Image Credit: X@DarthKermi72747

സിബിഎസ്ഇ വെബ്സൈറ്റുകളിലെ സുരക്ഷ വീഴ്ച ചൂണ്ടിക്കാട്ടി എത്തിക്കല്‍ ഹാക്കര്‍മാര്‍. റീ–വാല്യുവേഷന്‍ ആന്‍ഡ് ഫോട്ടോകോപ്പി പോര്‍ട്ടലില്‍ രജിസ്റ്റര്‍ ചെയ്ത നാലര ലക്ഷത്തോളം വിദ്യാര്‍ഥികളുടെ നമ്പറുകളും ഇ–മെയില്‍ വിവരങ്ങളും ചോര്‍ത്താന്‍ സാധിക്കുമെന്നാണ് എത്തിക്കല്‍ ഹാക്കര്‍മാരുടെ ആരോപണം. റയ്‍ലെന്‍ അനില്‍, നിസര്‍ഗ എന്നി രണ്ട് എക്സ് അക്കൗണ്ടുകളാണ് ആരോപണം ഉന്നയിച്ചത്. തെളിവുകളായി വെബ്സൈറ്റില്‍ നിന്നും ലഭിച്ച വിദ്യാര്‍ഥികളുടെ വ്യക്തിഗത വിവരങ്ങളും ഹാക്കര്‍മാര്‍ പങ്കുവച്ചു. 

പോര്‍ട്ടലില്‍ രജിസ്റ്റര്‍ ചെയ്ത ആര്‍ക്കുവേണമെങ്കിലും ഈ വിവരങ്ങള്‍ ലഭിക്കും എന്നാണ് റയ്‍ലെന്‍ അനില്‍ പറയുന്നത്. വെബ്സൈറ്റില്‍ അക്കൗണ്ട് ഉണ്ടാക്കിയ സ്ക്രീന്‍ ഷോട്ടും രജിസ്റ്റര്‍ ചെയ്തവരുടെ ഇ–മെയിലും ഫോണ്‍ നമ്പറും അടങ്ങിയ സ്ക്രീന്‍ഷോട്ടും റയ്‍ലെന്‍ പങ്കുവച്ചിട്ടുണ്ട്. 

ബ്രൗസറിലെ കണ്‍സോള്‍ വഴി ജാവാസ്ക്രിപ്റ്റ് കോഡ് ഉപയോഗിച്ചാണ് വിവരങ്ങള്‍ ശേഖരിച്ചത്. ആകെ 457874 പേരുടെ വിവരങ്ങളാണ് ലഭിച്ചത്. വിദ്യാര്‍ഥികളുടെ ഇ–മെയില്‍ ഐഡി, ഫോണ്‍ നമ്പര്‍, പെയ്മെന്‍റ് സ്റ്റാറ്റസ്, പെയ്മെന്‍റ് രീതി, പെയ്‌മെൻ്റ് ഐഡി, ഓർഡർ ഐഡി എന്നിവ പട്ടികയായി ഹാക്കര്‍മാര്‍ക്ക് ലഭിച്ചു. വെബ്‌സൈറ്റിലെ എപിഐ ഡിസൈൻ ചെയ്തതിലെ പിഴവു കാരണം വ്യക്തിയുടെ വിവരങ്ങൾക്ക് പകരം ഡാറ്റാബേസിലുള്ള മുഴുവൻ ആളുകളുടെയും വിവരങ്ങൾ ഒരൊറ്റ റിക്വസ്റ്റിൽ കണ്ടെത്താന്‍ സാധിക്കുന്നു എന്നാണ് ഹാക്കര്‍മാരുടെ അന്വേഷണത്തില്‍ കണ്ടെത്തിയത്. 

സിബിഎസ്ഇയുടെ മറ്റൊരു പോർട്ടൽ കൂടി ഹാക്ക് ചെയ്യപ്പെട്ടു എന്നാണ് നിസര്‍ഗയുടെ പോസ്റ്റ്. സുരക്ഷാവീഴ്ചയെക്കുറിച്ച് സിഇആർടി-ഇൻ, സിബിഎസ്ഇ എന്നിവർക്ക് ഔദ്യോഗികമായി മുന്നറിയിപ്പ് നല്‍കിയിട്ടുണ്ടെന്നും പോസ്റ്റില്‍ പറയുന്നു. 16 കാരനായ സൈബര്‍ സെക്യൂരിറ്റി റിസര്‍ച്ചറാണ് റയ്‍ലെന്‍ അനില്‍. 19 കാരനായ നിസര്‍ഗ സോഫ്റ്റ്‍വെയര്‍ എന്‍ജിനീയര്‍ എന്നാണ് എക്സ് ബയോയില്‍ രേഖപ്പെടുത്തിയിരിക്കുന്നത്. 

കഴിഞ്ഞ ദിവസമാണ് സാങ്കേതിക തകരാറുകള്‍ക്കൊടുവില്‍ സിബിഎസ്ഇ പോര്‍ട്ടല്‍ പ്രവര്‍ത്തന സജ്ജമായത്. പിന്നാലെ വെബ്സൈറ്റിനു നേരെ വ്യാപക സൈബര്‍ ആക്രമണത്തിന് നീക്കമുണ്ടാതായി സിബിഎസ്ഇ അവകാശപ്പെട്ടു.  സൈറ്റില്‍നിന്ന് അനധികൃതമായി ഫയൽ ആക്സസ് ചെയ്യാന്‍ ഒരു ലക്ഷത്തിലേറെത്തവണ ശ്രമം നടന്നു. 2 മിനിറ്റിനുള്ളിൽ പോർട്ടലിൽ 15 ലക്ഷം ഹിറ്റുകളുണ്ടായെന്നും സിബിഎസ്ഇ എക്സില്‍ വ്യക്തമാക്കിയിരുന്നു. 

ENGLISH SUMMARY:

Ethical hackers have exposed a major security flaw in CBSE's re-valuation and photocopy portal, putting the personal data of nearly 4.5 lakh registered students at risk. Two X (formerly Twitter) accounts, handled by 16-year-old cyber security researcher Raylen Anil and 19-year-old software engineer Nisarga, revealed that student emails, phone numbers, and payment details could be easily accessed via a flawed API design. By executing a JavaScript code through the browser console, the duo managed to retrieve a comprehensive list containing information of 457,874 individuals in a single request. The researchers confirmed that they have officially reported this vulnerability to CERT-In and CBSE, even as the education board recently claimed to have mitigated over a lakh unauthorized file access attempts.