हिंदी
English
शुरुआती इनकार के बाद, सीबीएसई ने आईटी प्रणाली में खामियों को दूर करने के लिए एथिकल हैकर को आमंत्रित किया
दो सप्ताह तक, एक आईआईटी विशेषज्ञ टीम ने सीबीएसई आईटी पारिस्थितिकी तंत्र में उभर रही कमजोरियों को दूर करने के लिए हर दिन 16 से 18 घंटे काम किया।
केंद्रीय माध्यमिक शिक्षा बोर्ड (सीबीएसई) ने अपने आईटी पारिस्थितिकी तंत्र में सुरक्षा कमियों को चिह्नित करने के लिए भारतीय प्रौद्योगिकी संस्थान (आईआईटी) विशेषज्ञ टीम के साथ बैठक के लिए इस सप्ताह एथिकल हैकर निसर्ग अधिकारी (19) को आमंत्रित किया। श्री अधिकारी ने पिछले महीने संवेदनशील छात्र डेटा संग्रहीत करने वाले पोर्टल में “गंभीर कमजोरियों” की सूचना दी थी। सीबीएसई ने पहले अपनी डेटा सुरक्षा में किसी भी उल्लंघन से इनकार किया था।
आईआईटी विशेषज्ञ टीम के एक सदस्य ने कहा, “निसर्ग एक प्रतिभाशाली बच्चा है। उसने महत्वपूर्ण कमजोरियां पाईं। हम उसकी विचार प्रक्रिया को समझने के लिए उत्सुक थे। क्योंकि वह दिल्ली में था, इसलिए हमने संदेशों का आदान-प्रदान किया और पाया कि वह साइबर सुरक्षा पर बहुत ध्यान केंद्रित करता है, इसलिए हमने सिस्टम को ठीक करने में मदद करने के लिए उसे बुलाया।”
सदस्य ने कहा, “यह स्वीकार करना बहुत महत्वपूर्ण है कि उल्लंघन हुआ है, लेकिन पहले सीबीएसई को स्थिति से निपटने के बारे में उचित सलाह नहीं दी गई थी। इसके विपरीत, जब जेईई (एडवांस्ड) पोर्टल में मामूली उल्लंघन हुआ, तो हमने दोष स्वीकार किया और इसे ठीक किया।”
कमियाँ दूर करने में दो सप्ताह लग गए
आईआईटी-मद्रास और आईआईटी-कानपुर के निदेशकों सहित भारतीय प्रौद्योगिकी संस्थानों के शीर्ष साइबर सुरक्षा विशेषज्ञों ने आईटी पारिस्थितिकी तंत्र को ठीक करने के लिए 24 मई से लगभग दो सप्ताह तक नई दिल्ली में सीबीएसई मुख्यालय में डेरा डाला।
शिक्षा मंत्रालय के सूत्रों ने बताया, “शीर्ष संकाय सदस्यों को अचानक सब कुछ छोड़ना पड़ा और दो पोर्टलों में कमजोरियों को ठीक करने के लिए दो सप्ताह तक सीबीएसई में रुकना पड़ा – ऑन-स्क्रीन मार्किंग (ओएसएम) पोर्टल ऑनमार्क, जो निजी फर्म सीओईएमपीटी एडुटेक द्वारा विकसित किया गया है, और उत्तर पुस्तिकाएं खरीदने और पुनर्मूल्यांकन के लिए आवेदन करने के लिए सीबीएसई पोर्टल है।” द हिंदू.
सीबीएसई में तकनीकी दिक्कतें
आईआईटी-मद्रास टीम में निदेशक वी. कामाकोटी के अलावा दो साइबर सुरक्षा विशेषज्ञ शामिल थे, जबकि आईआईटी-कानपुर टीम में निदेशक मणिंद्र अग्रवाल और एक वरिष्ठ साइबर सुरक्षा इंजीनियर शामिल थे।
सूत्रों ने कहा कि दो सप्ताह तक, विशेषज्ञ टीम ने सीबीएसई आईटी पारिस्थितिकी तंत्र में उभर रही कमजोरियों को दूर करने के लिए हर दिन 16 से 18 घंटे काम किया। टीम ने पाया कि COEMPT Eduteck द्वारा विकसित OSM पोर्टल में “बहुत सारी कमजोरियाँ” थीं, जिनमें “सात से आठ” महत्वपूर्ण कमजोरियाँ भी शामिल थीं।
“बाहरी विक्रेता [COEMPT Eduteck] डेटा रखने वाले क्लाउड स्टोरेज ‘बाल्टी’ को गंभीर रूप से गलत तरीके से कॉन्फ़िगर किया गया था और छात्रों की उत्तर स्क्रिप्ट की असुरक्षित बैकअप प्रतियां अपने सर्वर पर रखी थीं। विशेषज्ञ टीम के सदस्य ने कहा, “टीम को डेटा को सुरक्षित रूप से कॉन्फ़िगर किए गए बकेट में स्थानांतरित करना पड़ा। हमने COEMPT को अपने सर्वर से उत्तर स्क्रिप्ट डेटा बैकअप हटाने के लिए भी कहा और उन्होंने इसका अनुपालन किया।”
जिन “महत्वपूर्ण कमजोरियों” को ठीक किया गया उनमें से एक “प्रमाणीकरण बाईपास” भी था, जो एक दोष है जो किसी को भी वास्तविक छात्र होने के बिना सिस्टम में लॉग इन करने की अनुमति देता है। दूसरी भेद्यता ने केंद्रीय सर्वर तक अनधिकृत प्रशासनिक पहुंच प्रदान की। इसके अलावा, एक ‘डेटा एक्सपोज़र’ गड़बड़ी ने किसी भी लॉग-इन उपयोगकर्ता को छात्रों की उत्तर स्क्रिप्ट निकालने की अनुमति दी।
आईआईटी विशेषज्ञ ने बताया, “एक बार जब कोड विकसित हो जाता है जो असुरक्षित होता है, तो उसे पैच करना एक कठिन काम है।” उन्होंने बताया कि एक त्रुटिपूर्ण फ़ंक्शन को बदलने से अक्सर एक विशाल कोडबेस में कई अलग-अलग स्थानों पर व्यापक प्रभाव पड़ता है।
सूत्रों ने पुष्टि की कि सीबीएसई की विफलता के बाद, तकनीकी विक्रेताओं को काम पर रखते समय “साइबर सुरक्षा स्वच्छता” को ध्यान में रखने के लिए केंद्र द्वारा सभी विभागों में एक सलाह जारी की गई है।
शिक्षा मंत्रालय के एक वरिष्ठ अधिकारी ने कहा, “आम तौर पर, हम विक्रेता के पिछले विकास को देखते हैं, लेकिन हम इसे सुरक्षा के दृष्टिकोण से नहीं देखते हैं। वर्तमान विक्रेता सुरक्षा पहलू को ध्यान में रखे बिना काम पर लगा हुआ था। आगे बढ़ते हुए, हमें एक सुरक्षित पोर्टल बनाने की उनकी क्षमता को देखना चाहिए।”
वॉर रूम की स्थापना
सिस्टम को ठीक करने के लिए, आईआईटी विशेषज्ञ टीम ने एक क्लासिक “रेड टीम बनाम ब्लू टीम” डायनामिक स्थापित किया। ब्लू टीम – जिसमें आईआईटी-मद्रास के विशेषज्ञ, सीबीएसई डेवलपर्स और डिजिटल इंडिया कॉर्पोरेशन (डीआईसी) के अधिकारी शामिल हैं – ने पुनर्मूल्यांकन और ऑन-स्क्रीन मार्किंग के लिए बनाए गए पोर्टलों का बचाव करने के लिए कोड को संशोधित किया। रेड टीम, जिसमें आईआईटी-कानपुर के विशेषज्ञ शामिल थे, ने आक्रामक हैकर्स के रूप में काम किया, जो लगातार सिस्टम में सेंध लगाने की कोशिश कर रहे थे।
आईआईटी-कानपुर के निदेशक प्रो. अग्रवाल ने बताया, “आगे-पीछे परीक्षण के चार गहन दौर के बाद, कोई और कमज़ोरी न मिलने के कारण रेड टीम अंततः पीछे हट गई।” द हिंदू.
प्रोफेसर अग्रवाल ने कहा कि कमजोरियों को आसान और तेज तरीके से खोजने के लिए क्लाउड सहित कृत्रिम बुद्धिमत्ता उपकरण तैनात किए गए थे।
लगभग दो सप्ताह तक सीबीएसई मुख्यालय से बाहर काम करने के बाद, आईआईटी टीमें अब हटने की तैयारी कर रही हैं। उन्होंने कहा कि साइबर सुरक्षा सुनिश्चित करना एक सतत प्रक्रिया है. प्रोफेसर अग्रवाल ने कहा, ”अगर मुद्दे सामने आते हैं और हमारी जरूरत पड़ती है तो हम वापस आएंगे।”
मंगलवार (2 जून, 2026) को व्यापक लोड प्रबंधन पुनर्गठन के बाद पुनर्मूल्यांकन पोर्टल लॉन्च किया गया था, और ओएसएम पोर्टल को सुरक्षित करने का काम गुरुवार शाम को सफलतापूर्वक पूरा हो गया, यह आधिकारिक तौर पर शुक्रवार (5 जून, 2026) को लाइव हो गया, अधिकारियों ने पुष्टि की।
आईआईटी मद्रास की टीम गुरुवार (4 जून, 2026) को लौट आई, जबकि आईआईटी-कानपुर की टीम शुक्रवार (5 जून, 2026) को सीबीएसई में अपना संचालन समाप्त करेगी।
विशेषज्ञ सदस्यों में से एक ने बताया कि सीबीएसई के पास चार से पांच वेब डेवलपर्स की एक इन-हाउस टीम है जो पुनर्मूल्यांकन पोर्टल पर काम कर रही थी, लेकिन उनके पास “कोई उचित मार्गदर्शन नहीं” था। द हिंदू. पुनर्मूल्यांकन पोर्टल पहली बार 19 मई को लॉन्च किया गया था, लेकिन बाद में कमजोरियों का पता चलने के बाद इसे बंद कर दिया गया था।
विशेषज्ञ ने कहा, सीबीएसई ने पहले किसी भी साइबर सुरक्षा खामियों की पहचान करने के लिए कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-इन) से एक पैनलबद्ध ऑडिटर नियुक्त किया था, जो आईटी और इलेक्ट्रॉनिक्स मंत्रालय (एमआईईटीवाई) के तहत काम करता है, लेकिन ऑडिटर “किसी भी बड़ी सुरक्षा खामी को ढूंढने में विफल रहा”।
बड़े पैमाने पर साइबर हमलों का बचाव किया गया
मंगलवार (2 जून, 2026) और बुधवार (3 जून, 2026) को, पुनर्मूल्यांकन के लिए सीबीएसई पोर्टल को सिस्टम को खराब करने के उद्देश्य से बड़े पैमाने पर, समन्वित मानक डेनियल ऑफ सर्विस (डीओएस) हमलों का सामना करना पड़ा, आईआईटी विशेषज्ञ ने पुष्टि की।
मंगलवार (2 जून, 2026) को मात्र दो मिनट की अवधि के भीतर, सिस्टम पर 13 लाख लॉगिन प्रयास हुए। अगले दिन, यह संख्या 30 लाख से अधिक प्रयासों तक पहुंच गई।
सदस्य ने कहा, “जबकि उस समय केवल कुछ हजार वास्तविक छात्र ही प्रतियों तक पहुंचने की कोशिश कर रहे थे, हमले ने सिस्टम को स्थिर करने के लिए ट्रैफ़िक को 100 गुना बढ़ा दिया। नए लागू लोड प्रबंधन के कारण, सिस्टम ने खुद को एक साथ रखा।”
आईआईटी विशेषज्ञ टीम आने वाले हफ्तों में शिक्षा मंत्रालय को एक औपचारिक रिपोर्ट सौंपेगी।
प्रकाशित – 05 जून, 2026 10:12 अपराह्न IST
