'Big Blunder': సీబీఎస్ఈ పోర్టల్లో భారీ భద్రతా లోపాలు.. బయటపెట్టిన ఇంటర్ విద్యార్థి
ఈ వార్తాకథనం ఏంటి
సీబీఎస్ఈ 12వ తరగతి బోర్డు పరీక్షలు రాస్తున్న సమయంలో పశ్చిమ బెంగాల్కు చెందిన 19 ఏళ్ల నిసర్గ అధికారి అనే విద్యార్థి ఓ పెద్ద భద్రతా లోపాన్ని వెలుగులోకి తీసుకొచ్చాడు. ఆన్సర్ షీట్ల డిజిటల్ మూల్యాంకనం కోసం ఇటీవల ప్రవేశపెట్టిన 'ఆన్మార్క్' పోర్టల్పై ఆసక్తితో పరిశీలన ప్రారంభించిన అతడు, కొన్ని రోజుల్లోనే సీరియస్ సెక్యూరిటీ సమస్యలను గుర్తించినట్లు తెలిపాడు. కోడ్లోనే మాస్టర్ పాస్వర్డ్ నిసర్గ తెలిపిన వివరాల ప్రకారం.. portal source codeలోనే మాస్టర్ పాస్వర్డ్ నేరుగా కనిపించిందని చెప్పాడు. ఎలాంటి ఎన్క్రిప్షన్ లేకుండా పాస్వర్డ్ను నేరుగా కోడ్లోనే నమోదు చేసినట్లు వెల్లడించాడు. సాధారణంగా బ్రౌజర్లో Ctrl+F ద్వారా వెతికితే కూడా అది కనిపించే పరిస్థితి ఉందని పేర్కొన్నాడు.
వివరాలు
పలు భద్రతా లోపాల ఆరోపణలు
స్కూల్ ఐడీలు,యూజర్ వివరాలతో పోర్టల్లోకి ప్రవేశించగలిగినట్లు తెలిపాడు. తన బ్లాగ్లో నిసర్గ పలు సెక్యూరిటీ లోపాలను వివరించాడు. OTP ధృవీకరణలో బలహీనతలు, బయటపడిన యూజర్ వివరాలు, సరైన యాక్సెస్ కంట్రోల్స్ లేకపోవడం వంటి అంశాలను ప్రస్తావించాడు. ఇవన్నీ చాలా ప్రాథమిక స్థాయి తప్పులేనని, పెద్దగా టెక్నికల్ నైపుణ్యం అవసరం లేకుండానే ఎవరికైనా గుర్తించే అవకాశం ఉందని పేర్కొన్నాడు.
వివరాలు
పాత వివాదాలు మళ్లీ చర్చకు
సీబీఎస్ఈ ఉపయోగిస్తున్న 'ఆన్మార్క్' ప్లాట్ఫామ్ను హైదరాబాద్కు చెందిన కోఎంప్ట్ ఎడ్యుటెక్ రూపొందించింది. ఈ సంస్థకు గ్లోబరెనా టెక్నాలజీస్తో సంబంధాలు ఉన్నట్లు కార్పొరేట్ రికార్డులు చూపిస్తున్నాయి. గ్లోబరెనా సంస్థ 2019 తెలంగాణ ఇంటర్ ఫలితాల వివాద సమయంలో కూడా వార్తల్లో నిలిచింది. ఆ సమయంలో మార్కుల లోపాలు, టెక్నికల్ సమస్యలతో భారీ నిరసనలు వ్యక్తమయ్యాయి. CERT-Inకు ఫిర్యాదు ఫిబ్రవరి 25న నిసర్గ ఈ లోపాలను భారత సైబర్ అత్యవసర విభాగం CERT-Inకు తెలియజేసినట్లు చెప్పాడు. ఫిర్యాదు అందిన కొద్ది గంటల్లోనే సంస్థ స్పందించి వీడియో ఆధారాలు కోరిందని తెలిపాడు. అనంతరం మాస్టర్ పాస్వర్డ్ తొలగించినప్పటికీ మిగతా లోపాలు ఇంకా అలాగే ఉన్నాయని ఆరోపించాడు.
వివరాలు
వైరల్ అయిన ట్వీట్.. ఆఫ్లైన్లోకి పోర్టల్
మే 25న మరోసారి యూజర్ నేమ్స్, పాస్వర్డ్స్, బ్యాంక్ వివరాలు బయటపడే మరో లోపాన్ని గుర్తించినట్లు నిసర్గ వెల్లడించాడు. ఈ విషయాన్ని సోషల్ మీడియాలో పోస్ట్ చేయడంతో విషయం వైరల్ అయింది. అదే రాత్రి పోర్టల్ను ఆఫ్లైన్లోకి తీసుకెళ్లినట్లు తెలిపాడు. సీబీఎస్ఈ వివరణ ఈ ఘటనపై స్పందించిన సీబీఎస్ఈ.. అసలు మూల్యాంకన వ్యవస్థ హ్యాక్ కాలేదని స్పష్టం చేసింది. సోషల్ మీడియాలో వైరల్ అయిన URL కేవలం టెస్టింగ్ కోసం మాత్రమే ఉపయోగించేదని తెలిపింది. అసలు విద్యార్థుల మార్కులు లేదా మూల్యాంకన డేటా అందులో లేవని పేర్కొంది. అసలు evaluation portal పూర్తిగా సురక్షితంగా ఉందని వెల్లడించింది.
వివరాలు
సైబర్ నిపుణుల సందేహాలు
సైబర్ సెక్యూరిటీ పరిశోధకుడు కరణ్ సైనీ మాత్రం సీబీఎస్ఈ వివరణపై సందేహాలు వ్యక్తం చేశాడు. టెస్ట్ సైట్ అని ఎక్కడా స్పష్టంగా తెలియజేయలేదని చెప్పాడు. అంతేకాదు.. టెస్ట్, ప్రొడక్షన్ సిస్టమ్స్ సాధారణంగా ఒకే కోడ్బేస్ను ఉపయోగిస్తాయని, ఒకచోట ఉన్న లోపం మరోచోట కూడా ఉండే అవకాశముందని హెచ్చరించాడు. సైబర్ భద్రతపై మళ్లీ చర్చ ఈ ఘటనతో ప్రభుత్వ, విద్యాసంస్థల డిజిటల్ ప్లాట్ఫామ్ల భద్రతపై మరోసారి ప్రశ్నలు తలెత్తుతున్నాయి. సున్నితమైన విద్యార్థుల డేటా నిర్వహించే వ్యవస్థల్లో ఇలాంటి ప్రాథమిక తప్పులు ఉండటం ఆందోళన కలిగిస్తోంది. అధునాతన హ్యాకింగ్ అవసరం లేకుండానే ఇలాంటి లోపాలు బయటపడుతున్నాయని నిసర్గ వ్యాఖ్యానించాడు.