के ईसेवा ह्याक भएकै हो ? कम्पनी भन्छ, यो केवल ‘फिशिङ स्टन्ट’ हो

काठमाडौं । बिहीबार राती पौने ९ बजे ईसेवाले आफ्ना वेब लगईन गर्ने प्रयोगकर्ताको नाममा ‘अत्यन्त जरुरी सूचना’ जारी गर्‍यो । सूचनामा ९ बजे उपरान्त वेब ब्राउजरमा लगईन गर्दा पासवर्ड अनिवार्य रुपमा परिवर्तन गर्न भनिएको थियो । 

पासवर्ड परिवर्तनका लागि ईसेवामा रजिस्टर गरिएको मोबाइलमा एसएमएस वा ईमेलमा प्राप्त टोकन राख्नुपर्ने  अनिवार्य गरिएको छ । कम्पनीले सूचना जारी गरेको केही बेरमै ट्वीटरमा भर्खरै खुलेको एउटा आईडीबाट ईसेवाको डेटा ब्रिच प्रमाणीत गर्ने उद्देश्य अनुरुप ट्वीटहरु आउन थाले । ईसेवाको यस्तो सूचना र ट्वीटको विवरण देख्ने वित्तिकै थुप्रै प्रयोगकर्तामा ईसेवा साइबर आक्रमणमा परेको निश्कर्ष निकाल्न थाले । 

ईसेवाले सूचना जारी गरेको एक घण्टा लगत्तै ट्वीटरमा ‘अपरिचित’ नामबाट एउटा अकाउन्ट खुलेको छ । जसबाट यो समाचार तयार पार्दा सम्म केवल दुई वटा ट्वीट मात्र गरिएका छन् । 

३४ जना प्रयोगकर्ताको ईमेल आईडी, पासवर्डका सुरुवाती अक्षर र ईसेवा वालेटमा रहेको रकम सहितको स्क्रिनशट उक्त ट्वीटसँगै पोस्ट गरिएको छ । जसमा सबै प्रयोगकर्तालाई पासवर्ड परिवर्तन गर्न लगाउनु सकारात्मक कदम भएको बताइएको छ । 

ट्वीटमा अगाडि भनिएको छ, ‘यो सबै गर्न ढिलो भइसकेको भन्ने लाग्दैन ?  बरु वेब लगईन गर्नु अघि ओटीपी प्रयोग गर्नुहोस् ।’ 

उक्त ट्वीटमा चेतावनीको शैलीमा स्क्रिनशटमा कम्पनीको डेटाको डेमो मात्र प्रस्तुत गरिएको भन्दै प्रमाणित गर्न चाहे पासवर्डको पहिलो अक्षर हेर्न भनिएको छ । सँगसँगै गरिएको अर्को ट्वीटमा यो आफ्नो नभएर ईसेवाको कमजोरी भएको बताइएको छ । 

जसमा चेतावनीको भाषामा भनिएको छ, ‘पासवर्ड परिवर्तनका लागि अनुरोध गर्दैमा केही फरक पर्ने वाला छैन । यो केवल डेमो हो । अर्को एउटा ठूलो चुनौती सामना गर्न तयार भएर बस्नु ।’ 

ईसेवाले पासवर्ड परिवर्तन अनिवार्य गर्नु र एउटा ट्वीट ह्याण्डलबाट केही प्रयोगकर्ताका डेटा लिक हुनुबाट धेरैले अहिले ईसेवामाथि साइबर हमला भएको निश्कर्ष सहित सामाजिक सञ्जालमा बहश छेडेका छन् । 

तर ईसेवाले भने आफ्नो सिस्टममाथि कुनै खालको साइबर हमला नभएको दाबी गरेको छ । ईसेवाका प्रमुख सञ्चालन अधिकृत रोशन लामिछानेले प्रयोगकर्ताले ईसेवा र अन्यत्र समान पासवर्ड प्रयोग गर्दा यस्तो अवस्था निम्तिएको हुनसक्ने बताए । 

केही महिना अघि इन्टरनेट सेवा प्रदायक भायनेट र खानाको होम डेलिभरी सेवा दिँदै आएको फुडमाण्डुमाथि साइबर हमला भएको थियो । जसबाट बाहिरिएका डेटालाई ईसेवा प्रकरणमा प्रयोग गरिएको हुनसक्ने आँकलन गरिएको छ । तर ती आक्रमणमा प्रयोगकर्ताको ईमेल र फोन नम्बर लिक भए पनि पासवर्ड भने बाहिरिएको थिएन ।

ईसेवाको टिमले भने पछिल्लो समय सामाजिक सञ्जालमा विभिन्न स्किमको नाममा फिसिङका गतिविधि भइरहेको र त्यसैमार्फत केही प्रयोगकर्ताको युजर नेम तथा पासवर्ड ह्याकरको हातमा परेको हुनसक्ने विश्लेषण गरेको छ ।

‘अन्यत्र प्रयोग भएका कमन युजर नेम र पासवर्ड (ईसेवा र अन्य अकाउन्टका लागि एउटै युजरनेम र पासवर्ड प्रयोग भएका) संकलन गरेको जस्तो देखिन्छ,’ लामिछानेले भने, ‘ईसेवामा समेत प्रयोग गरेको युजर नेम र पासवर्ड प्रयोग गरिएको अर्को कुनै साइटबाट प्रयोगकर्ताको डेटा ह्याकरले हात पारेको हुनसक्छ । त्यसै आधारमा डेटा माइनिङ गरी ईसेवाका केही प्रयोगकर्ताको अकाउन्टमा एक्सेस पाएको देखिन्छ ।’ 

त्यसो त ईसेवाका केही प्रयोगकर्ताले पछिल्लो एक सातायता आफ्नो अकाउन्टबाट रकम गायब भएको गुनासो कम्पनीलाई गर्न थालेका थिए । ८/९ जना प्रयोगकर्ताबाट उस्तै प्रकृतिको गुनासो आउन थालेपछि कम्पनी गम्भीर बन्यो र यसको अनुसन्धानमा जुट्यो ।

अरु प्रयोगकर्ताको सवालमा समेत यस्तै समस्या दोहोरिन सक्ने आँकलनका साथ सबैलाई पासवर्ड परिवर्तन गर्न लगाइएको लामिछानेले स्पष्ट पारे । यो समस्या ईसेवाको मोबाइल एप प्रयोग गर्ने प्रयोगकर्ताको हकमा भने देखिएको छैन ।

जसले वेबसाइटबाट ईमेल र पासवर्डको माध्यमबाट ईसेवा प्रयोग गर्दै आएका छन्, त्यस्ता प्रयोगकर्ताहरु फिशिङ अट्याकरको निशानामा परेका हुन् ।  तर युजर नेमको रुपमा मोबाइल नम्बर भएका र एमपीन राखेका सेवाग्राहीहरुमा भने यस्तो कुनै किसिमको समस्या नदेखिएको ईसेवाले स्पष्ट पारेको छ । 

कम्पनीले करिब ६/७ वर्षदेखि ईसेवा  खाताका लागि मोबाइल नम्बर अनिवार्य गरेको छ । त्यस अघि भने ईमेल आईडीबाट समेत ईसेवामा खाता खोल्न सकिने अवस्था रहेको थियो । 

कम्पनीले ईमेल आईडी तथा पासवर्डमार्फत अकाउन्ट लगईन गर्न ओटीपी कोड अनिवार्य गरेको छैन । नेपाल बाहिर बसेका प्रयोगकर्तालाई समस्या हुने भएकाले त्यसमा त्यति जोड नगरिएको तर्क ईसेवाले गर्दै आएको छ ।  

यद्पी एमपीन राखेर लगईन गर्दा भने ओटीपी कोड अनिवार्य नै छ । केही प्रयोगकर्ताको खाताबाट पैसा चोरी हुन थालेपछि सबैलाई पासवर्ड परिवर्तन गर्न लगाइएको लामिछानेले बताए ।

‘अब फिसिङ्बाट संकलन गरिएका पासवर्डबाट ईसेवा लगईन हुनेछैन,’ उनले भने, ‘अर्काको काउन्टमा बनाएको एक्सेस गुमेपछि पैसा चोरी गर्दै आएको समूहले नै स्टन्टको रुपमा ट्वीटर अकाउन्ट खोलेर हल्ला मच्चाएको हो ।’

डेटा ब्रिच भएको खण्डमा खुलस्त रुपमा त्यसलाई स्वीकार गर्न कम्पनी तयार रहेको लामिछानेले बताए । ‘३६ लाख प्रयोगकर्ताको पैसाको विषय हामीसँग जोडिएको छ,’ उनले भने, ‘यदि ईसेवा नै ह्याक भएको खण्डमा हामीले सम्पूर्ण सिस्टम नै डाउन गरेर संकटको सामना गर्नुपर्ने अवस्था हुन्थ्यो । त्यसैले यो कुनै समूहले नियोजित रुपमा चलाएको फिसिङ स्टन्ट मात्र हो ।’ 

अपरिचित नामबाट सार्वजनिक भएको प्रयोगकर्ताको विवरण ईसेवाको सिस्टमको स्क्रिनशट नभएको समेत लामिछानेको दाबी छ । ‘प्रयोगकर्ताको पासवर्ड र पिन नम्बर यसरी प्लेन टेक्स्टमा नभएर पूर्णतः इन्क्रिप्ट गरेर राखिएको हुन्छ,’ उनले भने, ‘ह्याकरले हाम्रो सिस्टमको सम्पूर्ण डेटाबेश नै हातमा लिएको अवस्थामा पनि प्रयोगकर्ताको खातामा उसले यति सजिलै एक्सेस बनाउन सक्दैन ।’

ईसेवाले ब्राउजरमा पासवर्ड इन्टर गर्दाकै समयमा इन्क्रिप्ट हुने बताएको छ । कम्पनीको सुरुवाती समयदेखि नै पासवर्ड इन्क्रिप्ट रुपमा राख्ने गरिएको लामिछानेको भनाई छ । ‘यो स्क्रिनशट फिसिङ गर्नेले नै युजर नेम र पासवर्डको लिस्ट बनाएर बाहिर ल्याएको हो,’ उनले भने, ‘ईसेवाको सिस्टमबाट कुनै प्रयोगकर्ताको डेटा लिक नभएको स्पष्ट पार्न चाहन्छौं ।’

पछिल्लो अध्यावधिक: असोज २, २०७९ २२:३४

टिप्पणीहरू