क्लास 12 की बोर्ड परीक्षा के लिए ऑन स्क्रीन मार्किंग (OSM) सिस्टम पर स्टूडेंट्स के गुस्से के बीच, सेंट्रल बोर्ड ऑफ़ सेकेंडरी एजुकेशन (CBSE) हाल ही में एक और विवाद के केंद्र में आ गया, जब एक टीनेजर ने दावा किया कि उसने उसका पोर्टल “हैक” कर लिया है.
इन बड़े दावों के पीछे 19 साल के “शौकिया साइबर सिक्योरिटी रिसर्चर” निसर्ग अधिकारी हैं, जिसके बाद CBSE ने भी मंगलवार को एक सफाई जारी की, जिसमें उन दावों को खारिज कर दिया गया कि उसके मार्किंग प्लेटफॉर्म से छेड़छाड़ की गई थी.
IT मंत्रालय ने इस मामले में क्या कहा
हिंदुस्तान टाइम्स ने भारत के इलेक्ट्रॉनिक्स और इन्फॉर्मेशन टेक्नोलॉजी (IT) मंत्रालय के एक सीनियर अधिकारी के हवाले से छापा कि CERT-In (इंडियन कंप्यूटर इमरजेंसी रिस्पॉन्स टीम) इस मामले को देख रही है और इसे CBSE के सामने उठाया है, साथ ही दिक्कतों को ठीक करने के उपाय भी सुझाए हैं, जिन्हें बाद में उन्होंने पूरा किया. यह जवाब फरवरी में CERT-In को निसर्ग द्वारा कथित कमियों के बारे में बताए जाने के बाद की गई कार्रवाई के बारे में पूछे गए सवालों पर था.
खास बात यह है कि CBSE ने इस साल फरवरी में क्लास 12 बोर्ड एग्जाम के असेसमेंट के लिए OSM सिस्टम शुरू किया था. इस तरीके में, आंसर शीट को डिजिटली स्कैन करके ऑनलाइन चेक किया जाता है. एजुकेशन बोर्ड के मुताबिक, इससे टैली करने में गलतियों से बचने में मदद मिलती है और मैनुअल काम कम होता है.
‘हैकिंग’ के दावे का विवाद क्या है?
निसर्ग अधिकारी, एक 19 साल के साइबर सिक्योरिटी हॉबी रिसर्चर, जिन्होंने इस साल अपनी क्लास 12 की परीक्षाएँ पूरी कीं, ने दावा किया कि उन्होंने CBSE वेबसाइट हैक की थी और OSM सिस्टम में गंभीर कमियों की पहचान की थी.
हालांकि 22 मई की उनकी X पोस्ट पर शुरू में ज़्यादा ध्यान नहीं दिया गया, लेकिन बाद में टेक्नोलॉजी एंटरप्रेन्योर डीडी दास ने इसे देखा और अपने अकाउंट पर शेयर किया. दास ने इसे “पूरी तरह से शर्मनाक” बताया और दावा किया कि इन कमियों की वजह से कोई भी “किसी भी स्टूडेंट के मार्क्स देख और बदल सकता था”.
A 19-year old broke into India’s largest high school examination system of 2M+ students a year, the CBSE, and was able to view and CHANGE any students’ marks.
He responsibly wrote to the team 3 months ago, and it took them 3 days to fix only one of the issues. Today, they took… pic.twitter.com/6FR2wAFQgB
— Deedy (@deedydas) May 26, 2026
अपनी वेबसाइट पर पब्लिश और X पर शेयर किए गए एक डिटेल्ड ब्लॉग पोस्ट में, निसर्ग ने कहा कि उन्होंने फरवरी में CBSE के OSM पोर्टल में कई बड़ी सिक्योरिटी कमियों की पहचान की थी और CERT-In को उनकी रिपोर्ट की थी.
हालांकि, उन्होंने दावा किया कि उनके बताए गए कई मुद्दे काफी समय तक अनसुलझे रहे.
‘मुझे अंदर जो मिला वह बहुत खराब था’- निसर्ग
निसर्ग ने कहा कि वेबसाइट का मेन पेज पहली नज़र में नॉर्मल लग रहा था, लेकिन अंदरूनी कोड की जांच करने के बाद दिक्कतें सामने आने लगीं. उनके ब्लॉग के मुताबिक, उन्होंने सिस्टम की जितनी गहराई से जांच की, बताई जा रही दिक्कतें उतनी ही गंभीर होती गईं.
19 साल के निसर्ग ने लिखा, “ज़्यादातर मॉडर्न सिंगल-पेज ऐप्स की तरह, पोर्टल एक Angular एप्लीकेशन है जो अपने पूरे फ्रंटएंड लॉजिक को एक बंडल, मिनिफाइड JavaScript फ़ाइल में शिप करता है. ब्राउज़र इस फ़ाइल को डाउनलोड करता है और ऐप की हर स्क्रीन को रेंडर करने के लिए इसे लोकली चलाता है. कोई भी इसे रिक्वेस्ट कर सकता है, चाहे लॉग इन हो या नहीं. इसलिए मैंने इसे प्री-प्रिंट किया और पढ़ना शुरू किया. मुझे अंदर जो मिला वह बहुत खराब था.”
उनके एक बड़े दावे में एक हार्ड-कोडेड “मास्टर पासवर्ड” शामिल था, जो कथित तौर पर वेबसाइट द्वारा इस्तेमाल किए जाने वाले पब्लिकली एक्सेसिबल JavaScript बंडल में दिखाई दे रहा था.
“मास्टर पासवर्ड” में कमी का मतलब होगा कि वेबसाइट के कोड में एक यूनिवर्सल सीक्रेट पासवर्ड छिपा होगा. अगर किसी को इसका पता चल जाता, तो वे टीचर के मोबाइल फ़ोन पर भेजे गए OTP की ज़रूरत के बिना किसी भी एग्ज़ामिनर के तौर पर साइन इन कर सकते थे.
उन्होंने कहा कि पासवर्ड कथित तौर पर वेबसाइट के फ्रंट-एंड कोड में सीधे दिखाई देता था. उनके अनुसार, लॉगिन पेज में मास्टर पासवर्ड डालने के बाद, एप्लिकेशन अपने आप OTP फ़ील्ड को पूरा कर लेता था और आम ऑथेंटिकेशन प्रोसेस को छोड़ देता था. उन्होंने यह भी कहा कि कोई सेकंड-लेयर चेक या सर्वर वेरिफ़िकेशन की ज़रूरत नहीं थी.
एग्ज़ामिनर के तौर पर लॉग इन करने के लिए क्या करना होगा
उन्होंने कहा कि किसी खास एग्ज़ामिनर के तौर पर लॉग इन करने के लिए कथित तौर पर सिर्फ़ इन चीज़ों की ज़रूरत होगी:
एक टारगेट यूज़र की ID और स्कूल कोड, दोनों पब्लिकली उपलब्ध.
मास्टर पासवर्ड एक JavaScript फ़ाइल में स्टोर होता है जिसे कोई भी एक्सेस कर सकता है.
उन्होंने लिखा, “इनसे, मैं एक एग्ज़ामिनर के तौर पर लॉग इन कर पाया (OTP/2FA फ़्लो को पूरी तरह से बायपास करके) और इवैल्यूएशन डैशबोर्ड तक पहुँच पाया, जहाँ मैं मार्क्स देख और एडिट कर सकता था.”
OTP सिस्टम में भी कमियां?
ब्लॉग के मुताबिक, उन्होंने OTP सिस्टम में भी बड़ी दिक्कतों का आरोप लगाया. उन्होंने लिखा, “जब कोई ऑथेंटिकेशन ट्रिगर करता है, तो सर्वर ऑथेंटिकेशन रिस्पॉन्स के अंदर OTP वापस भेजता है, और ब्राउज़र में चल रहा JavaScript आपको आगे बढ़ने देने से पहले, लोकल लेवल पर टाइप की गई वैल्यू से तुलना करता है.”
सीधे शब्दों में कहें तो, उन्होंने कहा कि OTP खुद सर्वर रिस्पॉन्स में वापस आ रहा था, जबकि ब्राउज़र अलग से चेक कर रहा था कि डाला गया OTP उससे मैच करता है या नहीं.
उन्होंने कहा, “जिस सीक्रेट को आपको साबित करना होता है कि आपको मिला है, वह सीधे आपके ब्राउज़र को दिया जाता है, और ब्राउज़र अपने टेस्ट को ग्रेड करता है.”
उनके मुताबिक, इसका मतलब यह होगा कि नेटवर्क रिक्वेस्ट चेक करने वाला कोई भी व्यक्ति कथित तौर पर सीधे OTP देख सकता है. चूंकि तुलना की प्रक्रिया कथित तौर पर क्लाइंट-साइड कोड में हुई थी, इसलिए उन्होंने दावा किया कि कोई भी फॉर्म को पूरी तरह से बायपास कर सकता है और एप्लिकेशन को बता सकता है कि चेक सफल हो गया है.
उन्होंने लिखा, “अटैकर की मशीन पर चलने वाला सिक्योरिटी कंट्रोल असल में कोई कंट्रोल नहीं है”, इस बयान ने साइबर सिक्योरिटी एक्सपर्ट्स का ध्यान खींचा.
एक और बड़ा दावा: ‘पूरा ऐप वॉक-इन है’
ब्लॉग में दावा किया गया कि अचानक, सिस्टम में सिर्फ़ पासवर्ड और OTP ही दिक्कतें नहीं थीं. निसर्ग ने दावा किया कि एंगुलर-बेस्ड एप्लिकेशन के कई इंटरनल सेक्शन में कथित तौर पर सही रूट सिक्योरिटी की कमी थी. उन्होंने आरोप लगाया कि “/dashboard”, “/profile”, “/evalscriptsview” और “/verificationdashboard” जैसे पेज ब्राउज़र स्टोरेज में डमी वैल्यू डालकर खोले जा सकते हैं.
उन्होंने कहा, “एक एनॉनिमस विज़िटर और इंटरनल पेज के बीच सिर्फ़ /login पर डिफ़ॉल्ट रीडायरेक्ट था, और इसे हराना आसान है.”
उन्होंने आगे दावा किया कि सिस्टम का पासवर्ड रीसेट प्रोसेस बदलाव की इजाज़त देने से पहले मौजूदा पासवर्ड को वेरिफ़ाई नहीं करता था. “मौजूदा पासवर्ड कभी वेरिफ़ाई नहीं होता.” उन्होंने आरोप लगाया कि इस समस्या को “सिस्टमिक IDOR वल्नरबिलिटी” के साथ जोड़ने से अटैकर स्टोर की गई ID को बदलकर एग्ज़ामिनर अकाउंट पर कब्ज़ा कर सकते हैं. उन्होंने लिखा, “यह बिना किसी क्रेडेंशियल और बिना किसी इनसाइडर एक्सेस के पूरा अकाउंट टेकओवर है.”
उन्होंने दावा किया कि फिर कोई अटैकर विक्टिम के अकाउंट में एंटर कर सकता है, असाइन की गई आंसर शीट एक्सेस कर सकता है और मार्क्स में बदलाव कर सकता है.
CBSE ने हैकिंग के दावों पर रिएक्ट किया
आरोपों पर रिएक्ट करते हुए, CBSE ने कहा कि आंसर शीट चेक करने के लिए इस्तेमाल किए गए पोर्टल का URL टीनेजर के स्क्रीनशॉट में दिखाए गए URL से अलग था.
CBSE ने कहा कि उनके द्वारा फ्लैग किए गए कथित इश्यू एक “टेस्टिंग साइट” से आए थे.
बोर्ड ने X पर एक पोस्ट में कहा, “शुरू में, यह साफ किया जाता है कि आंसर-बुक्स के इवैल्यूएशन के लिए इस्तेमाल किए गए पोर्टल का URL अलग था, जिससे न तो कोई कॉम्प्रोमाइज हुआ है और न ही उसमें सोशल मीडिया पोस्ट में बताई गई वल्नरेबिलिटी हैं.
Clarification Regarding Claim of Compromise of CBSE OSM Portal
In a post made by a user on social media, it has been claimed that the CBSE On Screen Marking (OSM) bearing URL: https://t.co/cuLrvsxzOH was compromised by him on 26.02.2026. This has also formed the basis for a few…
— CBSE HQ (@cbseindia29) May 26, 2026
बोर्ड ने कहा, URL: http://cbse.onmark.co.in सिर्फ टेस्टिंग साइट है जिसमें इंटरनल टेस्टिंग और रिव्यू के मकसद से सैंपल डेटा है.”
