Tras las publicaciones de hackers éticos que expusieron vulnerabilidades en la plataforma de Evaluación en Pantalla OnMark del Consejo Central de Educación Secundaria, el consejo declaró el domingo (31 de mayo de 2026) que las vulnerabilidades identificadas "han sido contenidas y otras debilidades explotables están siendo descartadas".
El CBSE también dijo estar "agradecido" con los ciudadanos alertas por señalar "tales debilidades". Hemos estado monitoreando de cerca las vulnerabilidades en el portal OnMark de nuestro proveedor de servicios que están siendo señaladas en el dominio público. Un equipo experto de profesionales de ciberseguridad ha sido desplegado durante los últimos días desde varios brazos del gobierno así como de los IIT [Institutos Indios de Tecnología] para fortalecer estos sistemas, incluyendo trasladarlos a una configuración más segura", dijo el CBSE en una declaración oficial en X. "Las vulnerabilidades identificadas han sido contenidas, y otras debilidades explotables están siendo descartadas".
La declaración del CBSE llega después de que el hacker ético de 19 años Nisarga Adhikary afirmara que había hackeado el ecosistema de evaluación digital del CBSE. Hablando con The Hindu, el Sr. Adhikary dijo que se sentía "feliz y satisfecho" de que el CBSE finalmente hubiera reconocido las vulnerabilidades en su ecosistema de Tecnologías de la Información (TI). "Había enviado mi primer reporte al CBSE el 25 de febrero, y en tres o cuatro días, cerraron el portal. Seis o siete vulnerabilidades seguían activas y explotables después, pero el CBSE no respondió a mis correos electrónicos. Esto fue bastante frustrante. Noté que el CBSE tenía una infraestructura mal gestionada y las contraseñas utilizadas eran fáciles de adivinar", dijo el Sr. Adhikary.
Logró hackear el panel de Directores del CBSE
Anteriormente, el CBSE había rechazado las afirmaciones de que su plataforma de evaluación había sido comprometida. El Sr. Adhikary había refutado esta afirmación. El 30 de mayo, el Sr. Adhikary logró hackear el panel de Directores del CBSE en la plataforma de Evaluación en Pantalla. "El panel y el portal tenían 9.3 millones de columnas y filas de datos sensibles de estudiantes, incluyendo imágenes de hojas de respuestas de estudiantes que yacían desprotegidas y podían ser fácilmente manipuladas", añadió el Sr. Adhikary. El Sr. Adhikary ha alegado que existen problemas de soberanía de datos con la forma en que COEMPT Eduteck [el proveedor tecnológico del CBSE] manejó los datos sensibles de exámenes de estudiantes. Ha alegado que un bucket de Amazon Web Services (AWS) que contenía hojas de respuestas y papeles de preguntas de 2026 podía ser accedido sin autenticación.
"COEMPT debería haber almacenado idealmente los datos en sus propios servidores, pero tomaron la 'ruta fácil y barata' de almacenar hojas de respuestas en buckets públicos de Amazon Web Services sin ninguna verificación de seguridad", declaró el Sr. Adhikary. Explicó además que datos sensibles, incluyendo información personal de estudiantes, fueron procesados por Gemini de Google en scripts de automatización preparados por ingenieros de aseguramiento de calidad de COEMPT. El Sr. Adhikary calificó esto como "aterrador" y "triste", donde un tercero envía tales datos a Estados Unidos para procesamiento. "Las Leyes de Privacidad de Datos no son respetadas y ellos [la empresa] deberían ser demandados por hacer esto sin el consentimiento de los estudiantes", añadió.