CBSE की कॉपियाँ जाँचने वाले ‘ऑन-स्क्रीन मार्किंग’ (OSM) पोर्टल में एक बड़ी गड़बड़ी का दावा सामने आया। टेक बिजनेसमैन दीदी दास ने सोशल मीडिया प्लेटफॉर्म एक्स (X) पर 19 साल के साइबर सुरक्षा रिसर्चर निसर्ग अधिकारी के हवाले से एक पोस्ट शेयर की। इस पोस्ट में दावा किया गया कि CBSE मार्किंग पोर्टल की सुरक्षा में बड़ी चूक थी, जिसका फायदा उठाकर कोई भी बाहर का व्यक्ति छात्रों के नंबर देख और बदल सकता था। निसर्ग के इस खुलासे के बाद इंटरनेट पर यह मामला काफी वायरल होने लगा और लोगों ने CBSE की इसे बड़ी अनदेखी करार दिया।
A 19-year old broke into India's largest high school examination system of 2M+ students a year, the CBSE, and was able to view and CHANGE any students' marks.
— Deedy (@deedydas) May 26, 2026
He responsibly wrote to the team 3 months ago, and it took them 3 days to fix only one of the issues. Today, they took… pic.twitter.com/6FR2wAFQgB
जब इस मामले ने सोशल मीडिया पर तूल पकड़ा तो केंद्रीय माध्यमिक शिक्षा बोर्ड (CBSE) ने इस पर अपना आधिकारिक स्पष्टीकरण जारी किया। CBSE ने हैकिंग और डेटा लीक के इन सभी दावों को पूरी तरह से खारिज किया है। बोर्ड ने साफ किया है कि जिस वेबसाइट (http://cbse.onmark.co.in) को हैक करने का दावा किया जा रहा है, वह सिर्फ आंतरिक जाँच के लिए बनाई गई एक टेस्टिंग साइट थी। इस पर किसी छात्र का असली डेटा या नंबर मौजूद नहीं था। कॉपियाँ जाँचने वाला असली पोर्टल बिल्कुल अलग और पूरी तरह सुरक्षित है, इसलिए किसी को चिंता करने की जरूरत नहीं है।
कैसे शुरू हुआ हैकिंग का यह पूरा खेल?
निसर्ग अधिकारी ने इसी साल अपनी 12वीं क्लास पास की है। उन्हें कंप्यूटर सुरक्षा यानी साइबर सिक्योरिटी में बहुत दिलचस्पी है। CBSE ने इस साल कॉपियाँ जाँचने के लिए एक ऑनलाइन वेबसाइट शुरू की थी। इस वेबसाइट को ‘ऑन-स्क्रीन मार्किंग’ (OSM) पोर्टल नाम दिया गया। निसर्ग ने ध्यान दिया कि इस वेबसाइट का लिंक पूरी तरह खुला हुआ था। इसे इंटरनेट पर कोई भी इंसान आसानी से खोल सकता था।
निसर्ग अधिकारी ने सिर्फ अपनी उत्सुकता के कारण इस वेबसाइट को थोड़ा गहराई से देखना शुरू किया। उन्होंने इसके पीछे चल रहे कंप्यूटर कोड की जाँच की। बाहर से देखने पर यह वेबसाइट बिल्कुल आम वेबसाइटों जैसी ही लगती थी। इसके लॉगिन पेज पर यूजर ID, स्कूल कोड और पासवर्ड माँगा जाता था। इसके बाद मोबाइल पर आने वाला ओटीपी (OTP) भी डालना पड़ता था। बाहर से इसमें कोई खराबी नहीं दिख रही थी। लेकिन जैसे ही निसर्ग ने इसके अंदरूनी कोड को खंगाला, तो उनके होश उड़ गए। कोड के अंदर सुरक्षा की बहुत बड़ी कमियाँ छिपी हुई थीं।
कोडिंग के अंदर खुलेआम लिखा था ‘मास्टर पासवर्ड’
निसर्ग अधिकारी ने अपने ब्लॉग में इस वेबसाइट के काम करने का तरीका समझाया है। उन्होंने बताया कि यह एक आधुनिक ‘एंगुलर’ एप्लीकेशन वेबसाइट है। इस तरह की वेबसाइटें अपनी पूरी कोडिंग को एक बंडल (फाइल) में समेट देती हैं। फिर यह मुख्य जावास्क्रिप्ट फाइल यूजर के कंप्यूटर या मोबाइल ब्राउजर पर भेज दी जाती है। यह फाइल इंटरनेट पर पूरी तरह से पब्लिक थी। यानी कोई भी इंसान इस फाइल को आसानी से देख और डाउनलोड कर सकता था।
निसर्ग अधिकारी ने इसी कोडिंग वाली फाइल को डाउनलोड कर लिया। इसके बाद उन्होंने इसे ध्यान से पढ़ना शुरू किया। पढ़ते-पढ़ते उन्हें कोडिंग के अंदर एक ‘मास्टर पासवर्ड’ लिखा हुआ मिल गया। यह पासवर्ड बिल्कुल साफ-साफ अक्षरों में लिखा था। इसे किसी सुरक्षित कोड या गुप्त रूप में नहीं छिपाया गया था।
इस ‘मास्टर पासवर्ड’ की सबसे खतरनाक बात यह थी कि यह पूरी वेबसाइट का ताला खोल सकता था। इसे लॉगिन पेज पर डालते ही वेबसाइट की सारी सुरक्षा खत्म हो जाती थी। इसे डालने के बाद मोबाइल पर आने वाले ओटीपी (OTP) की जरूरत भी नहीं पड़ती थी। इस पासवर्ड के जरिए कोई भी हैकर कॉपियाँ जाँचने वाले किसी भी टीचर के अकाउंट में सीधे घुस सकता था। इसके लिए हैकर को बस टीचर की यूजर ID और स्कूल कोड का पता होना जरूरी था। यह दोनों जानकारियाँ इंटरनेट पर बहुत आसानी से मिल जाती हैं।
सुरक्षा के नाम पर ‘OTP’ का खेल निकला महज एक नाटक
निसर्ग ने आगे दावा किया कि इस वेबसाइट का ओटीपी (OTP) सिस्टम पूरी तरह से बेकार था। यह सुरक्षा के नाम पर सिर्फ एक दिखावा या नाटक था। आम तौर पर जब हम किसी वेबसाइट पर लॉगिन करते हैं, तो OTP हमारे मोबाइल फोन पर आता है। इसके बाद वेबसाइट का मुख्य कंप्यूटर (Server) जाँच करता है कि आपने सही OTP डाला है या नहीं। लेकिन CBSE की इस वेबसाइट में पूरा खेल ही उल्टा चल रहा था।
इस वेबसाइट में जब कोई लॉगिन करने की कोशिश करता था, तो मुख्य सर्वर खुद ही सही OTP का जवाब कोडिंग के अंदर आपके कंप्यूटर ब्राउजर को भेज देता था। इसके बाद ब्राउजर के अंदर चल रहा कोड खुद ही यह चेक करता था कि यूजर ने जो OTP डाला है, वह सही है या नहीं। इसका सीधा मतलब यह हुआ कि जैसे कोई छात्र खुद ही अपनी परीक्षा ले रहा हो और खुद ही अपने आप को नंबर भी दे रहा हो।
इंटरनेट और नेटवर्क की थोड़ी सी भी समझ रखने वाला कोई भी व्यक्ति अपने कंप्यूटर की स्क्रीन पर ही सही OTP को साफ-साफ देख सकता था। कोडिंग में थोड़ी सी चालाकी करके बिना कोई OTP डाले भी सीधे वेबसाइट के अंदर एंट्री पाई जा सकती थी। इसी बात पर निसर्ग ने अपने ब्लॉग में एक बड़ी बात लिखी। उन्होंने लिखा, “जो सुरक्षा चक्र हमलावर के खुद के कंप्यूटर पर चलता है, वह असल में कोई सुरक्षा चक्र होता ही नहीं है।”
बिना लॉगिन के ही खुल रहे थे अंदरूनी डैशबोर्ड
इस वेबसाइट में कमियों की लिस्ट यहीं खत्म नहीं होती है। निसर्ग अधिकारी के मुताबिक वेबसाइट के अंदर के कई जरूरी पन्ने पूरी तरह से खुले पड़े थे। इनमें मुख्य डैशबोर्ड, प्रोफाइल पेज और कॉपियाँ देखने वाला पेज शामिल थे। इसके अलावा वेरिफिकेशन डैशबोर्ड भी बिना किसी सुरक्षा के खुला था। इन सभी महत्वपूर्ण पन्नों पर सुरक्षा का कोई ताला नहीं लगा था।
इन पन्नों को खोलने के लिए किसी असली पासवर्ड की जरूरत नहीं थी। कंप्यूटर के ब्राउजर स्टोरेज में सिर्फ कुछ फर्जी शब्द डालने होते थे। इसके बाद कुछ साधारण कमांड देकर इन सभी गुप्त पन्नों को सीधे खोला जा सकता था।
इस वेबसाइट को इस बात से कोई फर्क नहीं पड़ रहा था कि उसे खोलने वाला यूजर असली है या नकली। यह सुरक्षा जाँच के लिए किसी असली टोकन या पास की माँग नहीं करती थी। यह बिना किसी रोक-टोक के किसी भी अनजान व्यक्ति को सीधे मुख्य डैशबोर्ड पर पहुँचा देती थी।
पुराना पासवर्ड जाने बिना बदल जाता था नया पासवर्ड
इस वेबसाइट का पासवर्ड बदलने वाला सिस्टम तो सबसे ज्यादा कमजोर था। आम तौर पर जब हम किसी अकाउंट का पासवर्ड बदलते हैं, तो हमसे पुराना पासवर्ड पूछा जाता है। लेकिन इस वेबसाइट में पुराना पासवर्ड चेक करने का कोई इंतजाम ही नहीं था। कंप्यूटर की कोडिंग में ऐसी गड़बड़ी थी कि पुराना पासवर्ड मुख्य कंप्यूटर (Server) के पास जाता ही नहीं था।
इसका फायदा उठाना किसी भी हैकर के लिए बहुत आसान था। हैकर को बस कॉपियाँ जाँचने वाले शिक्षक की आईडी (Valuator ID) बदलनी होती थी। वह किसी भी शिक्षक की ID डालकर उसका पासवर्ड अपनी मर्जी से बदल सकता था। कंप्यूटर की दुनिया में इस बड़ी कमी को ‘सिस्टेमिक IDOR’ कहा जाता है।
इन दोनों गलतियों की वजह से कोई भी हैकर किसी भी शिक्षक के अकाउंट पर पूरी तरह कब्जा कर सकता था। इसके बाद वह वेबसाइट के अंदर आसानी से घुस जाता था। वह वहाँ रखी छात्रों की जाँची गई कॉपियों को आराम से देख सकता था। सबसे डरावनी बात यह है कि वह छात्रों के नंबरों को भी अपनी मर्जी से बदल सकता था।
तीन महीने पहले सरकार को बताया, पर नहीं सुधरी गलती
निसर्ग अधिकारी ने बताया कि उन्होंने इस बड़े खतरे की जानकारी समय रहते सरकार को दे दी थी। उन्होंने 25 फरवरी 2026 को ही भारत सरकार की मुख्य साइबर सुरक्षा एजेंसी ‘CERT-In’ को एक ईमेल भेजा था। अपने पहले ईमेल में उन्होंने मास्टर पासवर्ड के लीक होने की बात बताई थी। साथ ही उन्होंने ओटीपी (OTP) सिस्टम की कमजोरी का भी जिक्र किया था।
इसके बाद सरकारी एजेंसी ने उनसे और जानकारी माँगी। एजेंसी ने उनसे कमियों को साबित करने के लिए सबूत भी माँगे। निसर्ग अधिकारी ने बकायदा कंप्यूटर की स्क्रीन रिकॉर्ड करके Video बनाए। उन्होंने लाइव वीडियो के जरिए पूरे पोर्टल को हैक करके दिखा दिया। उन्होंने सारे वीडियो सबूत के तौर पर एजेंसी को भेज दिए।
यह सब करने के बाद निसर्ग को एजेंसी से एक ईमेल मिला। यह सिर्फ एक साधारण और ऑटोमैटिक ईमेल था। इसमें बस उनकी शिकायत दर्ज होने का एक नंबर लिखा था। निसर्ग का दावा है कि इसके बाद उन्होंने कई बार ईमेल भेजे। उन्होंने अधिकारियों को बार-बार इस खतरे की याद दिलाई। इसके बावजूद महीनों तक इस राष्ट्रीय स्तर की वेबसाइट की कमियों को सुधारा नहीं गया।
इस लापरवाही पर निसर्ग अधिकारी ने तंज भी कसा है। उन्होंने अपने ब्लॉग पर लिखा, “अगर यह मेरा सिस्टम होता, तो मैं इन कमियों को एक या दो घंटे में ठीक कर देता।” उन्होंने सरकारी अधिकारियों के इस ढीले रवैये पर गहरी हैरानी जताई है।
CBSE गड़बड़ी ठीक करने दिल्ली बुलाए गए IIT कानपुर-मद्रास के वैज्ञानिक
CBSE पोर्टल में आ रही लगातार गड़बड़ियों को देख केंद्रीय शिक्षा मंत्री धर्मेंद्र प्रधान ने इस तकनीकी समस्या को तुरंत ठीक करने के लिए एक विशेष टीम बनाई है। इस टीम में IIT कानपुर के 2 और IIT मद्रास के 2 सीनियर वैज्ञानिकों को शामिल किया गया है।
इनमें IIT कानपुर से प्रोफेसर कलोल मंडल और डॉक्टर आनंद हांडा जैसे बड़े नाम हैं। शिक्षा मंत्री ने इन चारों वैज्ञानिकों को तुरंत दिल्ली तलब किया है। उन्हें इस तकनीकी चुनौती का जल्द से जल्द समाधान खोजने का सख्त निर्देश दिया गया है।
CBSE की वेबसाइट हैकिंग मामले पर बोर्ड का स्पष्टीकरण
CBSE ने सोशल मीडिया पर फैले इस पूरे विवाद को शांत करते हुए साफ किया है कि जिस वेबसाइट को हैक करने का दावा किया जा रहा है, वह सिर्फ आंतरिक जाँच के लिए बनाई गई एक टेस्टिंग साइट थी।
Clarification Regarding Claim of Compromise of CBSE OSM Portal
— CBSE HQ (@cbseindia29) May 26, 2026
In a post made by a user on social media, it has been claimed that the CBSE On Screen Marking (OSM) bearing URL: https://t.co/cuLrvsxzOH was compromised by him on 26.02.2026. This has also formed the basis for a few…
वेबसाइट का लिंक अलग है: बोर्ड ने साफ किया है कि छात्रों की उत्तर पुस्तिकाओं की जाँच करने के लिए जिस असली पोर्टल का इस्तेमाल किया गया था, उसका इंटरनेट लिंक (URL) बिल्कुल अलग था।
यह केवल एक टेस्टिंग साइट थी: सोशल मीडिया पर जिस लिंक को हैक करने का दावा किया जा रहा है, वह सिर्फ आंतरिक जाँच और समीक्षा के लिए बनाई गई एक टेस्टिंग (सैंपल) साइट थी।
कोई असली डेटा लीक नहीं हुआ: इस टेस्टिंग साइट पर किसी भी छात्र के असली नंबर, कॉपियों का मूल्यांकन या कोई अन्य जरूरी डेटा मौजूद नहीं था। इसमें सिर्फ काल्पनिक डेटा डाला गया था।
सुरक्षा में कोई चूक नहीं: बोर्ड ने भरोसा दिलाया है कि कॉपियाँ जाँचने वाले असली पोर्टल में कोई भी गड़बड़ी नहीं थी और न ही उसकी सुरक्षा से कोई समझौता हुआ है।
सिस्टम पूरी तरह सुरक्षित है: CBSE के अनुसार, यह सिस्टम मूल्यांकन को और बेहतर व पारदर्शी बनाने के लिए तैयार किया गया है। इसमें सुरक्षा के बेहद कड़े इंतजाम हैं, इसलिए सभी छात्र और अभिभावक पूरी तरह निश्चिंत रहें।
