വന്കിട സൈബര് ക്രിമിനലുകളോ കോടികള് വിലയുള്ള ഹാക്കിങ് സോഫ്റ്റ്വെയറുകളോ അല്ല, മറിച്ച് നമ്മള് സ്ഥിരമായി അവഗണിക്കുന്ന 'സുരക്ഷാ വീഴ്ച'യാണ് നാഷണല് ടെസ്റ്റിങ് ഏജന്സിയുടെ ഔദ്യോഗിക നീറ്റ് പോര്ട്ടലില് ഒരു പത്തൊന്പതുകാരന് പ്രയോജനപ്പെടുത്തിയത്. 2026-ലെ നീറ്റ് പരീക്ഷാ വിവാദങ്ങള്ക്കിടയില് അഹമ്മദാബാദ് സൈബര് ക്രൈം വിഭാഗം ബിഹാറിലെ ഗയയില് ചെന്ന് പൂട്ടിയ നവിന്കുമാര് ശങ്കര് പ്രസാദ് യാദവ് എന്ന പത്തൊൻപതുകാരന് ചലച്ചിത്രങ്ങളെ വെല്ലുന്ന ബുദ്ധിയോടെയാണ് വിദ്യാര്ത്ഥികളുടെ അക്കൗണ്ടുകള് ഒന്നൊന്നായി ഹാക്ക് ചെയ്തത്. താനും ഒരു നീറ്റ് ഉദ്യോഗാര്ത്ഥിയായിരുന്നതു കൊണ്ടുതന്നെ എന്ടിഎ പോര്ട്ടലിന്റെ ഘടനയും അതിലെ റീഫണ്ട് പ്രക്രിയയും നവിന് കൃത്യമായി അറിയാമായിരുന്നു. നീറ്റ് പരീക്ഷ റദ്ദാക്കിയതിനെത്തുടര്ന്ന് വിദ്യാര്ത്ഥികള്ക്ക് ഫീസ് തുക തിരികെ നല്കാന് കേന്ദ്ര സര്ക്കാര് തീരുമാനിച്ചതോടെയാണ് നവിന് തന്റെ മാസ്റ്റര് പ്ലാന് നടപ്പാക്കിയത്.
മുന്നൂറ്റി അൻപതോളം വിദ്യാര്ത്ഥികളുടെ നീറ്റ് അക്കൗണ്ടുകളുടെ ലോഗിന് വിവരങ്ങളാണ് നവിന് പ്രാഥമികമായി ചോര്ത്തിയത്. എന്നാല് ഇതില് നൂറ്റി അൻപതിലധികം വിദ്യാര്ത്ഥികളുടെ അക്കൗണ്ടുകളില് പൂര്ണമായി ആധിപത്യം സ്ഥാപിക്കാന് ഇയാള്ക്ക് കഴിഞ്ഞു. അതിനായി നവിന് തിരഞ്ഞെടുത്ത വഴി ഇതായിരുന്നു:
'സീക്രട്ട് സെക്യൂരിറ്റി ക്വസ്റ്റ്യന്' എന്ന ലൂപ്പ്ഹോള്: നമ്മള് പാസ്വേഡ് മറന്നുപോയാല് അക്കൗണ്ട് വീണ്ടെടുക്കാന് വെബ്സൈറ്റുകള് നല്കുന്ന ഫീച്ചറാണ് സെക്യൂരിറ്റി ചോദ്യങ്ങള്. 'നിങ്ങളുടെ പ്രിയപ്പെട്ട നിറം ഏതാണ്?', 'നിങ്ങളുടെ പ്രിയപ്പെട്ട കായികം ഏതാണ്?', അല്ലെങ്കില് 'അമ്മയുടെ പേര് എന്താണ്?' തുടങ്ങിയ ലളിതമായ ചോദ്യങ്ങളാണ് ഭൂരിഭാഗം വിദ്യാര്ത്ഥികളും രജിസ്ട്രേഷന് സമയത്ത് തിരഞ്ഞെടുക്കാറുള്ളത്.
ഊഹിച്ചെടുത്ത ഉത്തരങ്ങള്: പലരും ഇത്തരം ചോദ്യങ്ങള്ക്ക് വളരെ എളുപ്പമുള്ള ഉത്തരങ്ങള് (ഉദാഹരണത്തിന്: Cricket, Blue, അല്ലെങ്കില് അമ്മമാരുടെ സാധാരണ പേരുകള്) നല്കാറുള്ളത് നവിന് മുന്കൂട്ടി കണ്ടു. തുടര്ച്ചയായ ശ്രമങ്ങളിലൂടെ ഈ ഉത്തരങ്ങള് ഊഹിച്ചെടുത്ത് ഇയാള് വിദ്യാര്ത്ഥികളുടെ അക്കൗണ്ടുകളില് അതിക്രമിച്ചു കയറുകയായിരുന്നു.
ഒരു തവണ ഉദ്യോഗാര്ത്ഥിയുടെ അക്കൗണ്ടില് കയറിക്കൂടിയാല് നവിന് ആദ്യം ചെയ്യുന്നത് ആ അക്കൗണ്ടിന്റെ മെയിന് പാസ്വേഡ് മാറ്റുകയെന്നതാണ്. യഥാര്ത്ഥ വിദ്യാര്ത്ഥിക്ക് പിന്നീട് ലോഗിന് ചെയ്യാന് സാധിക്കാത്ത വിധം അക്കൗണ്ട് ഇയാള് ലോക്ക് ചെയ്യും.
അതിനുശേഷം, എന്ടിഎയില്നിന്ന് വിദ്യാര്ത്ഥിക്കു തിരികെ ലഭിക്കേണ്ട ഫീസ് റീഫണ്ട് തുകയുടെ കോളത്തില് വിദ്യാര്ത്ഥിയുടെ ബാങ്ക് അക്കൗണ്ട് വിവരങ്ങള്ക്കു പകരം നവിന് തന്റെ സ്വന്തം ബാങ്ക് അക്കൗണ്ട് വിവരങ്ങള് നല്കി. ഓരോ വിജയകരമായ ഹാക്കിങ്ങിലൂടെയും 1,700 രൂപ വീതമാണ് ഇയാള് സ്വന്തം അക്കൗണ്ടിലേക്ക് ഡൈവേര്ട്ട് ചെയ്തത്. ഇത്തരത്തില് നൂറ്റി അൻപതോളം വിദ്യാര്ത്ഥികളുടെ പണം ഇയാള് തട്ടിയെടുത്തു.
അഹമ്മദാബാദില് ഒരു വിദ്യാര്ത്ഥിനിയുടെ അച്ഛന്, മകള്ക്ക് നീറ്റ് പോര്ട്ടലില് ലോഗിന് ചെയ്യാന് സാധിക്കുന്നില്ലെന്നും പാസ്വേഡ് മാറിയതായും കാണിച്ചുനല്കിയ പരാതിയിലാണ് സൈബര് സെല് അന്വേഷണം ആരംഭിച്ചത്. എന്ടിഎയുടെ ചീഫ് ഇന്ഫര്മേഷന് സെക്യൂരിറ്റി ഓഫീസറുടെ സഹായത്തോടെ പൊലീസ് നടത്തിയ സാങ്കേതിക പരിശോധനയില്, ഈ അക്കൗണ്ടുകളെല്ലാം ഒരു പ്രത്യേക ഐപി വിലാസത്തില്നിന്നും ലൊക്കേഷനില്നിന്നുമാണ് നിയന്ത്രിക്കപ്പെടുന്നതെന്ന് കണ്ടെത്തി. പോര്ട്ടലില് നവിന് അവശേഷിപ്പിച്ച ഡിജിറ്റല് കാല്പാടുകള് പിന്തുടര്ന്ന ഗുജറാത്ത് പൊലീസ് ബിഹാറിലെ ഗയയിലെത്തി ഇയാളെ പിടികൂടുകയായിരുന്നു.
A 19-year-old from Bihar was arrested for allegedly hacking the National Testing Agency’s NEET portal and diverting student refund money into his own account. He reportedly exploited weak security questions like “mother’s name” to gain access to around 150 student accounts, changed their passwords, and replaced bank details to transfer refunds of about ₹1,700 per account. The fraud came to light after a complaint from a student’s family, leading cyber police to trace and arrest him through digital evidence.
Investigators found that he used simple guesswork to crack security answers rather than advanced hacking tools. Authorities have since reviewed the portal’s security system to prevent similar breaches in the future.