ಕೇವಲ 1 ಗಂಟೆಯಲ್ಲಿ ಇಡೀ CBSE ಸಿಸ್ಟಮ್ ಹ್ಯಾಕ್ ಮಾಡಿದ 19 ವರ್ಷದ ಹುಡುಗ

Updated: Wednesday, May 27, 2026, 12:56 [IST]

ಸಿಬಿಎಸ್‌ಇ (CBSE) ಡಿಜಿಟಲ್ ಉತ್ತರ ಪತ್ರಿಕೆಗಳ ಮೌಲ್ಯಮಾಪನದಲ್ಲಿ ಈಗಾಗಲೇ ಹಲವು ಗೊಂದಲಗಳು ಸೃಷ್ಟಿಯಾಗಿ ವಿದ್ಯಾರ್ಥಿಗಳಲ್ಲಿ ಆತಂಕ ಮೂಡಿಸಿವೆ. ಇದರ ಬೆನ್ನಲ್ಲೇ, ಸಿಬಿಎಸ್‌ಇ ಆನ್‌ಲೈನ್ ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಯಲ್ಲಿರುವ ಭಾರಿ ಲೋಪದೋಷಗಳನ್ನು ಪಶ್ಚಿಮ ಬಂಗಾಳದ 19 ವರ್ಷದ ಹ್ಯಾಕರ್ ಬಹಿರಂಗಪಡಿಸಿದ್ದಾನೆ. ಕೇವಲ ಒಂದೇ ಒಂದು ಗಂಟೆಯಲ್ಲಿ ತನಗೆ ಇಡೀ ಸಿಬಿಎಸ್‌ಇ ಸಿಸ್ಟಮ್ ಅನ್ನು ಹ್ಯಾಕ್ ಮಾಡಲು ಸಾಧ್ಯವಾಯಿತು ಎಂದು ಆ ಯುವಕ ಹೇಳಿರುವುದು ದೇಶದಾದ್ಯಂತ ಸಂಚಲನ ಮೂಡಿಸಿದೆ.

ಇತ್ತೀಚೆಗೆ ಸಿಬಿಎಸ್‌ಇ ಮೌಲ್ಯಮಾಪನದಲ್ಲಿ ಒಬ್ಬರ ಉತ್ತರ ಪತ್ರಿಕೆಗೆ ಮತ್ತೊಬ್ಬರ ಅಂಕಗಳನ್ನು ದಾಖಲಿಸಿದ ದೊಡ್ಡ ವಿವಾದ ಸೃಷ್ಟಿಯಾಗಿತ್ತು. ಈ ಹಿನ್ನೆಲೆಯಲ್ಲಿ ಸಿಬಿಎಸ್‌ಇ ತಂದಿರುವ ಹೊಸ 'ಆನ್-ಸ್ಕ್ರೀನ್ ಮಾರ್ಕಿಂಗ್' ಪೋರ್ಟಲ್ ಹೇಗೆ ಕೆಲಸ ಮಾಡುತ್ತದೆ ಎಂದು ನೋಡಲು ನಿಸರ್ಗ ಅಧಿಕಾರಿ ಎಂಬ ಯುವಕ ಈ ವೆಬ್‌ಸೈಟ್‌ಗೆ ಭೇಟಿ ನೀಡಿದ್ದನು. ಆಗ ಪರಿಶೀಲಿಸುವಾಗಲೇ ವೆಬ್‌ಸೈಟ್‌ನ ಸೋರ್ಸ್ ಕೋಡ್ ಸುಲಭವಾಗಿ ಸಿಕ್ಕಿಬಿಟ್ಟಿದೆ. ಇದನ್ನು ಆಳವಾಗಿ ಪರಿಶೀಲಿಸಿದಾಗ ಆನ್‌ಲೈನ್ ಭದ್ರತೆಯಲ್ಲಿ ಅತ್ಯಂತ ಬೇಜವಾಬ್ದಾರಿತನದ 4 ಪ್ರಮುಖ ಲೋಪಗಳು ಕಂಡುಬಂದಿವೆ.

ವೆಬ್ ಬ್ರೌಸರ್‌ನಲ್ಲೇ ಒಟಿಪಿ ವೆರಿಫಿಕೇಶನ್

ಸಾಮಾನ್ಯವಾಗಿ ಒಟಿಪಿ (OTP) ಸಂಖ್ಯೆಗಳು ಸರ್ವರ್ ಮೂಲಕ ಸುರಕ್ಷಿತವಾಗಿ ಪರಿಶೀಲಿಸಲ್ಪಡುತ್ತವೆ. ಆದರೆ ಸಿಬಿಎಸ್‌ಇ ವೆಬ್‌ಸೈಟ್‌ನಲ್ಲಿ ಬಳಕೆದಾರರ ಬ್ರೌಸರ್‌ನಲ್ಲೇ ಒಟಿಪಿ ಪರಿಶೀಲನೆಯಾಗುತ್ತಿತ್ತು. ಬ್ರೌಸರ್‌ನ 'DevTools' ಬಳಸುವ ಯಾರು ಬೇಕಾದರೂ ಸುಲಭವಾಗಿ ಈ ಒಟಿಪಿಯನ್ನು ನೋಡಿ ಭದ್ರತೆಯನ್ನು ದಾಟಬಹುದಿತ್ತು. ಅಲ್ಲದೆ ಉತ್ತರ ಪತ್ರಿಕೆ ಮೌಲ್ಯಮಾಪನ ಮಾಡುವ ಶಿಕ್ಷಕರ ಮೊಬೈಲ್‌ಗೆ ಒಟಿಪಿ ಹೋಗದೆಯೇ ಇಡೀ ಸಿಸ್ಟಮ್ ಒಳಗೆ ಪ್ರವೇಶಿಸಬಹುದಾದ ರಹಸ್ಯ 'ಮಾಸ್ಟರ್ ಪಾಸ್‌ವರ್ಡ್' ಅನ್ನು ವೆಬ್‌ಸೈಟ್‌ನ ಕೋಡ್‌ನ ಒಳಗೇ ಬರೆದಿಡಲಾಗಿತ್ತು.

ಸುಲಭವಾಗಿ ಪಾಸ್‌ವರ್ಡ್ ರಿಸೆಟ್

ಯಾವುದೇ ಒಬ್ಬ ಶಿಕ್ಷಕರ ಯೂಸರ್ ಐಡಿ ಹಾಕಿ, ಹಳೆಯ ಪಾಸ್‌ವರ್ಡ್ ಇಲ್ಲದೆಯೇ ಕೇವಲ ಯಾವುದೋ ಅಕ್ಷರಗಳನ್ನು ಟೈಪ್ ಮಾಡಿ ಹೊಸ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ಬದಲಾಯಿಸಬಹುದಿತ್ತು. ಬ್ರೌಸರ್‌ನ ಸ್ಟೋರೇಜ್ ಮೌಲ್ಯಗಳನ್ನು ಬದಲಾಯಿಸುವ ಮೂಲಕ ವೆಬ್‌ಸೈಟ್ ಹ್ಯಾಕ್ ಮಾಡಬಹುದಿತ್ತು. ಇದರಿಂದ ವಿದ್ಯಾರ್ಥಿಗಳ ಅಂಕಗಳನ್ನೇ ಬದಲಾಯಿಸುವ ದೊಡ್ಡ ಅಪಾಯವಿತ್ತು. "ಇದಕ್ಕೆ ದೊಡ್ಡ ಪ್ರೋಗ್ರಾಮಿಂಗ್ ಜ್ಞಾನದ ಅಗತ್ಯವಿರಲಿಲ್ಲ. ಕೇವಲ Control + F ಮತ್ತು ಸಾಮಾನ್ಯ ಲಾಜಿಕ್ ಗೊತ್ತಿದ್ದರೆ ಸಾಕಿತ್ತು. ನನ್ನ ಜೀವನದಲ್ಲೇ ನಾನು ಮಾಡಿದ ಅತ್ಯಂತ ಸುಲಭವಾದ ಹ್ಯಾಕಿಂಗ್ ಇದಾಗಿದೆ" ಎಂದು ಆ ಯುವಕ ಹೇಳಿದ್ದಾನೆ.

I had hacked CBSE's OSM (On-Screen Marking Portal) in February and had reported the vulnerabilities to CERT-In, but they were unable to patch most of them.

I've written a detailed blog post about it here: https://t.co/qyT23GkTEJ
— nisarga (@ni5arga) May 22, 2026

ಸೋಷಿಯಲ್ ಮೀಡಿಯಾದಲ್ಲಿ ವಿಡಿಯೋ ವೈರಲ್

ವೆಬ್‌ಸೈಟ್‌ನಲ್ಲಿ ಇಷ್ಟೊಂದು ದೊಡ್ಡ ಭದ್ರತಾ ಲೋಪಗಳಿರುವುದನ್ನು ಕಂಡ ಯುವಕ, ಇದನ್ನು ಸಾರ್ವಜನಿಕವಾಗಿ ಹಂಚಿಕೊಳ್ಳುವ ಮುನ್ನ ಭಾರತದ ಸರ್ವೋಚ್ಚ ಸೈಬರ್ ಭದ್ರತಾ ಸಂಸ್ಥೆಯಾದ 'ಸೆರ್ಟ್-ಇನ್' (CERT-In) ಮತ್ತು ಸಿಬಿಎಸ್‌ಇ ಅಧಿಕಾರಿಗಳಿಗೆ ಹಲವು ಬಾರಿ ಇಮೇಲ್ ಕಳುಹಿಸಿದ್ದನು. ಆದರೆ ಅವರಿಂದ ಯಾವುದೇ ಪ್ರತಿಕ್ರಿಯೆ ಬರಲಿಲ್ಲ.

"ದೊಡ್ಡ ದೊಡ್ಡ ಕಂಪನಿಗಳು ಲಕ್ಷಾಂತರ ರೂಪಾಯಿ ಹಣ ಪಡೆದು ಇಂತಹ ತಪ್ಪುಗಳನ್ನು ಹುಡುಕಿಕೊಡುತ್ತವೆ. ನಾನು ಉಚಿತವಾಗಿ ಲೋಪಗಳನ್ನು ತೋರಿಸಿಕೊಟ್ಟರೂ ಅವರು ಕ್ಯಾರೇ ಅನ್ನಲಿಲ್ಲ. ಇದು ಅವರ ಅಹಂಕಾರ ಮತ್ತು ಬೇಜವಾಬ್ದಾರಿತನವನ್ನು ತೋರಿಸುತ್ತದೆ" ಎಂದು ಬೇಸರಗೊಂಡ ನಿಸರ್ಗ, ಈ ಎಲ್ಲ ಲೋಪಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ಸಾಕ್ಷ್ಯ ಹಾಗೂ ವಿಡಿಯೋಗಳನ್ನು ತನ್ನ ಬ್ಲಾಗ್‌ನಲ್ಲಿ ಅಪ್‌ಲೋಡ್ ಮಾಡಿದ್ದಾನೆ. ಇದು ವೈರಲ್‌ ಆಗುತ್ತಿದ್ದಂತೆ ಎಚ್ಚೆತ್ತ ಸಿಬಿಎಸ್‌ಇ ಮಧ್ಯರಾತ್ರಿಯೇ ತನ್ನ ವೆಬ್‌ಸೈಟ್‌ಗಳನ್ನು ಬ್ಲಾಕ್‌ ಮಾಡಿದೆ.

ಸಿಬಿಎಸ್‌ಇ ಸ್ಪಷ್ಟನೆಗೆ ಯುವಕನ ತಿರುಗೇಟು

ಈ ವಿಷಯ ದೊಡ್ಡದಾಗುತ್ತಿದ್ದಂತೆ ಸಿಬಿಎಸ್‌ಇ ಪ್ರಧಾನ ಕಚೇರಿಯು ಸುದೀರ್ಘ ಸ್ಪಷ್ಟನೆಯನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿತು. "ಆ ಯುವಕ ಉಲ್ಲೇಖಿಸಿರುವ ವೆಬ್‌ಸೈಟ್ ಲಿಂಕ್ (URL) ನಿಜವಾದ ಮೌಲ್ಯಮಾಪನ ವೆಬ್‌ಸೈಟ್ ಅಲ್ಲ. ಅದು ಕೇವಲ ಪರೀಕ್ಷೆ ಮತ್ತು ಮೌಲ್ಯಮಾಪನದ ತರಬೇತಿಗಾಗಿ ರಚಿಸಲಾದ ನಕಲಿ ವೆಬ್‌ಸೈಟ್ ಅಷ್ಟೆ. ಅದರಲ್ಲಿ ಯಾವುದೇ ವಿದ್ಯಾರ್ಥಿಗಳ ಅಸಲಿ ಅಂಕಗಳಾಗಲಿ ಅಥವಾ ಉತ್ತರ ಪತ್ರಿಕೆಗಳಾಗಲಿ ಇರಲಿಲ್ಲ. ನಮ್ಮ ಅಸಲಿ ವೆಬ್‌ಸೈಟ್ ಸಂಪೂರ್ಣವಾಗಿ ಸುರಕ್ಷಿತವಾಗಿದೆ" ಎಂದು ಸಮರ್ಥಿಸಿಕೊಂಡಿತು.

ಇದಕ್ಕೆ ತಕ್ಷಣವೇ ತಿರುಗೇಟು ನೀಡಿದ ನಿಸರ್ಗ ಅಧಿಕಾರಿ, "ಸಿಬಿಎಸ್‌ಇ ತನ್ನ ಟ್ವೀಟ್‌ನಲ್ಲಿ ಉಲ್ಲೇಖಿಸಿರುವ ಆ ವೆಬ್‌ಸೈಟ್ ಲಿಂಕ್ ನಿಜವಾದ ಡೊಮೈನ್ ಅಲ್ಲವೇ ಅಲ್ಲ. ಆ ಲಿಂಕ್ ಕ್ಲಿಕ್ ಮಾಡಿದರೆ ಬಳಕೆದಾರರು ನೇರವಾಗಿ ನನ್ನದೇ ಬ್ಲಾಗ್‌ಗೆ ಬರುವಂತೆ ರೀಡೈರೆಕ್ಟ್ ಆಗುತ್ತಿದೆ" ಎಂದು ಸಿಬಿಎಸ್‌ಇ ಸಂಸ್ಥೆಯ ಮತ್ತೊಂದು ಎಡವಟ್ಟನ್ನು ಜಗತ್ತಿನ ಮುಂದೆ ಬಯಲು ಮಾಡಿದ್ದಾನೆ.