केंद्रीय माध्यमिक शिक्षा बोर्ड ने साइबर सुरक्षा प्रमाणपत्रों को सबूत के रूप में स्वीकार किया कि इसका विवादास्पद ऑन-स्क्रीन मार्किंग (ओएसएम) प्लेटफॉर्म लगभग 10 मिलियन छात्रों की उत्तर पुस्तिकाओं को संसाधित करने के लिए सुरक्षित था, जो प्री-प्रोडक्शन स्टेजिंग वातावरण में परीक्षण किए गए एक ही सॉफ़्टवेयर की एक अलग क्लाइंट की तैनाती को कवर करता था, और, एक मामले में, लगभग दो साल पुराना था जब एचटी ने प्रस्तुत दस्तावेजों की समीक्षा की।
एचटी द्वारा देखे गए कोएम्प्ट एडु टेक द्वारा प्रस्तुत प्रमाणपत्र, ओएसएम प्रणाली के लिए प्रस्तुत तीसरी निविदा का हिस्सा थे जिसे कंपनी ने सफलतापूर्वक जीत लिया। प्लेटफ़ॉर्म की वास्तविक सुरक्षा के बारे में जो कुछ सामने आया है, उसे देखते हुए उनकी सामग्री महत्वपूर्ण है। फरवरी और मई 2026 के बीच – जब ओएसएम प्रणाली का उपयोग कक्षा 12 की उत्तर पुस्तिकाओं के मूल्यांकन और बाद में परिणाम के बाद की सेवाओं की मेजबानी के लिए किया जा रहा था – साइबर सुरक्षा शोधकर्ताओं ने महत्वपूर्ण कमजोरियों की एक श्रृंखला की सूचना दी जो संभावित रूप से पेपर चेकर्स तक अनधिकृत पहुंच, छात्र के अंकों को उजागर करने, एक स्क्रिप्ट में डेटा तक पहुंच की अनुमति देती है और, एचटी ने नाम न छापने की शर्त पर बात की। मामले से परिचित लोगों के अनुसार, सीईआरटी-इन ने इनमें से कम से कम कुछ खुलासों को संसदीय पैनल के सामने स्वीकार किया है।
प्रमाणपत्र में क्या शामिल है?
कोएम्प्ट ने अगस्त 2025 निविदा की साइबर सुरक्षा आवश्यकताओं को पूरा करने के लिए दो सुरक्षा प्रमाणपत्र जमा किए हैं। दोनों सीईआरटी में सूचीबद्ध संगठनों द्वारा जारी किए गए थे – सरकारी खरीद विनियमों के लिए आवश्यक एक प्रमाण पत्र
नवंबर 2023 में प्राइम इन्फोसर्व एलएलपी द्वारा जारी पहली रिपोर्ट में प्रमाणित किया गया कि bput.onmark.co.in – ओडिशा के बीजू पटनायक टेक्नोलॉजिकल यूनिवर्सिटी के लिए ऑनमार्क तैनाती – उस आकलन के अनुसार कमजोरियों से मुक्त थी। जब कॉम्पोट को सीबीएसई के अगस्त 2025 के टेंडर में जमा किया गया, तब तक यह लगभग दो साल पुराना था। प्रमाणपत्र की स्वयं की वैधता खंड में कहा गया है कि यह आवेदन बदलने पर या एक वर्ष के बाद समाप्त हो जाता है।
अक्टूबर 2025 में ए3एस टेक एंड कंपनी द्वारा जारी दूसरा, वनएक्स नामक एक एप्लिकेशन को प्रमाणित करता है – ऑनमार्क नहीं – बीपीयूटी के परीक्षण डोमेन और प्री-प्रोडक्शन स्टेजिंग यूआरएल के खिलाफ परीक्षण किया गया। प्रमाणपत्र स्पष्ट रूप से बताता है कि ऑडिट की गई सामग्री “अंतरिम एप्लिकेशन संस्करण” पर आधारित थी और अनुशंसा करती है कि उत्पादन सर्वर हार्डनिंग को अभी भी तैनात करने की आवश्यकता है – प्रमाणपत्र में ही एक स्वीकृति है कि उत्पादन वातावरण का परीक्षण नहीं किया गया है।
परीक्षण किए गए यूआरएल या प्रतिष्ठानों में से कोई भी प्रमाणपत्र सीबीएसई से संबद्ध नहीं था (बीपीयूटी के उल्लेख के विपरीत)।
जिस प्लेटफ़ॉर्म के लिए इन प्रमाणपत्रों को बाद में प्रमाणित किया गया, उसमें कई गंभीर सुरक्षा खामियाँ थीं।
साइबर सुरक्षा संबंधी खामियों के बारे में सबसे पहले 25 फरवरी को एक शौक़ीन शोधकर्ता निसारगा अधिकारी ने रिपोर्ट की थी, जो 12वीं कक्षा की परीक्षा में शामिल हुए थे।
उन्होंने ओएसएम पोर्टल में पांच महत्वपूर्ण कमजोरियां पाईं – जिसमें सादे पाठ में एक मास्टर पासवर्ड भी शामिल है, जो दो-कारक प्रमाणीकरण को पूरी तरह से बायपास करता है – और उन्हें सीईआरटी-इन को रिपोर्ट किया। अभी एक पैच बनाया है. बाकी काम तब तक जारी रहा जब तक पोर्टल को बंद नहीं कर दिया गया।
इससे भी अधिक परिणामी उल्लंघन 29 मई को हुआ।
दूसरे शोधकर्ता, तीर्थ परमार ने पाया कि पोर्टल का लॉगिन पेज एक मौलिक कोडिंग दोष के साथ बनाया गया था, जिसने इसे SQL इंजेक्शन हमले के रूप में जाना जाता है – एक ऐसी तकनीक जो इतनी बुनियादी थी कि यह वर्षों तक महत्वपूर्ण वेब सुरक्षा खामियों की वैश्विक सूची में शीर्ष पर रही। पार्मर ने कहा कि इस खामी ने अंततः उन्हें छात्र संख्या, उत्तर स्क्रिप्ट और मूल्यांकनकर्ताओं के व्यक्तिगत और बैंकिंग विवरण वाले सैकड़ों डेटाबेस तालिकाओं तक प्रशासक-स्तर की पहुंच प्राप्त करने की अनुमति दी, और अंततः फ़ाइलों को कोड करने के लिए जहां उन्हें हार्डकोडेड पासवर्ड मिले – क्रेडेंशियल सुरक्षित रूप से संग्रहीत होने के बजाय सीधे सॉफ़्टवेयर में बेक किए गए थे। उन्होंने दावा किया कि उन्हीं पासवर्डों का कोम्प्ट के अन्य परीक्षण बोर्ड ग्राहकों में पुन: उपयोग किया जा रहा था।
दूसरे शब्दों में, प्रवेश के एक ही बिंदु ने कई दरवाजे खोल दिए “मुख्य सर्वर में अन्य डेटाबेस के लिए क्रेडेंशियल और कॉन्फ़िगरेशन संदर्भ भी दिखाई दिए, जिनमें अन्य संगठनों से जुड़े डेटाबेस भी शामिल थे। इससे क्लाइंट वातावरण के बीच खराब अलगाव और संवेदनशील क्रेडेंशियल्स के खराब प्रबंधन का पता चला,” परमार ने एचटी को बताया। “मेरे विचार में, यह सॉफ़्टवेयर विकसित और संचालित करने वाली कंपनी की एक बड़ी विफलता थी, क्योंकि इसने संभावित रूप से कई ग्राहकों और उनके संवेदनशील डेटा को जोखिम में डाल दिया था।”
शिक्षा और सीबीएसई मंत्रालयों द्वारा सीईआरटी-इन को निष्कर्षों की रिपोर्ट करने के कुछ दिनों बाद, एक्स पर 30 मई की अपनी पोस्ट में, परमार ने लिखा: “सीबीएसई का व्यापक पारिस्थितिकी तंत्र – onmark.co.in डोमेन – अभी भी गंभीर जोखिम में है।”
कोएम्प्ट द्वारा प्रस्तुत दस्तावेजों के अनुसार, प्राइम इन्फोसर्व और ए3एस ने उपकरण के प्रमाणीकरण पर अधिक जानकारी मांगने वाले एचटी के सवालों का जवाब नहीं दिया। सीबीएसई ने टिप्पणी के अनुरोधों का जवाब नहीं दिया
कोएम्प्ट ने एक कथित अभ्यावेदन के रूप में प्रस्तुत किया कि वे सीबीएसई की तैनाती को कवर करते हैं, या कि एक साझा-प्लेटफ़ॉर्म प्रमाणपत्र ग्राहक मामलों में हस्तांतरणीय था, एक प्रश्न का कंपनी ने उत्तर नहीं दिया।
लेकिन प्रमाणपत्र सुरक्षा ऑडिट पर भी सवाल उठाता है। नवंबर 2023 में जारी प्राइम इन्फोसर्व सर्टिफिकेट में स्पष्ट रूप से कहा गया है कि ऑडिटेड सिस्टम को “OWASP टॉप 10 और SANS टॉप 25 बेंचमार्क” मानकों के खिलाफ प्रमाणित किया गया था। SQL इंजेक्शन – शोषित भेद्यता परमिट – OWASP टॉप 10 में एक आइटम है, जो सबसे महत्वपूर्ण वेब एप्लिकेशन सुरक्षा जोखिमों की विश्व स्तर पर मान्यता प्राप्त चेकलिस्ट है।
प्रमाणीकरण के विवरण की जानकारी रखने वाले बैंकिंग, वित्तीय सेवाओं और बीमा (बीएफएसआई) क्षेत्र के एक साइबर सुरक्षा पेशेवर ने सामग्री पर आश्चर्य व्यक्त किया और कहा कि यह ऐसी ऑडिट रिपोर्ट जैसी नहीं होगी। “यह मानक अभ्यास से अलग है,” उन्होंने कहा, आम तौर पर, ये दस्तावेज़ सुधार के बाद किए गए परीक्षणों, प्रक्रियाओं, जोखिम मूल्यांकन, उपचार और पुनर्मूल्यांकन के बारे में अधिक विस्तृत विवरण देने के लिए होते हैं। “वे सामान्य अंतिम प्रमाणपत्र नहीं हैं”।
अनेक में से एक
क्रेडेंशियल्स खरीदारी और रोलआउट में नवीनतम अध्याय हैं जिनका रिकॉर्ड, एचटी की रिपोर्टिंग में एकीकृत, एक सुसंगत चाप का पता लगाता है: मानक निर्धारित किए गए, फिर कम किए गए; चेतावनियाँ जारी की जाती हैं, फिर नजरअंदाज कर दिया जाता है।
सीबीएसई ने फरवरी 2025 में अपना पहला ओएसएम टेंडर जारी किया, किसी कंपनी ने बोली नहीं लगाई, मई में दूसरी प्रतिक्रिया आई लेकिन किसी भी कंपनी ने तकनीकी दौर में मंजूरी नहीं दी। अगस्त में एक तिहाई का पालन किया गया – न्यूनतम स्कैनिंग रिज़ॉल्यूशन 300 डीपीआई से घटाकर 200 डीपीआई कर दिया गया, रोबोटिक स्कैनर की आवश्यकता को हटा दिया गया, सॉफ्टवेयर परिपक्वता प्रमाणपत्र को उच्चतम अंतरराष्ट्रीय स्तर से घटाकर मध्य बिंदु तक कर दिया गया। यह डील 5 दिसंबर को कोएम्प्ट के पास गई। 74 दिनों के बाद 12वीं कक्षा की परीक्षा शुरू होती है।
बोर्ड के स्वयं के शासी निकाय ने राष्ट्रव्यापी रोलआउट से पहले सभी 22 क्षेत्रीय कार्यालयों में पायलटों की सिफारिश की। किसी ने नहीं रखा.
विवाद बढ़ने के बाद सरकार ने सीबीएसई के शीर्ष अधिकारियों को हटा दिया है। खरीद की जांच के लिए एक सदस्यीय सरकारी समिति नियुक्त की गई थी। सिस्टम को स्थिर करने के लिए एक आईआईटी टीम को लाया गया।
