CBSE ने दांव पर लगाया लाखों बच्चे का भविष्य?  19 साल के लड़के ने खोली बोर्ड की पूरी पोल

नारी डेस्क: ऐसे समय में जब लाखों CBSE छात्र पहले से ही रिवैल्यूएशन पोर्टल क्रैश होने, आंसर शीट धुंधली होने की शिकायतों, बार-बार डेडलाइन बढ़ने और यहां तक कि गलत नंबर मिलने जैसी समस्याओं से जूझ रहे हैं इसी बीच 19 साल के लड़के के एक दावे ने  नया विवाद खड़ा कर दिया है। 19 साल के रिसर्चर Nisarga Adhikary ने दावा किया कि उन्हें बोर्ड के 'ऑन-स्क्रीन मार्किंग पोर्टल' में बड़ी कमियां मिलीं और उन्होंने फरवरी में ही CERT-In को इसकी जानकारी दे दी थी।

CERT-In  काे किया गया था अलर्ट

अपनी वेबसाइट पर प्रकाशित और 22 मई को X पर शेयर किए गए एक विस्तृत ब्लॉग पोस्ट में, निसर्ग ने दावा किया कि उन्होंने फरवरी में CBSE के ऑन-स्क्रीन मार्किंग (OSM) पोर्टल में कई गंभीर कमियां (vulnerabilities) खोजी थीं और CERT-In को उनकी जानकारी दी थी। उनके अनुसार, कथित तौर पर उनमें से कई समस्याएं महीनों तक ठीक नहीं की गईं। यह मामला तब ज़्यादा चर्चा में आया, जब 26 मई को Deedy Das ने X पर इसके बारे में पोस्ट किया। उन्होंने इसे "पूरी तरह से शर्मनाक" बताया और आरोप लगाया कि इन कमियों की वजह से कोई भी व्यक्ति "किसी भी छात्र के नंबर देख सकता था और उन्हें बदल भी सकता था।"

नतीजों को लेकर चर्चाओं में चल रहा है CBSE

CBSE ने ब्लॉग पोस्ट में किए गए दावों की सार्वजनिक रूप से पुष्टि नहीं की है, और न ही यह बताया है कि क्या सच में किसी छात्र के नंबरों में कोई बदलाव किया गया था। लेकिन इन आरोपों पर लोगों का ध्यान इसलिए भी ज़्यादा जा रहा है, क्योंकि ये ऐसे समय में सामने आए हैं जब CBSE के लिए हाल के सालों में नतीजों के बाद का समय सबसे ज़्यादा उथल-पुथल भरा रहा है। निसर्ग कहते हैं कि यह सब कुछ जानने की जिज्ञासा से शुरू हुआ। उसने लिखा- "CBSE ने OSM शुरू किया और मैंने देखा कि पोर्टल का लिंक पूरी तरह से पब्लिक था," ।

आसानी से खुल रहा है मास्टर पासवर्ड

OSM सिस्टम का इस्तेमाल स्कैन की गई बोर्ड परीक्षा की आंसर शीट के डिजिटल मूल्यांकन के लिए किया जाता है। पेपर को फिजिकली चेक करने के बजाय, मूल्यांकन करने वाले पोर्टल पर लॉग इन करते हैं और ऑनलाइन ही कॉपियों को जांचते हैं। निसर्ग के अनुसार, जब उन्होंने साइट खोली और बैकएंड रिक्वेस्ट की जांच शुरू की, तो उन्हें एहसास हुआ कि समस्याएं उम्मीद से कहीं ज़्यादा बड़ी थीं। सबसे बड़े दावों में से एक दावा उस चीज़ से जुड़ा था जिसे उन्होंने एक 'हार्डकोडेड' (hardcoded) "मास्टर पासवर्ड" बताया। यह पासवर्ड कथित तौर पर वेबसाइट द्वारा इस्तेमाल किए जाने वाले एक ऐसे JavaScript बंडल के अंदर खुले तौर पर मौजूद था, जिसे कोई भी व्यक्ति देख सकता था।

आसानी से मिल रही है जानकारी

पोस्ट में लिखा गया-  "वह बंडल सभी के लिए उपलब्ध है। कोई भी व्यक्ति उसे एक्सेस कर सकता है, चाहे उसने लॉग-इन किया हो या नहीं। इसलिए मैंने उसे 'pretty-print' किया और पढ़ना शुरू किया। उसके अंदर मुझे जो मिला, वह बेहद चौंकाने वाला था,"। निसर्ग के अनुसार, वह पासवर्ड कथित तौर पर सीधे 'frontend code' के अंदर ही दिखाई दे रहा था। उन्होंने दावा किया कि इस पासवर्ड को डालने पर कथित तौर पर OTP सिस्टम पूरी तरह से 'bypass' (नज़रअंदाज़) हो जाता था और 'examiner accounts' तक पहुच मिल जाती थी।किसी खास 'examiner' के तौर पर लॉग-इन करने के लिए, किसी भी हमलावर को सिर्फ़ उस व्यक्ति की 'User ID' और 'School Code' की ज़रूरत होती है; और ये दोनों ही चीज़ें सभी के लिए उपलब्ध होती हैं,"।

फ़रवरी में ही ढूंढ ली गई थी कमी

 ब्लॉग के अनुसार, OTP सिस्टम में भी कथित तौर पर बड़ी कमज़ोरियां थीं। उनकी व्याख्या के अनुसार, कोई भी व्यक्ति जो नेटवर्क रिक्वेस्ट की जाँच कर रहा हो, वह कथित तौर पर सीधे OTP देख सकता था।  उन्होंने दावा किया कि "/dashboard", "/profile", "/evalscriptsview" और "/verificationdashboard" जैसे पेज कथित तौर पर ब्राउज़र स्टोरेज में बस कुछ डमी वैल्यू डालकर ही एक्सेस किए जा सकते थे। इस कहानी पर लोगों का ध्यान खींचने की सबसे बड़ी वजह सिर्फ़ कथित कमज़ोरियां ही नहीं, बल्कि इसकी टाइमलाइन है। निसर्ग का कहना है कि फ़रवरी में इन समस्याओं का पता चलते ही उन्होंने तुरंत CERT-In को इसकी जानकारी दी थी। उन्होंने लिखा- "मेरे पहले ईमेल में मास्टर-पासवर्ड लीक और क्लाइंट-साइड OTP वैलिडेशन के बारे में बताया गया था।" उनका कहना है कि उन्होंने इसके बाद कई बार फ़ॉलो-अप किया, लेकिन उन्हें कोई और अपडेट नहीं मिला।

 CERT-In ने की लापरवाही

 निसर्ग ने लिखा- "सच कहूं तो यह मज़ेदार बात है कि मैंने जिन ज़्यादातर कमज़ोरियों की रिपोर्ट की थी, उन्हें लंबे समय तक ठीक नहीं किया गया जबकि अगर उन्हें ठीक करने की ज़िम्मेदारी मेरी होती, तो मैं उन्हें एक-दो घंटे में ही ठीक कर देता।" उन्होंने लिखा- "यह विषय मेरे दिल के बहुत करीब है, क्योंकि न सिर्फ़ यह वही शिक्षा व्यवस्था है जिससे मैं गुज़रा हूं, बल्कि 12 साल पहले और उसके बाद पिछले 5 सालों से चुपचाप मैंने इससे कहीं कम गंभीर एक कमज़ोरी के बारे में लिखा था और उसकी रिपोर्ट की थी।" उन्होंने छात्रों और परीक्षा प्रणालियों पर इन कथित कमज़ोरियों के व्यापक प्रभावों पर भी रोशनी डाली।