अनुक्रमणिका
CBSE पोर्टल हॅक 2026: धोके, परिणाम आणि सरकारी उपाय

भारताचे सर्वात विश्वासू परीक्षा मंडळ CBSE मे 2026 मध्ये एका मोठ्या सायबर सुरक्षा घोटाळ्याने हादरले, जेव्हा एका 19 वर्षीय एथिकल हॅकरने त्याच्या ऑन-स्क्रीन मार्किंग (OSM) मूल्यमापन प्रणालीमध्ये थेट प्रवेशाचे प्रात्यक्षिक दाखवले — ज्यात प्रोडक्शन सर्व्हरवर शेल ऍक्सेस आणि असुरक्षित क्लाउड बकेटमधून विद्यार्थ्यांच्या उत्तरपत्रिका मोफत डाउनलोड करणे समाविष्ट होते [1][2]. या उल्लंघनामुळे अंदाजे 20 लाख इयत्ता 12 च्या विद्यार्थ्यांचा वैयक्तिक आणि शैक्षणिक डेटा धोक्यात आला [5]. हा लेख हॅकच्या प्रत्येक पैलूचे विश्लेषण करतो, विद्यार्थी आणि पालकांवर याचा काय परिणाम होतो हे स्पष्ट करतो, आणि पुनरावृत्ती टाळण्यासाठी सरकारने काय करायला हवे ते मांडतो.

2026 CBSE OSM उल्लंघन: काय घडले

22 मे 2026 रोजी निसर्ग अधिकारी — एक 19 वर्षीय एथिकल हॅकर आणि इयत्ता 12 चा विद्यार्थी — याने सोशल मीडियावर CBSE च्या OnMark पोर्टल मधील गंभीर सुरक्षा त्रुटींचे तपशीलवार विवरण सार्वजनिक केले [2][3]. हे पोर्टल परीक्षकांनी इयत्ता 12 च्या उत्तरपत्रिका डिजिटली मूल्यांकन करण्यासाठी वापरतात. त्याच्या खुलाशांना स्फोटक बनवणारी गोष्ट म्हणजे CBSE अधिकाऱ्यांनी आधीच अशा कोणत्याही त्रुटींचा इनकार केला होता, तरीही अधिकारीने CBSE च्या थेट प्रोडक्शन सर्व्हरवर पूर्ण क्रिएट, रीड, अपडेट आणि डिलीट (CRUD) ऍक्सेस आणि शेल ऍक्सेस चे प्रात्यक्षिक दाखवले [1]. त्याने अनेक विद्यापीठांतील मूल्यमापनाचे व्यवस्थापन करणाऱ्या दुसऱ्या OnMark सबडोमेनवर सुपर-अॅडमिन अधिकार देखील मिळवले [1].

हे पोर्टल CBSE सोबत करारान्वये COEMPT Eduteck या खाजगी विक्रेत्याद्वारे चालवले जाते. अधिकारीने या प्रणालीची सुरक्षा “अत्यंत असुरक्षित” म्हणून वर्णन केली [4].

उघड झालेल्या असुरक्षितता

अधिकारीने CBSE-संलग्न प्रणालींमध्ये किमान सहा उच्च-तीव्रतेच्या असुरक्षितता ओळखल्या [3]:

असुरक्षिततावर्णनधोका स्तर
हार्डकोड केलेला मास्टर पासवर्डसार्वजनिकपणे वाचनीय कोडमध्ये एम्बेड केलेला सार्वत्रिक पासवर्डअत्यंत गंभीर
ब्राउझरमध्ये OTP दिसणेपरीक्षकांना पाठवलेले OTP ब्राउझर HTTP प्रतिसादात दृश्यमानउच्च
पडताळणीशिवाय पासवर्ड रीसेटकोणत्याही परीक्षकाचा पासवर्ड ओळख तपासणीशिवाय बदलता येत असेउच्च
AWS S3 बकेट — कोणतीही ऑथेंटिकेशन नाहीबकेट URL असलेला कोणीही उत्तरपत्रिका डाउनलोड करू शकत असेअत्यंत गंभीर
SARAS पोर्टलवर MD5 हॅशिंगसहज क्रॅक करता येणारा जुना हॅश अल्गोरिदमउच्च
अॅडमिन पासवर्ड “123456”CBSE शी संलग्न पोर्टलने हा अत्यंत सोपा पासवर्ड वापरलाअत्यंत गंभीर

स्रोत: [3][4][8][14]

cbse attack flow

विद्यार्थ्यांवर परिणाम

या असुरक्षिततांचे वास्तविक परिणाम लाखो विद्यार्थ्यांवर पडले:

  • गोपनीयता उल्लंघन: स्कॅन केलेल्या उत्तरपत्रिका — ज्यात हस्ताक्षर, रोल नंबर आणि शाळेची माहिती आहे — ब्राउझर आणि URL असलेल्या कोणासाठीही उपलब्ध होत्या [15].
  • गुण फेरफाराचा धोका: परीक्षकांचे रूप धारण करणे आणि सुपर-अॅडमिन ऍक्सेस मिळवणे सैद्धांतिकदृष्ट्या गुण बदलण्याची परवानगी देते, जरी CBSE म्हणते की असा कोणताही हस्तक्षेप झाल्याची पुष्टी झाली नाही [1][14].
  • आर्थिक फसवणूक: पुनर्मूल्यांकन पोर्टल वर झालेल्या दुर्भावनापूर्ण हल्ल्यामुळे शुल्क प्रदर्शन ₹1 ते ₹68,000 दरम्यान बदलले, ज्यामुळे अंदाजे 50 विद्यार्थ्यांकडून जास्त शुल्क आकारले गेले [7].
  • परीक्षेची विश्वासार्हता धोक्यात: AWS बकेटमध्ये 2026 चे प्रश्नपत्रिका उपलब्ध असल्याचे आरोप असल्याने बोर्ड परीक्षेच्या निष्पक्षतेवरच प्रश्नचिन्ह उभे राहिले [4].
  • राजकीय गदारोळ: काँग्रेस नेते जयराम रमेश यांनी याला “20 लाख विद्यार्थ्यांच्या गोपनीयतेला धोक्यात आणणारी मोठी डेटा लीक” म्हटले [5][6].

COEMPT Eduteck वाद

वादाच्या केंद्रस्थानी COEMPT Eduteck आहे, जी CBSE चे OSM प्लॅटफॉर्म चालवते [17]. टीकाकारांचे म्हणणे आहे की अनेक निविदा फेऱ्यांमध्ये विनंती प्रस्तावांमध्ये (RFP) अशा बदल केल्या गेल्या ज्या विक्रेत्याच्या पात्रता निकषांना अनुकूल असाव्यात [17]:

  • रोबोटिक स्कॅनिंग मशीन्सची आवश्यकता — एक महत्त्वाचे भौतिक सुरक्षा उपाय — तिसऱ्या RFP मध्ये कथितपणे काढून टाकण्यात आली [6].
  • स्कॅन केलेल्या प्रतिमा प्रमाणित सुरक्षित स्कॅनर ऐवजी मोबाईल फोन कॅमेऱ्यांनी कॅप्चर केल्याची चिन्हे दाखवत होत्या [6].
  • काँग्रेसने निविदा प्रक्रिया आणि विक्रेत्याच्या आचरणाच्या चौकशीची औपचारिक मागणी केली [17].

बनावट DigiLocker: एक लपलेला धोका

या संकटात भर टाकताना, इलेक्ट्रॉनिक्स आणि माहिती तंत्रज्ञान मंत्रालयाने (MeitY) CBSE वादाच्या सावलीत चालणाऱ्या बनावट DigiLocker वेबसाइट बद्दल सार्वजनिक इशारा दिला [9]. हे फसवे पोर्टल:

  • अधिकृत सरकारी DigiLocker इंटरफेसची नक्कल करते.
  • विद्यार्थ्यांना DigiLocker आणि CISCE सेवा देण्याचा दावा करते.
  • विद्यार्थ्यांची क्रेडेन्शियल्स आणि वैयक्तिक माहिती चोरण्यासाठी डिझाइन केलेले आहे.

MeitY वापरकर्त्यांना DigiLocker केवळ digilocker.gov.in द्वारे ऍक्सेस करण्याचे आणि संशयास्पद साइट्स CERT-In च्या अधिकृत चॅनलद्वारे नोंदवण्याचे आवाहन करते [9].

आतापर्यंतचा सरकारी प्रतिसाद

  • IIT टास्क फोर्स तैनात: CBSE ने IIT मद्रास आणि IIT कानपूर च्या तज्ज्ञांसह सरकारी संस्थेच्या व्यावसायिकांना OnMark ऑडिट आणि उर्वरित असुरक्षितता मजबूत करण्यासाठी आणले [11].
  • असुरक्षितता नियंत्रण जाहीर: CBSE ने सांगितले की सर्व “ओळखता येण्याजोग्या असुरक्षिता” नियंत्रित केल्या गेल्या आहेत [10].
  • DigiLocker बदलाची घोषणा: शिक्षण मंत्रालयाने पुष्टी केली की पुढील शैक्षणिक वर्षापासून CBSE इयत्ता 12 च्या उत्तरपत्रिका DigiLocker वर उपलब्ध होतील [16].
  • राष्ट्रीय सायबर सुरक्षा धोरण 2026 सुरू: हे धोरण CERT-In, राज्य पोलीस सायबर सेल आणि खाजगी क्षेत्रातील भागधारकांमध्ये समन्वय अनिवार्य करते [13].

काय अधिक करणे आवश्यक आहे: एक धोरण रोडमॅप

अनिवार्य विक्रेता सुरक्षा मानके

  • सरकारी शैक्षणिक डेटा हाताळणाऱ्या कोणत्याही EdTech विक्रेत्याने करार करण्यापूर्वी CERT-In-मान्यताप्राप्त तृतीय-पक्ष सुरक्षा ऑडिट पास करणे आवश्यक आहे.
  • सरकारी RFP मधील सुरक्षा आवश्यकता अपरिवर्तनीय कलम असाव्यात — निविदा फेरफारात शांतपणे कमी करता येणारी नाही.
  • सर्व सरकारी शैक्षणिक पोर्टल्ससाठी औपचारिक बग बाउंटी कार्यक्रम स्थापित करावेत.

क्लाउड कॉन्फिगरेशन प्रशासन

  • सर्व सरकार-संलग्न क्लाउड स्टोरेजसाठी स्वयंचलित चुकीचे-कॉन्फिगरेशन स्कॅनिंग आवश्यक केले जावे.
  • डिजिटल वैयक्तिक डेटा संरक्षण (DPDP) कायदा 2023 सार्थक दंडासह लागू करावा.

समर्पित Edu-CERT

  • भारताने क्षेत्रीय शिक्षण CERT (Edu-CERT) स्थापन करावे जे शैक्षणिक पायाभूत सुविधा विक्रेत्यांचे वास्तविक वेळेत ऑडिट, प्रतिसाद आणि दंड करण्याचे अधिकार असेल.

सायबर सुरक्षा प्रतिभा पाइपलाइन

  • राष्ट्रीय सायबर सुरक्षा धोरण 2026 चे लक्ष्य पाच वर्षांत 5 लाख सायबर सुरक्षा व्यावसायिकांना प्रशिक्षित करणे आहे [13].
  • सायबर सुरक्षा शाळा आणि महाविद्यालयांच्या अभ्यासक्रमात समाविष्ट करावी.

CBSE संकट हे एका व्यवस्थागत दरीचे लक्षण आहे: सार्वजनिक सेवांमध्ये भारताच्या वेगवान डिजिटल विस्तारासोबत सुरक्षा वास्तुकलेत समान गुंतवणूक सातत्याने केली गेली नाही. पुढील उल्लंघन होण्याआधीच सार्थक संरचनात्मक सुधारणेची संधी आत्ता आहे.

स्रोत

  1. CBSE ऑनलाइन मार्किंग पोर्टल हॅक — MediaNama
  2. 19 वर्षीय विद्यार्थ्याने CBSE OSM पोर्टल कसे हॅक केले — The Print
  3. CBSE ने OnMark पोर्टलमधील असुरक्षितता मान्य केली — Careers360
  4. ‘अत्यंत असुरक्षित’: एथिकल हॅकरचा आरोप — BusinessToday
  5. CBSE इयत्ता 12 डेटा लीक: 20 लाख विद्यार्थ्यांची गोपनीयता धोक्यात — Asianet Newsable
  6. 20 लाख विद्यार्थ्यांच्या गोपनीयतेला धोका: काँग्रेसचा आरोप — ANI News
  7. CBSE पोर्टलवर दुर्भावनापूर्ण हल्ला — The Chenab Times
  8. पासवर्ड होता 123456: विद्यार्थ्याचा आरोप — BusinessToday
  9. बनावट DigiLocker वेबसाइटबद्दल सरकारचा इशारा — Digit
  10. CBSE म्हणते OSM पोर्टलच्या असुरक्षिता नियंत्रित — India TV News
  11. CBSE ने IIT मद्रास आणि IIT कानपूर तज्ज्ञ तैनात केले — Swarajya Mag
  12. सरकारने महत्त्वाच्या क्षेत्रांमध्ये सायबर सुरक्षा मजबूत केली — PIB
  13. भारताने राष्ट्रीय सायबर सुरक्षा धोरण 2026 सुरू केले — Education Post
  14. CBSE OSM वाद स्पष्ट केला — Gulf News
  15. CBSE उत्तरपत्रिका लीक: AWS डेटा उल्लंघनाचा आरोप — OneIndia
  16. पुढील वर्षापासून CBSE इयत्ता 12 उत्तरपत्रिका DigiLocker वर — Careers360
  17. काँग्रेसने CBSE उत्तरपत्रिका लीकवर चिंता व्यक्त केली — The Statesman