भारत का सबसे भरोसेमंद परीक्षा बोर्ड CBSE मई 2026 में एक बड़े साइबर सुरक्षा घोटाले से हिल गया, जब एक 19 वर्षीय एथिकल हैकर ने इसके ऑन-स्क्रीन मार्किंग (OSM) मूल्यांकन प्रणाली में बिना किसी रोक-टोक के प्रवेश का लाइव प्रदर्शन किया — जिसमें प्रोडक्शन सर्वर तक शेल एक्सेस और एक असुरक्षित क्लाउड बकेट से छात्रों की उत्तर पुस्तिकाओं का मुफ्त डाउनलोड शामिल था [1][2]। इस उल्लंघन से अनुमानित 20 लाख कक्षा 12 के छात्रों का व्यक्तिगत और शैक्षणिक डेटा खतरे में पड़ गया [5]। यह लेख हैक की हर परत को उजागर करता है, समझाता है कि इसका छात्रों और परिवारों पर क्या असर पड़ा, और सरकार को दोबारा ऐसा होने से रोकने के लिए क्या करना चाहिए।

2026 CBSE OSM उल्लंघन: क्या हुआ

22 मई 2026 को निसर्ग अधिकारी — एक 19 वर्षीय एथिकल हैकर और कक्षा 12 के छात्र — ने सोशल मीडिया पर CBSE के OnMark पोर्टल की गंभीर सुरक्षा खामियों का विस्तृत विवरण सार्वजनिक किया। यह वही थर्ड-पार्टी सिस्टम है जिसका उपयोग परीक्षक कक्षा 12 की उत्तर पुस्तिकाओं का डिजिटल मूल्यांकन करने के लिए करते हैं [2][3]। उनके खुलासे को विस्फोटक बनाने वाली बात सिर्फ कमज़ोरियाँ नहीं थीं, बल्कि समयरेखा भी थी: CBSE अधिकारी पहले यह इनकार कर चुके थे कि ऐसी कोई खामी मौजूद है, फिर भी अधिकारी ने CBSE के लाइव प्रोडक्शन सर्वर पर पूर्ण क्रिएट, रीड, अपडेट और डिलीट (CRUD) एक्सेस के साथ शेल एक्सेस का प्रदर्शन किया [1]। उन्होंने कई विश्वविद्यालयों में मूल्यांकन की जिम्मेदारी संभालने वाले एक अन्य OnMark सबडोमेन पर सुपर-एडमिन अधिकार भी हासिल किए [1]।

यह पोर्टल एक निजी विक्रेता COEMPT Eduteck द्वारा CBSE के साथ अनुबंध के तहत संचालित किया जाता है। अधिकारी ने इस सिस्टम की सुरक्षा को “अत्यंत असुरक्षित” बताया [4] — एक ऐसी विशेषता जिसे CBSE का अपना बाद का ऑडिट भी ठीक से नकार नहीं सका।

उजागर हुई कमज़ोरियाँ

अधिकारी ने CBSE से जुड़े सिस्टम में कम से कम छह उच्च-गंभीरता वाली कमज़ोरियाँ चिन्हित कीं [3]। नीचे दी गई तालिका में उजागर हुई गंभीर खामियों का सारांश है:

स्रोत: [3][4][8][14]

OnMark सिस्टम से जुड़े Amazon Web Services (AWS) S3 स्टोरेज बकेट ने कथित तौर पर किसी को भी 2026 बोर्ड परीक्षाओं की स्कैन की गई उत्तर पुस्तिकाएं और प्रश्न पत्र बिना किसी प्रमाणिकता के ब्राउज़ और डाउनलोड करने की अनुमति दी [4][15]। यह एक क्लासिक असुरक्षित क्लाउड कॉन्फ़िगरेशन है — आधुनिक IT में बड़े पैमाने पर डेटा उजागर होने के सबसे सामान्य और सबसे रोके जाने योग्य कारणों में से एक।

छात्रों पर प्रभाव: कौन प्रभावित हुआ?

इन कमज़ोरियों के वास्तविक परिणाम सीधे लाखों छात्रों पर पड़े:

• गोपनीयता उल्लंघन: स्कैन की गई उत्तर पुस्तिकाएं — जिनमें हस्तलेख, रोल नंबर और स्कूल विवरण शामिल हैं — कथित तौर पर ब्राउज़र और URL वाले किसी के लिए भी सुलभ थीं [15]।
• अंक हेरफेर का जोखिम: परीक्षकों का प्रतिरूपण करने और सुपर-एडमिन एक्सेस प्राप्त करने की क्षमता ने सैद्धांतिक रूप से अंकों में बदलाव की अनुमति दी, हालांकि CBSE का कहना है कि ऐसी कोई छेड़छाड़ की पुष्टि नहीं हुई [1][14]।
• वित्तीय धोखाधड़ी: पुनर्मूल्यांकन पोर्टल पर एक अलग दुर्भावनापूर्ण हमले के कारण शुल्क प्रदर्शन राशि ₹1 और ₹68,000 के बीच उतार-चढ़ाव करती रही, जिससे लगभग 50 छात्रों से अधिक शुल्क लिया गया [7]।
• परीक्षा की अखंडता प्रभावित: AWS बकेट में 2026 के प्रश्न पत्र कथित रूप से सुलभ होने के साथ, बोर्ड परीक्षा की निष्पक्षता पर ही सवाल उठ गया [4]।
• राजनीतिक विवाद: कांग्रेस नेता जयराम रमेश ने इसे “20 लाख छात्रों की गोपनीयता को खतरे में डालने वाला एक बड़ा डेटा लीक” बताते हुए सरकार से जवाबदेही की मांग की [5][6]।

COEMPT Eduteck विवाद

इस तूफान के केंद्र में है COEMPT Eduteck, वह निजी IT विक्रेता जो CBSE का OSM प्लेटफॉर्म संचालित करती है [17]। आलोचकों का आरोप है कि कई निविदा दौरों में बार-बार अनुरोध प्रस्ताव (RFP) में ऐसे बदलाव किए गए जो विक्रेता की पात्रता मानदंड को उसके पक्ष में बदलते प्रतीत होते हैं [17]। प्रमुख चिंताजनक बिंदु:

• रोबोटिक स्कैनिंग मशीनों की आवश्यकता — एक महत्वपूर्ण भौतिक सुरक्षा सुरक्षा उपाय — को कथित तौर पर तीसरे RFP में हटा दिया गया [6]।
• स्कैन की गई छवियों में प्रमाणित सुरक्षित स्कैनर के बजाय मोबाइल फोन कैमरे से कैप्चर किए जाने के संकेत मिले, जिससे भौतिक डेटा हैंडलिंग पर सवाल उठे [6]।
• कांग्रेस ने निविदा प्रक्रिया और विक्रेता के आचरण की जांच की औपचारिक मांग की [17]।

CBSE ने यह बनाए रखा है कि चिन्हित कमज़ोरियों को “नियंत्रित कर लिया गया है,” और कुछ हैकिंग प्रदर्शनों को लाइव प्रोडक्शन सिस्टम के बजाय परीक्षण वातावरण के लिए जिम्मेदार ठहराया — एक दावा जिसे साइबर सुरक्षा शोधकर्ताओं ने विवादित किया है [3][10]।

नकली DigiLocker: एक छिपा खतरा

इस संकट को और बढ़ाते हुए, इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने CBSE विवाद की आड़ में चल रही एक नकली DigiLocker वेबसाइट के बारे में सार्वजनिक चेतावनी जारी की [9]। यह धोखाधड़ी पोर्टल:

• दिखने में आधिकारिक सरकारी DigiLocker इंटरफेस की नकल करता है।
• छात्रों को DigiLocker और CISCE सेवाएं प्रदान करने का दावा करता है।
• छात्रों की साख और व्यक्तिगत जानकारी चुराने के लिए बनाया गया है।

बोर्ड परिणाम सत्यापित करने के लिए दौड़ रहे छात्र और अभिभावक फ़िशिंग के प्रमुख लक्ष्य हैं। MeitY उपयोगकर्ताओं से DigiLocker को केवल digilocker.gov.in के माध्यम से एक्सेस करने और CERT-In के आधिकारिक चैनलों के माध्यम से संदिग्ध साइटों की रिपोर्ट करने का आग्रह करता है [9]।

अब तक की सरकारी प्रतिक्रिया

सरकार की तात्कालिक प्रतिक्रिया ऊर्जावान रही है, हालांकि दीर्घकालिक अनुवर्ती कार्रवाई अभी देखनी बाकी है:

• IIT टास्क फोर्स तैनात: CBSE ने OnMark का ऑडिट करने और शेष कमज़ोरियों को मजबूत करने के लिए IIT मद्रास और IIT कानपुर के साइबर सुरक्षा विशेषज्ञों के साथ-साथ सरकारी एजेंसी के पेशेवरों को लाया [11]।
• कमज़ोरी नियंत्रण घोषित: CBSE ने कहा कि सभी “चिन्हनीय कमज़ोरियों” को नियंत्रित कर लिया गया है, अतिरिक्त जांच अभी जारी है [10]।
• DigiLocker बदलाव की घोषणा: शिक्षा मंत्रालय ने पुष्टि की कि अगले शैक्षणिक वर्ष से CBSE कक्षा 12 की उत्तर पुस्तिकाएं DigiLocker पर उपलब्ध होंगी, जिससे थर्ड-पार्टी विक्रेता पोर्टलों पर निर्भरता कम होगी [16]।
• राष्ट्रीय साइबर सुरक्षा रणनीति 2026 लॉन्च: यह व्यापक नीति ढांचा महत्वपूर्ण क्षेत्रों में तेज़ पहचान और प्रतिक्रिया के लिए CERT-In, राज्य पुलिस साइबर सेल और निजी क्षेत्र के हितधारकों के बीच समन्वय अनिवार्य करता है [13]।
• CERT-In का विस्तार: 2024-25 में, CERT-In ने 29.44 लाख से अधिक साइबर घटनाओं को संभाला, 1,530 अलर्ट, 390 कमज़ोरी सलाह जारी की, और सरकार तथा महत्वपूर्ण बुनियादी ढांचे में 9,700 से अधिक सुरक्षा ऑडिट किए [12]।

क्या और किया जाना चाहिए: एक नीति रोडमैप

प्रतिक्रियात्मक पैचिंग कोई रणनीति नहीं है। व्यवस्थित सुधार इस तरह दिखना चाहिए:

अनिवार्य विक्रेता सुरक्षा मानक

• सरकारी शिक्षा डेटा संभालने वाले किसी भी EdTech विक्रेता को अनुबंध हस्ताक्षर से पहले और वार्षिक नवीनीकरण पर CERT-In-अनुमोदित थर्ड-पार्टी सुरक्षा ऑडिट पास करना होगा।
• सरकारी RFP में सुरक्षा आवश्यकताएं गैर-परक्राम्य, संस्करण-लॉक खंड होनी चाहिए — ऐसी वस्तुएं नहीं जिन्हें निविदा संशोधनों में चुपचाप कमज़ोर किया जा सके।
• सभी सरकारी शिक्षा पोर्टलों के लिए औपचारिक बग बाउंटी कार्यक्रम स्थापित किए जाने चाहिए, जो अधिकारी जैसे एथिकल हैकरों को सुरक्षित, कानूनी रूप से संरक्षित और आर्थिक रूप से पुरस्कृत प्रकटीकरण चैनल दें।

क्लाउड कॉन्फ़िगरेशन प्रशासन

• सभी सरकार-से-जुड़े क्लाउड स्टोरेज (AWS S3, Azure Blob, GCP) को स्वचालित गलत-कॉन्फ़िगरेशन स्कैनिंग से गुजरना होगा — EU, USA और ऑस्ट्रेलिया में पहले से अनिवार्य एक मानक।
• डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम 2023 को सार्थक दंड के साथ लागू किया जाना चाहिए: लापरवाही से छात्र डेटा उजागर करने वाले विक्रेताओं को केवल सलाहकार नोटिस नहीं, वित्तीय दायित्व का सामना करना चाहिए।

एक समर्पित Edu-CERT

• भारत को वित्तीय क्षेत्र के CERT-Fin के मॉडल पर एक क्षेत्रीय शिक्षा CERT (Edu-CERT) स्थापित करना चाहिए, जिसके पास समाचारपत्रों तक छात्र शिकायतें पहुंचने का इंतजार किए बिना वास्तविक समय में शिक्षा बुनियादी ढांचे के विक्रेताओं को स्वतंत्र रूप से ऑडिट करने, प्रतिक्रिया देने और दंडित करने का अधिकार हो।

साइबर सुरक्षा प्रतिभा पाइपलाइन

• राष्ट्रीय साइबर सुरक्षा रणनीति 2026 का लक्ष्य पांच वर्षों में 5 लाख साइबर सुरक्षा पेशेवरों को प्रशिक्षित करना है [13]; इसका एक समर्पित हिस्सा विशेष रूप से edtech सुरक्षा और सरकारी पोर्टल ऑडिटिंग में लगाया जाना चाहिए।
• साइबर सुरक्षा को स्कूल और कॉलेज पाठ्यक्रमों में शामिल किया जाना चाहिए ताकि प्रशासकों और डेवलपर्स की अगली पीढ़ी शुरू से ही सुरक्षा-प्रथम सोच के साथ काम करे।

छात्र और अभिभावक जागरूकता

• वार्षिक डिजिटल साक्षरता अभियान छात्रों, अभिभावकों और स्कूल प्रशासकों को आधिकारिक URL सत्यापित करने, फ़िशिंग पोर्टल पहचानने और आधिकारिक चैनलों के माध्यम से डेटा विसंगतियों की रिपोर्ट करने के बारे में शिक्षित करें [9]।
• CBSE को एक स्पष्ट सार्वजनिक घटना-प्रतिक्रिया प्रोटोकॉल प्रकाशित करना चाहिए ताकि छात्र जान सकें कि उल्लंघन का संदेह होते ही क्या करना है।

CBSE संकट अंततः एक व्यवस्थागत खामी का लक्षण है: सार्वजनिक सेवाओं में भारत के तेज़ डिजिटल विस्तार के साथ सुरक्षा वास्तुकला में समतुल्य निवेश लगातार नहीं किया गया है। जैसे-जैसे परीक्षा परिणाम, पहचान और शैक्षणिक रिकॉर्ड डिजिटल प्रणालियों से और अधिक जुड़ते जाते हैं, दांव केवल ऊंचे होते जाते हैं — और सार्थक संरचनात्मक सुधार की खिड़की अभी है, अगली सुर्खी बनाने से पहले।

स्रोत

1. CBSE ऑनलाइन मार्किंग पोर्टल सुरक्षा खामियों से इनकार के बाद हैक — MediaNama
2. एक 19 वर्षीय छात्र ने कैसे CBSE का OSM पोर्टल हैक किया — The Print
3. CBSE ने किशोर हैकर के आरोपों के बाद OnMark पोर्टल में कमज़ोरियाँ स्वीकारीं — Careers360
4. ‘अत्यंत असुरक्षित’: एथिकल हैकर का आरोप, CBSE उत्तर पुस्तिकाएं सार्वजनिक रूप से सुलभ थीं — BusinessToday
5. CBSE कक्षा 12 डेटा लीक: 20 लाख छात्रों की गोपनीयता खतरे में — Asianet Newsable
6. 20 लाख छात्रों की गोपनीयता को खतरे में डालने वाला बड़ा डेटा लीक: कांग्रेस — ANI News
7. CBSE पोर्टल पर दुर्भावनापूर्ण हमला, लगभग 50 छात्र प्रभावित — The Chenab Times
8. ‘पासवर्ड था 123456’: छात्र ने CBSE-लिंक्ड सिस्टम में नई सुरक्षा चूक का आरोप लगाया — BusinessToday
9. CBSE OSM विवाद के बीच सरकार ने नकली DigiLocker वेबसाइट के बारे में चेतावनी दी — Digit
10. CBSE का कहना है OSM पोर्टल की ‘कमज़ोरियाँ नियंत्रित’, IIT टीमें तैनात — India TV News
11. सुरक्षा चिंताओं के बाद CBSE ने IIT मद्रास और IIT कानपुर विशेषज्ञ तैनात किए — Swarajya Mag
12. सरकार ने महत्वपूर्ण क्षेत्रों में साइबर सुरक्षा मजबूत की; CERT-In ने 9,700 से अधिक ऑडिट किए — PIB
13. भारत ने राष्ट्रीय साइबर सुरक्षा रणनीति 2026 लॉन्च की — Education Post
14. CBSE OSM विवाद समझाया: बोर्ड ने पोर्टल हैक के बाद सुरक्षा खामियाँ स्वीकारीं — Gulf News
15. CBSE उत्तर पुस्तिका लीक विवाद: छात्रों ने AWS डेटा उल्लंघन का आरोप लगाया — OneIndia
16. अगले वर्ष से CBSE कक्षा 12 की उत्तर पुस्तिकाएं DigiLocker पर — Careers360
17. कांग्रेस ने CBSE उत्तर पुस्तिका लीक पर चिंता जताई, मूल्यांकन ठेकेदार पर सवाल — The Statesman