नारी डेस्क: ऐसे समय में जब लाखों CBSE छात्र पहले से ही रिवैल्यूएशन पोर्टल क्रैश होने, आंसर शीट धुंधली होने की शिकायतों, बार-बार डेडलाइन बढ़ने और यहां तक कि गलत नंबर मिलने जैसी समस्याओं से जूझ रहे हैं इसी बीच 19 साल के लड़के के एक दावे ने नया विवाद खड़ा कर दिया है। 19 साल के रिसर्चर Nisarga Adhikary ने दावा किया कि उन्हें बोर्ड के 'ऑन-स्क्रीन मार्किंग पोर्टल' में बड़ी कमियां मिलीं और उन्होंने फरवरी में ही CERT-In को इसकी जानकारी दे दी थी।
CERT-In काे किया गया था अलर्ट
अपनी वेबसाइट पर प्रकाशित और 22 मई को X पर शेयर किए गए एक विस्तृत ब्लॉग पोस्ट में, निसर्ग ने दावा किया कि उन्होंने फरवरी में CBSE के ऑन-स्क्रीन मार्किंग (OSM) पोर्टल में कई गंभीर कमियां (vulnerabilities) खोजी थीं और CERT-In को उनकी जानकारी दी थी। उनके अनुसार, कथित तौर पर उनमें से कई समस्याएं महीनों तक ठीक नहीं की गईं। यह मामला तब ज़्यादा चर्चा में आया, जब 26 मई को Deedy Das ने X पर इसके बारे में पोस्ट किया। उन्होंने इसे "पूरी तरह से शर्मनाक" बताया और आरोप लगाया कि इन कमियों की वजह से कोई भी व्यक्ति "किसी भी छात्र के नंबर देख सकता था और उन्हें बदल भी सकता था।"
नतीजों को लेकर चर्चाओं में चल रहा है CBSE
CBSE ने ब्लॉग पोस्ट में किए गए दावों की सार्वजनिक रूप से पुष्टि नहीं की है, और न ही यह बताया है कि क्या सच में किसी छात्र के नंबरों में कोई बदलाव किया गया था। लेकिन इन आरोपों पर लोगों का ध्यान इसलिए भी ज़्यादा जा रहा है, क्योंकि ये ऐसे समय में सामने आए हैं जब CBSE के लिए हाल के सालों में नतीजों के बाद का समय सबसे ज़्यादा उथल-पुथल भरा रहा है। निसर्ग कहते हैं कि यह सब कुछ जानने की जिज्ञासा से शुरू हुआ। उसने लिखा- "CBSE ने OSM शुरू किया और मैंने देखा कि पोर्टल का लिंक पूरी तरह से पब्लिक था," ।
आसानी से खुल रहा है मास्टर पासवर्ड
OSM सिस्टम का इस्तेमाल स्कैन की गई बोर्ड परीक्षा की आंसर शीट के डिजिटल मूल्यांकन के लिए किया जाता है। पेपर को फिजिकली चेक करने के बजाय, मूल्यांकन करने वाले पोर्टल पर लॉग इन करते हैं और ऑनलाइन ही कॉपियों को जांचते हैं। निसर्ग के अनुसार, जब उन्होंने साइट खोली और बैकएंड रिक्वेस्ट की जांच शुरू की, तो उन्हें एहसास हुआ कि समस्याएं उम्मीद से कहीं ज़्यादा बड़ी थीं। सबसे बड़े दावों में से एक दावा उस चीज़ से जुड़ा था जिसे उन्होंने एक 'हार्डकोडेड' (hardcoded) "मास्टर पासवर्ड" बताया। यह पासवर्ड कथित तौर पर वेबसाइट द्वारा इस्तेमाल किए जाने वाले एक ऐसे JavaScript बंडल के अंदर खुले तौर पर मौजूद था, जिसे कोई भी व्यक्ति देख सकता था।
आसानी से मिल रही है जानकारी
पोस्ट में लिखा गया- "वह बंडल सभी के लिए उपलब्ध है। कोई भी व्यक्ति उसे एक्सेस कर सकता है, चाहे उसने लॉग-इन किया हो या नहीं। इसलिए मैंने उसे 'pretty-print' किया और पढ़ना शुरू किया। उसके अंदर मुझे जो मिला, वह बेहद चौंकाने वाला था,"। निसर्ग के अनुसार, वह पासवर्ड कथित तौर पर सीधे 'frontend code' के अंदर ही दिखाई दे रहा था। उन्होंने दावा किया कि इस पासवर्ड को डालने पर कथित तौर पर OTP सिस्टम पूरी तरह से 'bypass' (नज़रअंदाज़) हो जाता था और 'examiner accounts' तक पहुच मिल जाती थी।किसी खास 'examiner' के तौर पर लॉग-इन करने के लिए, किसी भी हमलावर को सिर्फ़ उस व्यक्ति की 'User ID' और 'School Code' की ज़रूरत होती है; और ये दोनों ही चीज़ें सभी के लिए उपलब्ध होती हैं,"।
फ़रवरी में ही ढूंढ ली गई थी कमी
ब्लॉग के अनुसार, OTP सिस्टम में भी कथित तौर पर बड़ी कमज़ोरियां थीं। उनकी व्याख्या के अनुसार, कोई भी व्यक्ति जो नेटवर्क रिक्वेस्ट की जाँच कर रहा हो, वह कथित तौर पर सीधे OTP देख सकता था। उन्होंने दावा किया कि "/dashboard", "/profile", "/evalscriptsview" और "/verificationdashboard" जैसे पेज कथित तौर पर ब्राउज़र स्टोरेज में बस कुछ डमी वैल्यू डालकर ही एक्सेस किए जा सकते थे। इस कहानी पर लोगों का ध्यान खींचने की सबसे बड़ी वजह सिर्फ़ कथित कमज़ोरियां ही नहीं, बल्कि इसकी टाइमलाइन है। निसर्ग का कहना है कि फ़रवरी में इन समस्याओं का पता चलते ही उन्होंने तुरंत CERT-In को इसकी जानकारी दी थी। उन्होंने लिखा- "मेरे पहले ईमेल में मास्टर-पासवर्ड लीक और क्लाइंट-साइड OTP वैलिडेशन के बारे में बताया गया था।" उनका कहना है कि उन्होंने इसके बाद कई बार फ़ॉलो-अप किया, लेकिन उन्हें कोई और अपडेट नहीं मिला।
CERT-In ने की लापरवाही
निसर्ग ने लिखा- "सच कहूं तो यह मज़ेदार बात है कि मैंने जिन ज़्यादातर कमज़ोरियों की रिपोर्ट की थी, उन्हें लंबे समय तक ठीक नहीं किया गया जबकि अगर उन्हें ठीक करने की ज़िम्मेदारी मेरी होती, तो मैं उन्हें एक-दो घंटे में ही ठीक कर देता।" उन्होंने लिखा- "यह विषय मेरे दिल के बहुत करीब है, क्योंकि न सिर्फ़ यह वही शिक्षा व्यवस्था है जिससे मैं गुज़रा हूं, बल्कि 12 साल पहले और उसके बाद पिछले 5 सालों से चुपचाप मैंने इससे कहीं कम गंभीर एक कमज़ोरी के बारे में लिखा था और उसकी रिपोर्ट की थी।" उन्होंने छात्रों और परीक्षा प्रणालियों पर इन कथित कमज़ोरियों के व्यापक प्रभावों पर भी रोशनी डाली।