സിബിഎസ്ഇ വാദം തെറ്റ്, ഒസ്എം പോര്ട്ടലില് മാര്ക്ക് എഡിറ്റ് ചെയ്യാം; ഹാക്കറുടെ ഞെട്ടിക്കുന്ന കണ്ടെത്തല്
സിബിഎസ്ഇയെ വെട്ടിലാക്കി വീണ്ടും സൈബര് സുരക്ഷാ ഗവേഷകന്. സെന്ട്രല് ബോര്ഡ് ഓഫ് സെക്കന്ഡറി എജ്യുക്കേഷന്റെ (സിബിഎസ്ഇ) ഓണ്-സ്ക്രീന് മാര്ക്കിംഗ് (ഒഎസ്എം) പോര്ട്ടലില് ഹാര്ഡ്-കോഡ് ചെയ്ത 'മാസ്റ്റര് പാസ്വേഡ്' അടങ്ങിയിട്ടുണ്ടെന്ന് സൈബര് സുരക്ഷാ ഗവേഷകനായ നിസര്ഗ അധികാരി അവകാശപ്പെട്ടു.
ഒടിപി വെരിഫിക്കേഷന് മറികടക്കാനും എക്സാമിനര് അക്കൗണ്ടുകളിലേക്ക് ലോഗിന് ചെയ്യാനും, വിദ്യാര്ത്ഥികളുടെ മാര്ക്കുകളില് കൃത്രിമം കാണിക്കാനും ഇത് ഉപയോഗിക്കാമെന്ന് ആരോപിക്കപ്പെടുന്നു. ഈ വര്ഷം 12-ാം ക്ലാസ് ബോര്ഡ് പരീക്ഷകള്ക്കായി അവതരിപ്പിച്ച ഒഎസ്എം പ്ലാറ്റ്ഫോമിന്റെ ബാക്കെന്ഡ് കോഡ് പരിശോധിക്കുന്നതിനിടെയാണ് ഈ അപകടസാധ്യത കണ്ടെത്തിയതെന്ന് നിസര്ഗ അധികാരി ഹിന്ദുസ്ഥാന് ടൈംസിനോട് പറഞ്ഞു.
അതേസമയം യഥാര്ത്ഥ മൂല്യനിര്ണ്ണയ പോര്ട്ടലില് വിട്ടുവീഴ്ച ചെയ്തിട്ടില്ലെന്ന് സിബിഎസ്ഇ ആവര്ത്തിച്ചു. 19 കാരനായ നിസര്ഗ അധികാരി എടുത്തുകാണിച്ച അപകടസാധ്യതകള് സാമ്പിള് ഡാറ്റ അടങ്ങിയ ഒരു 'ടെസ്റ്റിംഗ് സൈറ്റുമായി' മാത്രമേ ബന്ധപ്പെട്ടിട്ടുള്ളൂ എന്ന് സിബിഎസ്ഇ പറഞ്ഞു. 2026 മുതല് ആണ് 12-ാം ക്ലാസ് ബോര്ഡ് പരീക്ഷകള്ക്കായി സിബിഎസ്ഇ ഓണ്-സ്ക്രീന് മാര്ക്കിംഗ് സംവിധാനം അവതരിപ്പിച്ചത്.
പരമ്പരാഗത മാനുവല് മൂല്യനിര്ണ്ണയ പ്രക്രിയയ്ക്ക് പകരം ഓണ്ലൈനായി പരിശോധിക്കുന്ന ഡിജിറ്റലി സ്കാന് ചെയ്ത ഉത്തരക്കടലാസുകള് ആണ് ഇതിനായി ഉപയോഗിക്കുന്നത്. മൊത്തം പിശകുകള് ഇല്ലാതാക്കാനും മാനുവല് ഇടപെടല് കുറയ്ക്കാനും മൂല്യനിര്ണയം വേഗത്തിലാക്കാനും ഉദ്ദേശിച്ചുള്ളതായിരുന്നു ഈ സംവിധാനം എന്ന് ബോര്ഡ് പറയുന്നു.
എന്നിരുന്നാലും, മങ്ങിയ സ്കാനുകള്, പേജുകള് നഷ്ടപ്പെട്ടത് മുതല് പുനര്മൂല്യനിര്ണ്ണയ പ്രക്രിയയില് അപ്ലോഡ് ചെയ്ത ഉത്തരക്കടലാസുകളിലെ പൊരുത്തക്കേടുകള് വരെയുള്ള പ്രശ്നങ്ങള് വിദ്യാര്ത്ഥികള് ചൂണ്ടിക്കാണിക്കാന് തുടങ്ങിയതോടെ ഈ സംവിധാനം പെട്ടെന്ന് വിമര്ശനത്തിന് വിധേയമായി.
ഡല്ഹിയിലെ വേദാന്ത് ശ്രീവാസ്തവ എന്ന വിദ്യാര്ത്ഥി തന്റെ റോള് നമ്പറില് അപ്ലോഡ് ചെയ്തിരിക്കുന്ന ഫിസിക്സ് ഉത്തരക്കടലാസ് തന്റേതല്ലെന്ന് ആരോപിച്ചതിനെത്തുടര്ന്ന് വിവാദം രൂക്ഷമായി. അദ്ദേഹത്തിന്റെ സോഷ്യല് മീഡിയ പോസ്റ്റുകള് വൈറലായതോടെ, ഒരു സാങ്കേതിക പ്രശ്നം തെറ്റായ സ്കാന് ചെയ്ത പകര്പ്പ് അപ്ലോഡ് ചെയ്യാന് കാരണമായെന്ന് സിബിഎസ്ഇ പിന്നീട് സമ്മതിച്ചു.
നിസര്ഗ അധികാരി പറയുന്നതനുസരിച്ച്, പോര്ട്ടലിന്റെ ഫ്രണ്ട് എന്ഡ് ജാവാസ്ക്രിപ്റ്റ് ബണ്ടിലില് കോഡില് നേരിട്ട് ഉള്ച്ചേര്ത്ത ഒരു ''ലിറ്ററല് പാസ്വേഡ് സ്ട്രിംഗ്'' അടങ്ങിയിട്ടുണ്ടെന്ന് ആരോപിക്കപ്പെടുന്നു. ഡോക്യുമെന്റേഷന് ഫ്ലോ പഠിച്ച ശേഷം, പാസ്വേഡിന് സുരക്ഷാ പരിശോധനകള് മറികടന്ന് നേരിട്ട് മൂല്യനിര്ണയ ഡാഷ്ബോര്ഡ് തുറക്കാന് കഴിയുമെന്ന് അദ്ദേഹം മനസ്സിലാക്കി.
''ഉപയോക്തൃനാമം, പാസ്വേഡ്, ഒടിപികള് എന്നിവയ്ക്കായുള്ള പ്രത്യേക ലോജിക്കും അത് എങ്ങനെ പ്രോസസ്സ് ചെയ്യപ്പെടുന്നുവെന്നും ഞാന് പരിശോധിക്കാന് തുടങ്ങി. അത് പരിശോധിക്കുമ്പോള്, ഒരു മാസ്റ്റര് പാസ്വേഡ് കണ്ടെത്തി. കോഡ് അല്പ്പം വായിച്ചതിനുശേഷം, മാസ്റ്റര് പാസ്വേഡിന് എല്ലാ സുരക്ഷാ പ്രോട്ടോക്കോളുകളും മറികടന്ന് ഡാഷ്ബോര്ഡ് നേരിട്ട് തുറക്കാന് കഴിയുമെന്ന് ഞാന് കണ്ടു,' ,'' അദ്ദേഹം പറഞ്ഞു.
പരീക്ഷകന്റെ യൂസര് ഐഡിയും സ്കൂള് കോഡും (പൊതുവായി ലഭ്യമാകുമെന്ന് അദ്ദേഹം വിവരിച്ച വിവരങ്ങള്) ഉപയോഗിച്ച്, ഒടിപി പരിശോധന പ്രക്രിയ പൂര്ത്തിയാക്കാതെ തന്നെ പരീക്ഷകന്റെ അക്കൗണ്ടുകളിലേക്ക് ആക്സസ് ചെയ്യാന് പാസ്വേഡ് ഉപയോഗിക്കാമെന്ന് അധികാരി ആരോപിച്ചു. ഉത്തരക്കടലാസ് മൂല്യനിര്ണ്ണയങ്ങളിലും പരീക്ഷകന്റെ വിവരങ്ങളിലും മാറ്റങ്ങള് അനുവദിക്കുന്ന തരത്തില് ആക്സസ് വിപുലമായിരുന്നുവെന്ന് അധികാരി അവകാശപ്പെട്ടു.
''അതിനുശേഷം, നിങ്ങള്ക്ക് ആ പാസ്വേഡ് ഉപയോഗിക്കാം. ഏത് പരീക്ഷകന്റെയും അക്കൗണ്ടിലേക്ക് ലോഗിന് ചെയ്യാന് നിങ്ങള്ക്ക് ആ പാസ്വേഡ് ഉപയോഗിക്കാം. നിങ്ങള് ആ അക്കൗണ്ടിലേക്ക് ലോഗിന് ചെയ്തുകഴിഞ്ഞാല്, ഷീറ്റുകള് എഡിറ്റ് ചെയ്യുന്നതിനും പരീക്ഷകന്റെ വിശദാംശങ്ങള് മുതലായവയിലേക്കും നിങ്ങള്ക്ക് ആക്സസ് ലഭിക്കും,'' അദ്ദേഹം പറഞ്ഞു.
മൂല്യനിര്ണ്ണയ ഡാഷ്ബോര്ഡുകള് ആക്സസ് ചെയ്യാനും പരീക്ഷകന്റെ പ്രൊഫൈലുകളുമായി ലിങ്ക് ചെയ്തിരിക്കുന്ന വിവരങ്ങള് മാറ്റാനും തനിക്ക് കഴിഞ്ഞുവെന്ന് അദ്ദേഹം അവകാശപ്പെട്ടു. ''എനിക്ക് ഷീറ്റുകള് വിലയിരുത്താന് തുടങ്ങാം, അവയുടെ വിശദാംശങ്ങള് മാറ്റാം, ബാങ്ക് വിശദാംശങ്ങളും പോര്ട്ടലിലെ കാര്യങ്ങളും എഡിറ്റ് ചെയ്യാം,'' അദ്ദേഹം പറഞ്ഞു.
അത്തരമൊരു ആക്സസ് ഉപയോഗിച്ച് മാര്ക്കുകള് കൈകാര്യം ചെയ്യാനും സെന്സിറ്റീവ് ഡാറ്റ എക്സ്ട്രാക്റ്റുചെയ്യാനും ഈ പിഴവ് ഉപയോഗിക്കാമായിരുന്നുവെന്ന് അധികാരി ആരോപിച്ചു. 'ഈ പിഴവിലൂടെ വലിയ തോതില് ഡാറ്റ എക്സ്ട്രാക്റ്റുചെയ്ത് കരിഞ്ചന്തയില് വില്ക്കാമായിരുന്നു. മാര്ക്കുകള് കൃത്രിമമാക്കുകയും ആളുകളുടെ മാര്ക്കുകള് അവര്ക്ക് ഇഷ്ടമുള്ളതുപോലെ മാറ്റുകയും ചെയ്യാമായിരുന്നു,'' അദ്ദേഹം പറഞ്ഞു.
ഒടിപി സിസ്റ്റം, പാസ്വേഡ്-റീസെറ്റ് പ്രക്രിയ, പോര്ട്ടലിനുള്ളിലെ ആക്സസ് നിയന്ത്രണങ്ങള് എന്നിവയിലെ പിഴവുകളും അധികാരി ആരോപിച്ചു. ''ആര്ക്കും ആരുടെയും ഉപയോക്തൃ ഐഡി ഉപയോഗിച്ച് അവരുടെ അക്കൗണ്ട് ഏറ്റെടുക്കാന് ഒരു പുതിയ പാസ്വേഡ് നല്കാം, അത് എന്റെ അഭിപ്രായത്തില് ശരിക്കും സുരക്ഷിതമല്ലായിരുന്നു,'' പാസ്വേഡ്-റീസെറ്റ് സംവിധാനം വിവരിച്ചുകൊണ്ട് അദ്ദേഹം പറഞ്ഞു.
ശരിയായ സുരക്ഷാ സംവിധാനങ്ങളില്ലാതെ ആന്തരിക ഡാഷ്ബോര്ഡുകളിലേക്ക് ആക്സസ് ചെയ്യാന് കഴിയുമെന്ന് അദ്ദേഹം ആരോപിച്ചു. ''കൂടാതെ, മിക്കയിടത്തും, 40 തകരാറുള്ള ആക്സസ് കണ്ട്രോള് ദുര്ബലതകളുണ്ട്, അതായത്, നിങ്ങള്ക്ക് ആക്സസ് ചെയ്യാന് പാടില്ലാത്ത കാര്യങ്ങള് ആക്സസ് ചെയ്യാന് കഴിയും. നിങ്ങള്ക്ക് കാണാന് കഴിയാത്ത കാര്യങ്ങള് നിങ്ങള്ക്ക് കാണാന് കഴിയും,'' അദ്ദേഹം പറഞ്ഞു.
ഫെബ്രുവരിയില് തന്നെ ഇന്ത്യന് കമ്പ്യൂട്ടര് എമര്ജന്സി റെസ്പോണ്സ് ടീമിനെ (സിഇആര്ടി-ഇന്) ഈ പ്രശ്നങ്ങള് റിപ്പോര്ട്ട് ചെയ്തതായും പിന്നീട് അധിക സാങ്കേതിക വിശദാംശങ്ങളും സ്ക്രീന് റെക്കോര്ഡിംഗുകളും പങ്കിട്ടതായും 19 കാരനായ അധികാരി പറഞ്ഞു. എന്നാല് തത്സമയ മൂല്യനിര്ണ്ണയ അടിസ്ഥാന സൗകര്യങ്ങളില് വിട്ടുവീഴ്ച ചെയ്തുവെന്ന അവകാശവാദം സിബിഎസ്ഇ നിരസിച്ചു.
'ആരംഭത്തില് തന്നെ, ഉത്തരക്കടലാസുകളുടെ മൂല്യനിര്ണ്ണയത്തിനായി ഉപയോഗിച്ച പോര്ട്ടലില് വ്യത്യസ്തമായ ഒരു യുആര്എല് ഉണ്ടായിരുന്നു. അതില് യാതൊരു വിട്ടുവീഴ്ചയും ചെയ്തിട്ടില്ല. അല്ലെങ്കില് സോഷ്യല് മീഡിയ പോസ്റ്റില് സൂചിപ്പിച്ചിരിക്കുന്ന അപകടസാധ്യതകള് അതില് ഇല്ല. http://cbse.onmark.co.in എന്ന യുആര്എല് ആന്തരിക പരിശോധനയ്ക്കും അവലോകന ആവശ്യങ്ങള്ക്കുമായി സാമ്പിള് ഡാറ്റ മാത്രമുള്ള പരീക്ഷണ സൈറ്റാണ്,' ബോര്ഡ് പറഞ്ഞു.
യഥാര്ത്ഥ മൂല്യനിര്ണയ പ്രവര്ത്തനങ്ങള്ക്കായി ഉപയോഗിക്കുന്ന ഒഎസ്എം പോര്ട്ടലില് സുരക്ഷാ ലംഘനമൊന്നും കണ്ടെത്തിയിട്ടില്ലെന്നും ശക്തമായ പരാതി പരിഹാര സംവിധാനങ്ങള് അതില് ഉള്പ്പെടുത്തിയിട്ടുണ്ട് എന്നും ബോര്ഡ് കൂട്ടിച്ചേര്ത്തു.
Click it and Unblock the Notifications
Sign in with Google