एक किशोर भारत के परीक्षा पोर्टल पर किसी भी छात्र के अंक बदल सकता था

परीक्षा के अधिकांश मौसम में, जिस वेबसाइट पर भारत की सबसे अहम परीक्षाएँ जाँची जाती हैं, उसने लगभग हर उस व्यक्ति पर भरोसा कर लिया जो उससे सही तरीके से पूछना जानता था। एक स्व-शिक्षित सुरक्षा शोधकर्ता का कहना है कि वह जाँच पोर्टल में किसी भी परीक्षक के रूप में लॉग-इन कर सका, उन पैनलों को खोल सका जहाँ उत्तर-पुस्तिकाएँ देखी जाती हैं, दूसरे परीक्षकों के पासवर्ड रीसेट कर सका और छात्रों की कॉपियों से जुड़े अंक बदल सका। यह पोर्टल केंद्रीय माध्यमिक शिक्षा बोर्ड (Central Board of Secondary Education) का है, वही संस्था जिसके बारहवीं के नतीजे तय करते हैं कि करोड़ों भारतीय किशोर किन विश्वविद्यालयों में जा सकेंगे।

ये अंक किसी छात्र और शिक्षक के बीच की निजी बात नहीं हैं। भारत में ये दाखिले की मुद्रा हैं, और सिर्फ़ एक अंक का फ़र्क़ किसी उम्मीदवार को एक पाठ्यक्रम से दूसरे में धकेल सकता है या विश्वविद्यालय से बाहर कर सकता है। ऐसी कोई व्यवस्था जो किसी बाहरी व्यक्ति को चुपचाप उन्हें बदलने दे, महज़ ऊपरी ख़ामी नहीं है। यह ख़ुद परीक्षा की निष्पक्षता को छूती है, प्रक्रिया का वही एक हिस्सा जिस पर छात्रों से कहा जाता है कि वे भरोसा कर सकते हैं।

जिन समस्याओं का वह ज़िक्र करता है, उनमें सबसे चौंकाने वाली बात लगभग शर्मनाक हद तक सरल है। एक मास्टर पासवर्ड सीधे उसी कोड में लिखा था जिसे हर आगंतुक का ब्राउज़र पेज दिखाने के लिए डाउनलोड करता है। जो भी उस कोड को खोलकर पढ़ता, वह उस पासवर्ड से उन वन-टाइम कोड को लाँघ सकता था जो हर खाते की रक्षा के लिए बने थे। आम भाषा में कहें तो यह मास्टर चाबी को दरवाज़े की पायदान पर छाप देने और यह उम्मीद करने जैसा है कि कोई नीचे न देखे।

अनुशंसित पठनOpenAI ने 80 साल पुराने गणित के सवाल को बिना विशेष मॉडल के सुलझा दिया

बाक़ी कमज़ोरियाँ पहली को और बिगाड़ती हैं। उसके अनुसार, साइट अपने सर्वर पर जाँचने के बजाय आगंतुक के अपने ब्राउज़र से ही पूछती थी कि वह कौन है। जो पन्ने सिर्फ़ लॉग-इन परीक्षकों के लिए थे, उन तक सीधे पता टाइप करके पहुँचा जा सकता था। पासवर्ड बदलने के अनुरोध के लिए पुराना पासवर्ड जानना ज़रूरी नहीं था। मिलकर इनका मतलब था कि साइट हर उपयोगकर्ता की पहचान को उसकी ही बात पर मान लेती थी, जो वेब सुरक्षा की सबसे बुनियादी ग़लती है, क्योंकि ब्राउज़र के भीतर जो कुछ चलता है उसे उपयोग करने वाला व्यक्ति दोबारा लिख सकता है।

इन निष्कर्षों को हल्के में लेना मुश्किल इसलिए है क्योंकि इनका पैमाना बड़ा है। यह संस्था भारत में 28,000 से अधिक स्कूलों और विदेश के कुछ और स्कूलों को जोड़ती है, और जिन बारहवीं की परीक्षाओं का वह संचालन करती है, उनमें हर साल करोड़ों छात्र बैठते हैं। जाँच का सॉफ़्टवेयर एक बाहरी ठेकेदार ने बनाया था, जिसका मंच दूसरे परीक्षा बोर्ड भी इस्तेमाल करते हैं, इसलिए इस मामले से उठने वाले सवाल किसी एक संगठन से आगे जाते हैं।

इसके अलावा, यह सब पहले से तनावपूर्ण नतीजों के दौर के बीच फूटा। छात्र सार्वजनिक रूप से ग़लत दिखते अंकों, धुंधली आती स्कैन की गई कॉपियों और भार के नीचे बार-बार ठप होते पोर्टल की शिकायत कर रहे थे। इस पृष्ठभूमि में, यह दावा कि उसी व्यवस्था को उसके अपने कोड से निकाले गए पासवर्ड से खोला जा सकता है, रखरखाव की शिकायत को सत्यनिष्ठा के सवाल में बदल गया।

संस्था इस पूरे ब्योरे को सिरे से ख़ारिज करती है। सार्वजनिक बयानों में केंद्रीय माध्यमिक शिक्षा बोर्ड ने कहा कि ऑनलाइन घूम रहा पता असली मूल्यांकन पोर्टल नहीं था और उत्तर-पुस्तिकाओं की जाँच में इस्तेमाल होने वाली व्यवस्था न तो भेदी गई और न ही असुरक्षित छोड़ी गई। शोधकर्ता ने जवाब में साइट के कोड की संग्रहित प्रतियाँ, मास्टर पासवर्ड को काम करते दिखाती एक स्क्रीन रिकॉर्डिंग और यह सबूत पेश किया कि वही पासवर्ड उसी मंच के कई जुड़े हुए पतों को खोलता था, ऐसी सामग्री जिसे किसी हानिरहित परीक्षण-परिवेश की कल्पना से मिलाना कठिन है। इनमें से कुछ भी यह साबित नहीं करता कि सचमुच कोई नतीजा बदला गया, और किसी छेड़े गए अंक का दस्तावेज़ नहीं है। बहस इस बात की है कि क्या ऐसा हो सकता था, और दरवाज़ा कितनी देर खुला रहा।

बाहर से हर दावे की स्वतंत्र पुष्टि संभव नहीं, और सबसे सतर्क पाठ शोधकर्ता के ब्योरे को किसी तय तथ्य के बजाय एक गंभीर और अच्छी तरह प्रमाणित आरोप के रूप में देखता है। जो बात संदेह से परे है, वह यह कि तकनीकी निष्कर्ष भारत की राष्ट्रीय साइबर आपात टीम के पास दर्ज कराए गए, और एक डिजिटल अधिकार संगठन ने तब से शिक्षा मंत्रालय और उसी एजेंसी को पत्र लिखकर पोर्टल की स्वतंत्र जाँच और इस बात का स्पष्ट लेखा-जोखा माँगा है कि किस-किस के पास पहुँच थी।

साइट भारतीय है, पर सबक़ नहीं। परीक्षा बोर्ड, लाइसेंस देने वाले प्राधिकरण और लगभग हर बाज़ार की सार्वजनिक सेवाएँ आज उसी तरह के सिंगल-पेज वेब ऐप्लिकेशन पर चलती हैं, और जिस शॉर्टकट ने यहाँ मुसीबत खड़ी की, यानी यह तय करने का काम ब्राउज़र के कोड पर छोड़ देना कि कौन भीतर आए, उसकी ओर दुनिया भर के डेवलपर खिंचते हैं। असहज बात यह है कि बताई गई ख़ामियाँ कोई अनोखी नहीं हैं। ये उस क़िस्म की हैं जिन्हें एक सक्षम टीम एक दोपहर में बंद कर सकती थी, और यही बात किसी राष्ट्रीय परीक्षा-व्यवस्था में इनकी मौजूदगी को इतना मुश्किल बना देती है समझा पाना।

शोधकर्ता का कहना है कि उसने इन समस्याओं की पहली सूचना फ़रवरी के अंत में भारत की साइबर आपात टीम को दी थी और तीन महीनों तक कोई ठोस जवाब नहीं मिला, एक ऐसा दौर जिसमें इस साल के बारहवीं के नतीजों का प्रकाशन भी शामिल था। यह निष्कर्ष निकालने के बाद कि उसकी चेतावनियाँ अनसुनी कर दी गईं, उसने पूरा ब्योरा 22 मई को अपने ब्लॉग पर प्रकाशित किया, और कुछ दिन बाद, पोर्टल को बंद किए जाने से पहले, डेटाबेस की एक और ख़ामी की ओर इशारा किया। शिक्षा मंत्रालय अब माँगी जा रही स्वतंत्र समीक्षा का आदेश देगा या नहीं, और ठेकेदार के बाक़ी ग्राहक अपनी व्यवस्थाओं की जाँच करेंगे या नहीं, यही इस कहानी का अब तक न लिखा गया हिस्सा है।

इस तरह की और सामग्री

फ्रांस ने 25 लाख सरकारी कंप्यूटरों को Windows से Linux पर शिफ्ट करने का आदेश दिया

GlassWorm एक साल तक VS Code एक्सटेंशन में छिपा रहा, फिर ध्वस्त हुआ

एप्पल ने TinyGPU को मंजूरी दी, Mac Mini बना AI का पावरहाउस

Spotify Premium पर अब Peloton के 1,400 वर्कआउट मुफ़्त — साइकिल की भी ज़रूरत नहीं

Dragonkin: The Banished और समुदाय-आधारित RPG विकास का उदय

सप्लाई चेन के रास्ते भरोसेमंद सॉफ़्टवेयर में दुर्भावनापूर्ण कोड ऐसे घुसता है