20 मिनट में सीबीएसई पोर्टल की कमियां ढूंढीं, एफआईआर से नहीं डरता : निसर्ग अधिकारी (आईएएनएस इंटरव्यू)
नई दिल्ली, 6 जून (आईएएनएस)। 19 साल के एथिकल हैकर निसर्ग अधिकारी ने केंद्रीय माध्यमिक शिक्षा बोर्ड (सीबीएसई) के पोर्टल में खामियों का दावा किया है। निसर्ग ने कहा कि उन्हें पोर्टल की कमियां खोजने में सिर्फ 20 मिनट लगे।
निसर्ग अधिकारी ने शनिवार को समाचार एजेंसी आईएएनएस से सीबीएसई पोर्टल, हैकिंग के अलग-अलग पहलुओं, सुरक्षा प्रोटोकॉल और कई अन्य मुद्दों पर बात की।
सवाल : आप एक एथिकल हैकर हैं। आपको सीबीएसई पोर्टल में गड़बड़ियों के बारे में कैसे पता चला?
जवाब: मेरा सिक्योरिटी रिसर्च जैसे विषयों में अच्छा अनुभव है। जब सीबीएसई ने अपना पोर्टल लॉन्च किया और सर्कुलर जारी किए, तो मैंने गहराई से जांच-पड़ताल शुरू की। मुझे पोर्टल का लिंक मिला और वह आम जनता के लिए खुला था।
लिंक मिलने के बाद मैंने पोर्टल के बारे में मौजूद जानकारी की जांच शुरू की और उसका इस्तेमाल जानकारी जुटाने के लिए किया। मुझे साइट का फ्रंट-एंड कोड 'जावास्क्रिप्ट' में मिला, लेकिन वह लगभग 9,000 लाइन का कोड था। इसलिए, मैंने उसे देखने के लिए कुछ एआई-असिस्टेड टूल्स का इस्तेमाल किया और पाया कि उसमें एक मास्टर कोड पासवर्ड था।
उस मास्टर पासवर्ड से, आप किसी भी एवलुएटर के अकाउंट को एक्सेस कर सकते थे, बशर्ते आपके पास यूजर आईडी हो। मैंने गूगल सर्च और दूसरे सोर्स से कुछ एवलुएटर्स की यूजर आईडी हासिल कर लीं। उसके बाद, मैं उन अकाउंट्स में लॉग-इन करने में कामयाब रहा।
मैंने देखा कि मैं एवलुएटर के पेपर्स को एक्सेस कर सकता था और ग्रेड जेनरेट कर सकता था। उस दौरान, मुझे 45 और कमियां भी मिलीं और मैंने उनकी रिपोर्ट सीबीएसई को की लेकिन उन्होंने कोई जवाब नहीं दिया। मास्टर पासवर्ड का मुद्दा तो एक बात थी, लेकिन जिन दूसरी 44 कमियों की मैंने रिपोर्ट की थी, वे भी वैसी ही बनी हुई थीं। मैंने नतीजे आने तक तीन महीने इंतजार किया और फिर यह जानकारी सबके सामने रखी। सबके सामने जानकारी लाने के बाद मुझे और भी कमजोरियां मिलीं, जिनसे मैं लगभग 3 करोड़ स्कैन की हुई आंसर शीट, डेटाबेस और दूसरी चीजों तक पहुंच सकता था।
सवाल: क्या आप सीबीएसई सर्वर की कमजोरी साबित करने के लिए उसके सिक्योरिटी प्रोटोकॉल को भेद पाए?
जवाब : मैं सिक्योरिटी प्रोटोकॉल को भेद पाया। उनके पास कोई सही सिक्योरिटी प्रोटोकॉल नहीं था। उसका ठीक से ऑडिट वगैरह नहीं किया गया था।
सवाल: आपने सिक्योरिटी प्रोटोकॉल को कैसे भेदा? आपको कैसे पता चला कि यह साइबर हमले के लिए कमजोर है?
जवाब: कमजोरियों का पता लगाना काफी आसान था। साफ पता चल रहा था कि इस फील्ड में अधिक अनुभव नहीं था। मुझे कमियां बहुत जल्दी मिल गईं। मुझे लगभग 20 मिनट लगे। फिर मैंने उन्हें अच्छे तरीके से यानी एथिकल तरीके से टेस्ट और एक्सप्लॉइट करना शुरू किया और हर चीज की रिपोर्ट दी।
सवाल: सीबीएसई ने अपने पोर्टल पर हुए हमलों को लेकर एफआईआर दर्ज कराई है।
जवाब: हां, वह अलग बात है। उनके पीबीआर पोर्टल पर डीडीओएस हमला हुआ था। हममें से किसी ने भी, यानी जिन लोगों ने मेरे साथ इस मुद्दे पर रिसर्च की, कोई डीडीओएस हमला नहीं किया, क्योंकि ऐसा करना बेकार है और इससे अधिक फायदा भी नहीं होता।
सवाल: क्या आपको एफआईआर की चिंता है?
जवाब: नहीं, मुझे कोई चिंता नहीं है। मैं सीबीएसई से जुड़े कुछ लोगों और साइबर कम्युनिटी के कुछ लोगों के संपर्क में हूं। मुझे बिल्कुल भी डर नहीं है।
सवाल: सीबीएसई के लिए आपके क्या सुझाव हैं और वे आगे क्या सुधार कर सकते हैं?
जवाब: मुझे लगता है कि उन्हें सिक्योरिटी रिपोर्ट को ज्यादा गंभीरता से लेना चाहिए, क्योंकि यह सीईआरटी या सीबीएसई के साथ कोई एक बार होने वाली घटना नहीं है। वे सिक्योरिटी रिपोर्ट को गंभीरता से नहीं लेते और सिक्योरिटी को उतनी अहमियत नहीं देते जितनी उसे मिलनी चाहिए।
उन्होंने जो एग्रीमेंट सबके सामने पब्लिश किया था, उसमें लिखा था कि साइट को प्रोडक्शन में लाने से पहले सीओईएम को ऑडिट और वीएपीटी टेस्टिंग करनी थी। मुझे पक्का यकीन है कि ऐसा नहीं हुआ। साइट को बिना सही ऑडिट और सिक्योरिटी जांच के ही प्रोडक्शन में लाया गया।
मुझे उम्मीद है कि भविष्य में उन सिक्योरिटी जांचों को अधिक गंभीरता से लिया जाएगा। मुझे यह भी उम्मीद है कि वे विशेषज्ञों से और सलाह लेंगे व अपनी साइबर सुरक्षा व्यवस्था को और मजबूत करेंगे।
--आईएएनएस
डीसीएच/पीएम