सीबीएसई की डिजिटल मूल्यांकन प्रणाली में सुरक्षा खामियों का आरोप लगाने के कुछ दिनों बाद, 19 वर्षीय एथिकल हैकर निसारगा अधिकारी ने दावा किया है कि बोर्ड से जुड़ी स्कैन की गई उत्तर पुस्तिकाएं और प्रश्न पत्र सार्वजनिक रूप से उपलब्ध थे।एक्स पर एक पोस्ट में, अधिकारी ने आरोप लगाया कि 2026 उत्तर पुस्तिकाओं और प्रश्न पत्रों वाली एडब्ल्यूएस बकेट को प्रमाणीकरण के बिना एक्सेस किया जा सकता है। “सीबीएसई के लोगों ने अपने AWS बकेट को ठीक से कॉन्फ़िगर नहीं किया है और अब हम उनके सभी मीडिया को पेजिनेट और सूचीबद्ध कर सकते हैं, जिसमें 2026 उत्तरपुस्तिकाएं और प्रश्न पत्र हैं। ListObjectsV2 बिना किसी प्रमाणीकरण के काम करता है और बकेट रूट भी सूचीबद्ध है – इंटरनेट पर कोई भी किसी भी स्कैन की गई पुस्तिका को डाउनलोड कर सकता है – संस्थानों में। कई संस्थान एक ही बाल्टी का उपयोग कर रहे हैं, बेहद असुरक्षित,” उन्होंने लिखा।अधिकारी के अनुसार, समस्या क्लाउड स्टोरेज कॉन्फ़िगरेशन से उत्पन्न हुई है जो उपयोगकर्ताओं को लॉग इन किए बिना या क्रेडेंशियल प्रदान किए बिना फ़ाइलों को ब्राउज़ और डाउनलोड करने की अनुमति देती है। उन्होंने यह भी दावा किया कि कई संस्थान एक ही स्टोरेज बकेट का उपयोग कर रहे थे, जिससे कथित जोखिम का पैमाना बढ़ रहा है।अधिकारी द्वारा साझा किए गए स्क्रीनशॉट एक फ़ाइल निर्देशिका में व्यवस्थित स्कैन की गई उत्तर पुस्तिकाएँ दिखाते हुए दिखाई दिए।कांग्रेस नेता जयराम रमेश ने एक्स पर अधिकारी की पोस्ट साझा करते हुए लिखा, “प्रधानमंत्री के घोटालों पर आज के घटनाक्रम में, 2 मिलियन सीबीएसई ग्रेड 12 छात्रों की उत्तर पुस्तिकाएं सार्वजनिक डोमेन में उपलब्ध दिखाई गई हैं। यह बड़े पैमाने पर डेटा उल्लंघन है और यह 2 मिलियन छात्रों की गोपनीयता से समझौता करता है,” रमेश ने लिखा।अधिकारी द्वारा सीबीएसई के ऑन-स्क्रीन मार्किंग (ओएसएम) पोर्टल में कई कमजोरियां मिलने का दावा करने के तुरंत बाद ये आरोप सामने आए हैं। “सीबीएसई के ऑन-स्क्रीन मार्किंग पोर्टल में गंभीर कमजोरियों को उजागर करना” शीर्षक से एक ब्लॉग पोस्ट में, उन्होंने कहा कि उन्होंने 25 फरवरी को मुद्दों की खोज की और उन्हें सार्वजनिक करने से पहले सीईआरटी-इन को रिपोर्ट किया।अधिकारी ने ब्लॉग में लिखा, “मैं एक परीक्षक के रूप में लॉग इन करने और मूल्यांकन डैशबोर्ड तक पहुंचने में सक्षम था, जहां मैं अंक देख और संपादित कर सकता था।” उन्होंने यह भी आरोप लगाया कि ओटीपी सत्यापन को नजरअंदाज किया जा सकता है और कई रिपोर्ट की गई समस्याएं विस्तारित अवधि के लिए अप्रकाशित रहती हैं।जैसे-जैसे दावों ने जोर पकड़ा, उपयोगकर्ताओं ने बताया कि ओएसएम पोर्टल अस्थायी रूप से पहुंच योग्य नहीं हो गया है। सीबीएसई ने बाद में आरोपों का जवाब देते हुए कहा कि सोशल मीडिया पोस्ट में उद्धृत यूआरएल वास्तविक मूल्यांकन कार्य के लिए इस्तेमाल किया जाने वाला पोर्टल नहीं था।सीबीएसई ने एक्स पर पोस्ट किए गए एक बयान में कहा, “शुरुआत में, यह स्पष्ट किया गया है कि उत्तर-पुस्तिकाओं के मूल्यांकन के लिए उपयोग किए जाने वाले पोर्टल में एक अलग यूआरएल था, जिससे न तो समझौता किया गया है और न ही उक्त सोशल मीडिया पोस्ट में बताई गई कमजोरियां हैं।”बोर्ड ने आगे कहा कि अधिकारी द्वारा पहचानी गई वेबसाइट केवल नमूना डेटा वाला एक परीक्षण मंच था। बयान में कहा गया है, “उस पोर्टल पर कोई वास्तविक मूल्यांकन डेटा, अंक या अन्य डेटा नहीं है। बोर्ड इस बात पर जोर देता है कि वास्तविक मूल्यांकन कार्य के लिए तैनात पोर्टल पर कोई सुरक्षा उल्लंघन सामने नहीं आया है।”
