिना ओटीपी डाले ही लॉगिन कर सकता था।

पासवर्ड बदले बिना मिल रहा था पूरा कंट्रोल

इतना ही नहीं निसर्ग ने यह भी दावा किया कि, पोर्टल के डैशबोर्ड या प्रोफाइल जैसे पन्नों पर जाने के लिए भी कोई पुख्ता सुरक्षा नहीं थी। बिना असली पासवर्ड डाले केवल कुछ कमांड देकर पूरा अकाउंट कंट्रोल किया जा सकता था। यह एक बहुत बड़ी चूक थी जिससे, कोई भी बाहर बैठा इंसान एग्जामिनर बनकर कॉपियों के साथ छेड़छाड़ कर सकता था।

शिकायत की लेकिन नहीं हुआ कोई सुधार

निसर्ग का कहना है कि, उसने फरवरी में ही CERT In को ईमेल और वीडियो भेजकर इन सभी कमियों की जानकारी दे दी थी। उसे शिकायत दर्ज होने का एक साधारण सा ईमेल भी मिला लेकिन कई बार याद दिलाने के बाद भी पोर्टल में कोई सुधार नहीं किया गया। सोशल मीडिया पर लोग सीबीएसई की कार्यप्रणाली पर कड़े सवाल उठा रहे हैं। हालांकि सीबीएसई ने अभी तक इन दावों की पुष्टि नहीं की है और न ही यह बताया है कि, क्या सच में किसी छात्र के नंबरों के साथ कोई छेड़छाड़ हुई है या नहीं। लेकिन इस खुलासे ने लाखों स्टूडेंट्स और अभिभावकों की नींद जरूर उड़ा दी है।