**‘कल्पना कीजिए’**… वो रात जब दिल्ली से लेकर मुंबई तक के लाखों बच्चों के सपने, उनके 12वीं क्लास के मार्क्स, एक 19 साल के लड़के के हाथों में थे। वो लड़का न तो कोई सरकारी अफसर था, न कोई ‘एथिकल हैकर’, बस एक ‘हॉबी साइबर सिक्योरिटी रिसर्चर’ था—निसर्ग अधिकारी। और उसने जो देखा, वो इतना ‘खौफनाक’ था कि CBSE को अपनी पूरी वेबसाइट बंद करनी पड़ी।
**‘हैरान करने वाली बात ये है’**… कि निसर्ग ने जो ‘वुल्नरेबिलिटीज़’ ढूंढीं, वो इतनी ‘बेसिक’ थीं कि कोई भी ‘स्क्रिप्ट किडी’ भी उन्हें इस्तेमाल कर सकता था। ‘हार्डकोडेड मास्टर पासवर्ड’ जो सीधे फ्रंट-एंड कोड में लिखा था। ‘OTP’ जो ब्राउज़र में ही वेरिफाई हो जाता था। ‘IDOR’ बग जो पूरे सिस्टम को ‘टेकओवर’ कर सकता था। और सबसे बड़ी बात—CBSE ने कहा कि ये सब ‘टेस्टिंग साइट’ पर था। लेकिन क्या वाकई?
**‘सच्चाई इससे भी भयानक है’**… क्योंकि निसर्ग ने तो सिर्फ ‘टेस्टिंग साइट’ पर ही नहीं, बल्कि असली OSM पोर्टल के लिंक तक पहुंच बना ली थी। वो कहता है, ‘मैंने देखा कि पूरा फ्रंट-एंड कोड बिना लॉगिन के डाउनलोड हो जाता है। बस एक ‘यूजर आईडी’ और ‘स्कूल कोड’ चाहिए—जो पब्लिकली उपलब्ध हैं। फिर ‘मास्टर पासवर्ड’ डालो, और देखो… मार्क्स बदल सकते हैं।’
CBSE का कहना है कि असली OSM पोर्टल ‘सिक्योर’ है, लेकिन निसर्ग के सबूत इतने ‘कन्विंसिंग’ हैं कि सवाल उठता है—क्या बोर्ड सचमुच ‘टेस्टिंग साइट’ और ‘रियल पोर्टल’ में फर्क कर पाया? उसने अपने ब्लॉग में लिखा, ‘CBSE ने सिर्फ एक बग फिक्स किया, वो भी 3 दिन में। लेकिन असली पोर्टल पर कितने बग हैं, इसका पता तो किसी को नहीं।’
**‘3 महीने पहले रिपोर्ट किया, 3 दिन में एक फिक्स’**… निसर्ग ने फरवरी 2026 में CERT-In को रिपोर्ट किया था। CERT-In ने ‘बॉयलरप्लेट रिस्पॉन्स’ दिया—‘थैंक यू फॉर रिपोर्टिंग’। फिर क्या? कुछ नहीं। निसर्ग ने बार-बार फॉलो-अप किया, लेकिन कोई जवाब नहीं आया। वो कहता है, ‘CBSE ने मेरी रिपोर्ट को ‘नॉर्मल’ समझा, लेकिन असली खतरा तो ‘आर्किटेक्चरल लेवल’ पर था।’
**‘CBSE का दावा: कोई ब्रीच नहीं’**… बोर्ड ने कहा कि असली OSM पोर्टल (http://cbse.onmarks.co.in) ‘सिक्योर’ है। लेकिन निसर्ग के स्क्रीनशॉट्स में जो लिंक दिख रहा है, वो ‘टेस्टिंग साइट’ का है। फिर सवाल उठता है—क्या बोर्ड सचमुच ‘टेस्टिंग’ और ‘रियल’ में फर्क कर पाया? या फिर… क्या असली पोर्टल भी उतना ही ‘कमजोर’ है जितना ‘टेस्टिंग’ वाला?
**‘मार्क्स बदलने का खेल’**… निसर्ग ने बताया कि ‘IDOR’ बग की मदद से कोई भी ‘एग्जामिनर’ बन सकता था। बस ब्राउज़र में ‘यूजर आईडी’ बदलो, और मार्क्स बदल दो। वो कहता है, ‘मैंने खुद ट्राई किया—मेरे ब्राउज़र में ‘टीचर आईडी’ डालकर देखा, तो पूरा डैशबोर्ड खुल गया।’
CBSE ने कहा कि OSM सिस्टम ‘ट्रांसपेरेंसी’ के लिए लाया गया था, लेकिन क्या ‘ट्रांसपेरेंसी’ के नाम पर ‘सिक्योरिटी’ को कुर्बान कर दिया गया? बोर्ड का कहना है कि ‘ग्रिवेंस रिड्रेसल मैकेनिज्म’ मजबूत है, लेकिन अगर मार्क्स ही बदल जाएं, तो ‘ग्रिवेंस’ का क्या मतलब?
**‘20 लाख स्टूडेंट्स का भविष्य’**… CBSE हर साल 20 लाख से ज्यादा स्टूडेंट्स के मार्क्स हैंडल करता है। अगर OSM पोर्टल ‘हैक’ हो जाए, तो लाखों बच्चों का भविष्य खतरे में पड़ सकता है। निसर्ग कहते हैं, ‘CBSE को ‘बेसिक सिक्योरिटी’ पर ध्यान देना चाहिए था, न कि सिर्फ ‘टेक्नोलॉजी’ पर।’
**‘CBSE का जवाब: सब ठीक है’**… बोर्ड ने कहा कि ‘टेस्टिंग साइट’ पर मिले ‘वुल्नरेबिलिटीज़’ असली पोर्टल पर लागू नहीं होते। लेकिन क्या वाकई? निसर्ग जैसे ‘हॉबी रिसर्चर्स’ के सामने तो पूरे सिस्टम की ‘पोल खुल गई’।
**‘क्या होगा अगला कदम?’**… अगर CBSE ने ‘टेस्टिंग साइट’ पर ही इतने ‘बेसिक’ बग ढूंढे, तो असली पोर्टल पर क्या होगा? क्या बोर्ड ‘थर्ड-पार्टी ऑडिट’ कराएगा? या फिर… क्या ये ‘कंस्पिरेसी’ है ‘मार्क्स में हेराफेरी’ की?
**‘इतिहास की तरफ मुड़कर देखें’**… पिछले साल, CBSE ने ‘ऑन-स्क्रीन मार्किंग’ सिस्टम लॉन्च किया था। बोर्ड का कहना था कि इससे ‘टैली एरर्स’ खत्म होंगे और ‘मैन्युअल इंटरवेंशन’ कम होगा। लेकिन क्या ‘टेक्नोलॉजी’ के नाम पर ‘सिक्योरिटी’ को भूल गए?
2020 में, CBSE ने ‘फास्ट-ट्रैक री-एवल्यूएशन’ सिस्टम लॉन्च किया था। लेकिन उसमें भी ‘स्कैम’ सामने आए थे। क्या OSM सिस्टम भी उसी ‘ट्रैप’ का हिस्सा है?
**‘CBSE vs. इंडिपेंडेंट रिसर्चर्स’**… पिछले साल, IIT मद्रास और IIT कानपुर ने CBSE को ‘ग्लिच-फ्री री-एवल्यूएशन’ में मदद की थी। लेकिन क्या इस बार भी ‘एक्सपर्ट्स’ को बुलाया जाएगा? या फिर… क्या बोर्ड ‘अपनी गलती’ मानने से डर रहा है?
**‘सवाल उठता है…’**
CBSE ने कहा कि OSM पोर्टल ‘सिक्योर’ है, लेकिन निसर्ग जैसे ‘हॉबी रिसर्चर्स’ ने पूरे सिस्टम की ‘पोल खोल दी’। तो सवाल ये है—
1. क्या CBSE सचमुच ‘टेस्टिंग साइट’ और ‘रियल पोर्टल’ में फर्क कर पाया, या फिर… क्या असली पोर्टल भी उतना ही ‘कमजोर’ है?
2. अगर OSM पोर्टल ‘हैक’ हो सकता है, तो क्या लाखों स्टूडेंट्स के मार्क्स ‘सुरक्षित’ हैं, या फिर… क्या बोर्ड ‘असली खतरे’ को नजरअंदाज कर रहा है?
