कई दिनों के इनकार के बाद, केंद्रीय माध्यमिक शिक्षा बोर्ड (सीबीएसई) ने आखिरकार इस वर्ष कक्षा 12 की परीक्षाओं की स्कैन की गई उत्तर पुस्तिकाओं का मूल्यांकन करने के लिए शिक्षकों द्वारा उपयोग किए जाने वाले पोर्टल ऑनमार्क में सुरक्षा “कमजोरियों” को स्वीकार कर लिया है।

यह स्वीकारोक्ति युवा एथिकल हैकरों द्वारा रिपोर्ट की गई सुरक्षा खामियों की एक श्रृंखला के बाद हुई है, जिन्होंने सोशल मीडिया पर सबूत भी साझा किए हैं।

यह भी पढ़ें: महाकुम्ब के बाद होली ने सनातन विरोधियों को जवाब दिया: योगी आदित्यनाथ

सीबीएसई की ऑन-स्क्रीन मार्किंग (ओएसएम) प्रणाली से संबंधित कम से कम नौ डोमेन में सुरक्षा कमजोरियों की पहचान की गई है, जिसे इस साल कक्षा 12 परीक्षाओं के मूल्यांकन के लिए पेश किया गया था। इनमें cbse.onmark.co.in, cbse1-cbse6.onmark.co.in (छह रिफ्लेक्शन पोर्टल), cbseosm.onmark.co.in और cbseppod.onmark.co.in शामिल हैं।

यह भी पढ़ें: राय | राहुल की ‘भारतीय राज्य के खिलाफ लड़ाई’: असली निशाना मोदी हैं

अधिकांश सुरक्षा खामियाँ शुरू में cbse.onmark.co.in पर पाई गईं और उनमें से कई इसके मिरर पोर्टल पर भी पाई गईं। ये सभी साइटें वर्तमान में पहुंच योग्य नहीं हैं।

इन कमियों का वर्णन करने के लिए बहुत सारी तकनीकी भाषा का उपयोग किया गया है। आइए उन्हें सरल शब्दों में तोड़ें।

यह भी पढ़ें: अरुणाचल प्रदेश के राज्यपाल ने कहा, उच्च शिक्षा में स्पष्ट, वस्तुनिष्ठ दृष्टिकोण होना चाहिए

आरोपों का सरलीकरण किया गया

आरोप 1: पोर्टल में मास्टर पासवर्ड गायब है

साइबर सुरक्षा शोधकर्ता निसारगा अधिकारी ने एनडीटीवी के साथ एक वीडियो रिकॉर्डिंग साझा की है जिसमें मुख्य वेबसाइट cbse.onmark.co.in के कोड में एक प्लेनटेक्स्ट पासवर्ड दिखाया गया है – जिसे सबसे गंभीर खतरा बताया गया है।

हालाँकि, एनडीटीवी के स्रोत कोड के संग्रहीत संस्करण के विश्लेषण के अनुसार, साइट में 3 मार्च, 2026 को हार्डकोडेड पासवर्ड नहीं था, जिससे पता चलता है कि इसे तब तक ठीक कर दिया गया था। कुछ मिरर पोर्टल, जिनके संस्करण इंटरनेट आर्काइव पर उपलब्ध हैं, के पास मार्च के अंत तक पासवर्ड भी नहीं थे।

यह भी पढ़ें: भयानक ईरान संकट: जयशंकर की कूटनीतिक पहल और भारतीयों की वापसी का सच

इसका क्या मतलब है: पोर्टल के सोर्स कोड में मास्टर पासवर्ड छोड़ना अपने घर की चाबी सामने वाले दरवाजे के बाहर छोड़ने जैसा है। यहां तक ​​कि एक गैर-तकनीकी उपयोगकर्ता भी वेबसाइट के स्रोत कोड की जांच कर सकता है और मास्टर पासवर्ड प्राप्त कर सकता है। इसके अलावा, उन्हें सिस्टम तक पहुंचने और संभावित रूप से उस निर्धारिती को दिए गए अंकों को बदलने के लिए एक वास्तविक निर्धारिती की उपयोगकर्ता आईडी की आवश्यकता होगी।

यह स्पष्ट नहीं है कि सिस्टम ने आधिकारिक मूल्यांकन विंडो के बाहर मार्क संपादन की अनुमति दी है या नहीं, यदि मौजूद है तो यह एक महत्वपूर्ण सुरक्षा उपाय है।

आरोप 2: ओटीपी प्रमाणीकरण पूरी तरह से क्लाइंट-साइड है

इसका क्या मतलब है: ओटीपी (वन-टाइम पासवर्ड) एक सामान्य दो-चरणीय सत्यापन विधि है जिसका उपयोग यह सुनिश्चित करने के लिए किया जाता है कि अनधिकृत उपयोगकर्ता लॉग इन नहीं कर सकते, भले ही उनके पास वैध क्रेडेंशियल हों। मानक अभ्यास के रूप में, ओटीपी पंजीकृत उपयोगकर्ता के फोन या ईमेल आईडी पर भेजे जाते हैं और पहचान साबित करने के लिए इसे मैन्युअल रूप से दर्ज किया जाना चाहिए।

अधिकारी ने दावा किया कि cbse.onmark.co.in पर इस सुरक्षा को बायपास किया जा सकता है। उनके प्रदर्शन में, मास्टर पासवर्ड का उपयोग करने पर ओटीपी स्वतः भरा हुआ प्रतीत होता है। इसका मतलब यह होगा कि सर्वर ओटीपी को उपयोगकर्ता के ईमेल या फोन पर भेजने के बजाय सीधे ब्राउज़र पर भेजता है।

हालाँकि, सार्वजनिक रूप से उपलब्ध ट्यूटोरियल वीडियो से पता चलता है कि आम उपयोगकर्ताओं को अभी भी मैन्युअल रूप से ओटीपी दर्ज करना होगा।

इससे पता चलता है कि भेद्यता केवल तभी लागू की जा सकती है जब किसी के पास मास्टर पासवर्ड तक पहुंच हो।

आरोप 3: मौजूदा पासवर्ड के बिना पासवर्ड बदलना

इसका क्या मतलब है: अधिकांश प्लेटफ़ॉर्म पर उपयोगकर्ताओं को इसे बदलने से पहले अपना वर्तमान पासवर्ड दर्ज करना पड़ता है।

इस मामले में शोधकर्ता ने दावा किया कि पोर्टल पुराने पासवर्ड की पुष्टि किए बिना पासवर्ड बदलने की अनुमति देता है। ट्रैफ़िक विश्लेषण ने सुझाव दिया कि वर्तमान पासवर्ड को सर्वर-साइड से सत्यापित नहीं किया जा सकता है।

यदि सत्य है, तो यह किसी अनधिकृत उपयोगकर्ता को मूल्यांकनकर्ता का पासवर्ड रीसेट करने और उन्हें लॉक करने की अनुमति दे सकता है।

(छवि: अधिकारी द्वारा साझा किए गए वीडियो में मध्य प्रदेश के एक शिक्षक की व्यक्तिगत जानकारी के साथ ओएसएम डैशबोर्ड दिखाया गया है, जिन्होंने एनडीटीवी को बताया कि उन्होंने मॉक ड्रिल में भाग लिया था, लेकिन वास्तविक मूल्यांकन प्रक्रिया में नहीं।)

आरोप 4: कोई रूट गार्ड नहीं

इसका क्या मतलब है: एक सरकारी कार्यालय के बारे में सोचें जहां आपको केवल एक निश्चित कमरे में प्रवेश करना होता है, लेकिन कोई भी आपको दूसरों को प्रवेश करने से नहीं रोकता है।

इसी तरह, सिस्टम आंतरिक पृष्ठों तक पहुंच को सख्ती से प्रतिबंधित नहीं कर सकता है। शोधकर्ता के अनुसार, कमजोर प्रमाणीकरण नियंत्रणों के कारण संवेदनशील पृष्ठों और फ़ाइलों को एक्सेस या संशोधित किया जा सकता है।

आरोप 5: गलत AWS बकेट कॉन्फ़िगरेशन

इसका क्या मतलब है: सीबीएसई ने स्कैन की गई उत्तर पुस्तिकाओं को अमेज़ॅन वेब सर्विसेज (एडब्ल्यूएस) पर संग्रहीत किया। हालाँकि, कॉन्फ़िगरेशन ठीक से संरक्षित नहीं किया जा सकता है।

इसका मतलब यह हो सकता है कि इंटरनेट पर कोई भी संभावित रूप से छात्रों की उत्तर पुस्तिकाओं तक पहुंच सकता है या डाउनलोड कर सकता है, जिससे गोपनीयता और डेटा के दुरुपयोग के बारे में चिंताएं बढ़ सकती हैं।

(छवि: सीबीएसई कक्षा 12वीं परीक्षा 2026 की उत्तर पुस्तिकाओं की स्कैन की गई प्रतियों को होस्ट करने वाले कथित क्लाउड स्टोरेज का स्क्रीनशॉट)

सीबीएसई के सवालों का सामना करना पड़ा

विपक्षी नेताओं, कार्यकर्ताओं और नागरिकों ने एप्लिकेशन सुरक्षा के प्रति कथित लापरवाही और ढीले रवैये के लिए सीबीएसई की आलोचना की है। कुछ लोगों ने यह भी सवाल किया है कि क्या हैदराबाद स्थित कॉम्पिट एजुकेशन प्राइवेट लिमिटेड को अनुचित प्राथमिकता दी गई थी।

सीबीएसई अधिकारियों ने कथित अनियमितताओं के बारे में एनडीटीवी के सवालों का जवाब नहीं दिया। सीबीएसई के एक पूर्व वरिष्ठ अधिकारी ने कहा कि तीसरे पक्ष द्वारा विकसित एप्लिकेशन आमतौर पर तैनाती से पहले कठोर आंतरिक जांच से गुजरते हैं।