CBSE Class 12 Revaluation Issues:केंद्रीय माध्यमिक शिक्षा बोर्ड (CBSE) की ऑनलाइन स्क्रीन मार्किंग (OSM) को लेकर पहले ही स्टूडेंट्स में भारी गुस्सा है और अब एक नए खुलासे ने बोर्ड की सुरक्षा व्यवस्था की पोल खोल दी है। 19 साल के एक साइबर सुरक्षा रिसर्चर निसर्ग अधिकारी ने दावा किया है कि, उसने सीबीएसई के चेकिंग पोर्टल में बड़ी खामियां खोजी थीं और महीनों पहले ही सरकार को इसकी चेतावनी दे दी थी। निसर्ग का दावा है कि, इस पोर्टल से आसानी से किसी भी स्टूडेंट के नंबर देखे और बदले जा सकते थे।
यह सनसनीखेज खुलासा तब सामने आया जब टेक बिजनेसमैन डीडी दास (Deedy Das) ने सोशल मीडिया प्लेटफॉर्म एक्स (X) पर निसर्ग के ब्लॉग को शेयर किया। निसर्ग ने अपने ब्लॉग में बताया है कि, उसने इस साल फरवरी में ही सीबीएसई के ऑनलाइन स्क्रीन मार्किंग पोर्टल में कई खतरनाक कमियां ढूंढ निकाली थीं और तुरंत भारत सरकार की साइबर सुरक्षा एजेंसी 'सर्ट इन' (CERT In) को इसकी जानकारी दी थी। लेकिन निसर्ग का दावा है कि, उसकी शिकायत के महीनों बाद भी उन कमियों को ठीक नहीं किया गया।
Nisarga informed CERT-In about the security problems (Image- website screenshot)
कैसे खुली सीबीएसई सिस्टम की पोल
निसर्ग ने बताया कि यह सब केवल एक एक्साइटमेंट के चलते शुरू हुआ था। उसने देखा कि सीबीएसई का ओएसएम पोर्टल (जहां शिक्षक ऑनलाइन कॉपियां चेक करते हैं) पूरी तरह से पब्लिक था। जब उसने साइट के अंदर के कोड (वेबसाइट की कोडिंग) को देखना शुरू किया तो उसके होश उड़ गए। निसर्ग ने लिखा कि, लॉगिन पेज पर केवल तीन चीजें मांगी जाती थीं, यूजर आईडी, स्कूल कोड और पासवर्ड जिसके बाद ओटीपी आता है। बाहर से सब कुछ सामान्य लग रहा था लेकिन असली खेल कोडिंग के अंदर था।
CBSE OSM portal as listed by Nisarga (Image- website screenshot)
निसर्ग के ब्लॉग के अनुसार, पोर्टल में सबसे बड़ी खामी यह थी कि उसका एक मास्टर पासवर्ड खुलेआम वेबसाइट की जावास्क्रिप्ट (कोडिंग का एक हिस्सा) में रखा हुआ था जिसे, कोई भी आसानी से देख सकता था। निसर्ग ने दावा किया कि, यह पासवर्ड सीधा-सीधा लिखा हुआ था न कि किसी सुरक्षित कोड या हैश (Hash) के रूप में।
CBSE OSM portal as listed by Nisarga (Image- website screenshot)
उसका दावा है कि, इस मास्टर पासवर्ड का इस्तेमाल करने पर ओटीपी की जरूरत ही खत्म हो जाती थी और किसी भी एग्जामिनर (कॉपी चेक करने वाले शिक्षक) के अकाउंट में आसानी से प्रवेश किया जा सकता था। इसके लिए सिर्फ एक यूजर आईडी और स्कूल कोड चाहिए था जो आसानी से इंटरनेट पर मिल जाता है।
OTP सिस्टम था सिर्फ एक दिखावा
निसर्ग ने एक और बड़ा दावा करते हुए कहा कि, पोर्टल काओटीपी सिस्टमकेवल एक दिखावा था। जब सिस्टम ओटीपी भेजता था तो, वह उसी पेज पर कोड के अंदर दिख जाता था और वेबसाइट खुद ही उसकी जांच कर लेती थी। आसान भाषा में कहें तो, जो ओटीपी आपके फोन पर आना चाहिए वह वेबसाइट पर ही देखा जा सकता था। कोई भी व्यक्ति थोड़ी सी चालाकी से बिना ओटीपी डाले ही लॉगिन कर सकता था।
Nisarga gained full access to the complete CBSE OSM system (Image- website screenshot)
पासवर्ड बदले बिना मिल रहा था पूरा कंट्रोल
इतना ही नहीं निसर्ग ने यह भी दावा किया कि, पोर्टल के डैशबोर्ड या प्रोफाइल जैसे पन्नों पर जाने के लिए भी कोई पुख्ता सुरक्षा नहीं थी। बिना असली पासवर्ड डाले केवल कुछ कमांड देकर पूरा अकाउंट कंट्रोल किया जा सकता था। यह एक बहुत बड़ी चूक थी जिससे, कोई भी बाहर बैठा इंसान एग्जामिनर बनकर कॉपियों के साथ छेड़छाड़ कर सकता था।
Response from CERT-In (Image- website screenshot)
शिकायत की लेकिन नहीं हुआ कोई सुधार
निसर्ग का कहना है कि, उसने फरवरी में ही CERT In को ईमेल और वीडियो भेजकर इन सभी कमियों की जानकारी दे दी थी। उसे शिकायत दर्ज होने का एक साधारण सा ईमेल भी मिला लेकिन कई बार याद दिलाने के बाद भी पोर्टल में कोई सुधार नहीं किया गया। सोशल मीडिया पर लोग सीबीएसई की कार्यप्रणाली पर कड़े सवाल उठा रहे हैं। हालांकि सीबीएसई ने अभी तक इन दावों की पुष्टि नहीं की है और न ही यह बताया है कि, क्या सच में किसी छात्र के नंबरों के साथ कोई छेड़छाड़ हुई है या नहीं। लेकिन इस खुलासे ने लाखों स्टूडेंट्स और अभिभावकों की नींद जरूर उड़ा दी है।