CBSE Marking Portal Hack Claim

19 वर्षांच्या निसर्ग अधिकारी नावाच्या एका विद्यार्थ्याने दावा केला आहे की त्याने CBSE ची वेबसाइट सहज हॅक केली. निसर्ग एक सायबर सुरक्षा संशोधक आहे. निसर्गचा ब्लॉग उद्योजक डीडी दास यांनी त्यांच्या ट्विटर अकाउंटवर पोस्ट केला आहे.

निसर्गने फेब्रुवारीमध्येच दिला होता इशारा

निसर्गने त्याच्या ब्लॉगमध्ये म्हटले आहे की, त्याने भारत सरकारच्या सायबर सुरक्षा एजन्सी ‘सर्ट इन’ (CERT In) ला फेब्रुवारी 2026 मध्येही अलर्ट केले होते. सीबीएसई पोर्टलवर बोर्ड परीक्षेचा डेटा शोधण्यासारखा मुद्दाही कोणत्याही पासवर्डशिवाय सहज पाहता येतो. येथे वापरला जाणारा पासवर्डही केवळ नाममात्र आहे.

निसर्गचा दावा आहे की त्याला संपूर्ण पोर्टलचा ॲक्सेस सहज मिळाला.

सीबीएसईच्या ऑनस्क्रीन मार्किंग पोर्टलमध्ये अनेक त्रुटी

22 मे रोजी जारी केलेल्या निसर्गच्या पोस्टमध्ये दावा करण्यात आला आहे की सीबीएसईच्या ऑनस्क्रीन मार्किंग पोर्टलमध्ये अनेक त्रुटी आहेत. निसर्गने CERT ला फेब्रुवारी 2026 मध्येही अलर्ट केल्यानंतरही या विषयावर कोणतीही कारवाई करण्यात आली नाही.

26 मे रोजी डीडी दास यांनी निसर्गच्या पोस्टला ट्विटरवर व्हायरल करत लिहिले की, सीबीएसईच्या वेबसाइटवर मार्किंग स्कीम कोणीही पाहू शकते किंवा बदलू शकते.

सीबीएसईचे ओएसएम पोर्टल सार्वजनिक

निसर्गने आपल्या ब्लॉगमध्ये सांगितले की, सीबीएसईचे ओएसएम पोर्टल (जिथे शिक्षक ऑनलाइन उत्तरपत्रिका तपासतात) पूर्णपणे सार्वजनिक होते. जेव्हा त्याने वेबसाइटची कोडिंग प्रणाली पाहिली, तेव्हा त्याला आश्चर्य वाटले.

निसर्गच्या मते, लॉगिन पेजवर फक्त तीन गोष्टी मागितल्या जात होत्या: यूजर आयडी, स्कूल कोड आणि पासवर्ड, ज्यानंतर ओटीपी येतो. बाहेरून सर्व काही सामान्य दिसत होते, पण खरा खेळ कोडिंगच्या आत होता.

पोर्टलवर पासवर्ड पाहणे अत्यंत सोपे

पोर्टलमधील सर्वात मोठी त्रुटी ही होती की, त्याचा एक मास्टर पासवर्ड कोडिंगच्या एका भागात उघडपणे ठेवलेला होता. तो कोणीही सहज पाहू शकत होता. निसर्गने दावा केला की, सीबीएसई पोर्टलवर मास्टर पासवर्ड वापरल्यास ओटीपीची गरजच संपून जात होती.

त्यानंतर कोणत्याही एक्झामिनरच्या (उत्तरपत्रिका तपासणाऱ्या शिक्षकाच्या) अकाउंटमध्ये सहज प्रवेश करता येत होता. यासाठी फक्त एक यूजर आयडी आणि स्कूल कोड लागत होता, जो इंटरनेटवर सहज उपलब्ध होतो.

पोर्टलवर योग्य संरक्षण प्रणालीचा अभाव

निसर्गानुसार, या ॲप्लिकेशनमध्ये इतर अनेक अंतर्गत मार्ग आहेत जिथे कोणताही योग्य संरक्षण मार्ग नाही. सीबीएसई पोर्टलवर जारी केलेले डॅशबोर्ड, प्रोफाइल, इव्हॅल स्क्रिप्ट्स व्ह्यू आणि व्हेरिफिकेशन डॅशबोर्ड ब्राउझर स्टोरेजमध्ये जाऊन सहज पाहिले जाऊ शकतात.

कोणीही परीक्षक बनून छेडछाड करू शकतो

अशा प्रकारे, खरा पासवर्ड न टाकता केवळ काही कमांड देऊन संपूर्ण खाते नियंत्रित केले जाऊ शकत होते. या चुकीमुळे कोणताही वापरकर्ता परीक्षक बनून उत्तरपत्रिकांमध्ये छेडछाड करू शकत होता.

ओटीपी न टाकता लॉग इन करणे सोपे

पोर्टलची ओटीपी प्रणाली केवळ एक दिखावा होती. म्हणजे, जो ओटीपी तुमच्या फोनवर यायला हवा होता, तो वेबसाइटवरच पाहता येत होता. कोणताही वापरकर्ता थोडी चलाखी करून ओटीपी न टाकताच लॉगिन करू शकत होता.

डीडी दास यांनी त्यांच्या ट्विटर अकाउंटवर पोस्ट जारी केल्यानंतर, सीबीएसई पोर्टल वापरकर्त्यांमध्ये चर्चेचा विषय बनले आहे. सीबीएसईची भारतात 33 हजार शाळा आहेत. परदेशातही या शाळांची कमतरता नाही. त्यामुळे या परीक्षा प्रणालीचा परिणाम लाखो विद्यार्थ्यांना प्रभावित करतो.