यूजीसीमा गम्भीर लापर्बाही, डेभपलपरको गल्तीले १ लाख ३० हजार विद्यार्थी र ३ हजार प्राध्यापकको डेटा लिक
बैशाख २२, २०८३ ९:४९
काठमाडौँ । विश्वविद्यालय अनुदान आयोग (यूजीसी) ले आफ्नो प्रणालीलाई डिजिटलाइज गर्ने क्रममा साइबर सुरक्षाको न्यूनतम मापदण्डलाई समेत पालना नगर्दा नेपालका लाखौँ विद्यार्थी र प्रोफेसर साइबर आक्रमणको जोखिममा परेका छन् । आयोगको प्रणाली विकास गर्ने जिम्मा पाएको कम्पनी डिबग सफ्टले सफ्टवेयर निर्माण गर्दा एपीआई अथराइजेसन र अथेन्टिकेसनमा लापर्बाही गर्दा यस्तो अवस्था सिर्जना भएको हो ।
यस त्रुटिका कारण करिब एक लाख ३० हजार विद्यार्थी र ३ हजार हाराहारी प्राध्यापकको संवेदनशील विवरण इन्टरनेटमा जोसुकैले पहुँचमा पुगेको हुनसक्ने अवस्थामा देखिएको छ । प्रणालीमा रहेको प्राविधिक कमजोरीका कारण विद्यार्थी र प्राध्यापकको सम्पूर्ण डिजिटल पहिचान नै असुरक्षित बनेको छ ।
आयोगको वेबसाइटमा (...edu.np/api/user/ID) राख्दा विद्यार्थी र प्राध्यापकसँग सम्बन्धी संवेदनशील विवरण सहजै फेला पार्न सकिने अवस्था रहेको थियो । उक्त वेबसाइटको प्रत्येक यूआरएलमा व्यक्तिको पुरा नाम, जन्म मिति, नागरिकता नम्बर, नागरिकता जारी भएको जिल्ला र नागरिकताको अगाडि-पछाडिको फोटोको लिङ्क समेत समावेश थियो । यसका साथै मोबाइल नम्बर, ईमेल, बुबा-आमाको नाम, पेसा, उनीहरूको फोन नम्बर तथा शैक्षिक प्रमाणपत्रका विवरण पनि बाहिरिएका छन् ।
प्राध्यापक र कर्मचारीको हकमा भने यो विषय थप संवेदनशील देखिएको छ । उक्त विवरणमा उनीहरूको बैङ्कको नाम, बैङ्क खाता नम्बर, प्यान नम्बर र नियुक्ति पत्रलगायतका वित्तीय विवरण पनि कुनै सुरक्षा बिना इन्टरनेटमा पहुँचयोग्य अवस्थामा राखिएका थिए ।
यस प्रकृतिको डेटा लिकलाई साइबर सुरक्षाको भाषामा ‘इनसेक्योर डाइरेक्ट अब्जेक्ट रेफ्रेन्स’ (आइडोर) भनिन्छ । आयोगको वेबसाइटमा विद्यार्थी वा प्राध्यापकको विवरण हेर्न मिल्ने एउटा लिङ्क राखिएको थियो, जसमा सुरक्षाको लागि कुनै पनि प्रकारको पासवर्ड वा टोकन प्रयोग गरिएको थिएन ।
एउटा व्यक्तिले आफ्नो विवरण हेर्न पाउने लिङ्कको पछाडि रहेको दर्ता नम्बर वा आईडी नम्बरलाई परिवर्तन गर्नासाथ अर्को जुनसुकै व्यक्तिको सम्पूर्ण विवरण खुल्ने गर्थ्यो । यही कमजोरीको फाइदा उठाउँदै सामान्य प्रोग्रामिङ गरेर स्वचालित रूपमा नम्बर परिवर्तन गरी पुरै डेटाबेस नै निकाल्न सकिने अवस्था रहेको टेकपानाको प्राविधिक विश्लेषणले देखाएको छ ।
यस विषयमा साइबर सुरक्षा विज्ञ विजय लिम्बुले यो घटनालाई चरम लापर्बाहीको संज्ञा दिएका छन् । प्रणाली निर्माणमा सामान्य सुरक्षा प्रोटोकलको समेत बेवास्ता गरिएको उनको भनाई छ ।
“यो एपीआई हो र सामान्यतया एपीआईलाई जहिले पनि अथेन्टिकेसनबाट गराउनुपर्ने हुन्छ । यो हिसाबले हेर्दा यहाँ डेभलपरको चरम लापर्बाही देखिन्छ, सुरक्षाको मतलब नै नभएको पाइयो,” लिम्बुले भने, “कुनै पनि सेक्युरिटी स्ट्यान्डर्डलाई फलो नगरी सिधै प्लेटफर्म बनाइएको छ । बिना अथेन्टिकेसन डेटा आइरहेको छ भने त्यहाँ सुरक्षाको स्तर शून्य छ । यसले राष्ट्रिय परिचयपत्र नम्बर दुरुपयोग हुने, वित्तीय ठगी हुने र स्क्याम गर्न बाटो खुला गरिदिएको छ ।”
नेपालमा प्रणाली सुरक्षित बनाउनुपर्ने स्पष्ट कानुनी प्रावधान र नियमन गर्ने निकायको अभावले गर्दा गल्ती गर्नेलाई कारबाहीको दायरामा ल्याउन समस्या हुने पनि उनले औँल्याए । आफ्नो अत्यन्तै व्यक्तिगत र वित्तीय विवरण इन्टरनेटमा सार्वजनिक भएको थाहा पाएपछि विद्यार्थी र प्राध्यापक त्रसित बनेका छन् ।
एक विद्यार्थी रिचन शर्मा (परिवर्तित नाम ) ले आफू यस विषयमा पूर्ण रूपमा अनभिज्ञ रहेको र आफ्नो नागरिकतादेखि बुबाआमाको नम्बरसमेत बाहिरिँदा स्तब्ध भएको प्रतिक्रिया दिए । “हामीले कलेजमा भर्ना हुँदा र अनुदानको आशामा दिएको डेटा यसरी असुरक्षित रूपमा सार्वजनिक होला भनेर कसरी सोच्नु ? अब यो डेटा प्रयोग गरेर मेरो नाममा कसैले फेक कल वा बैङ्किङ फ्रड गर्यो भने यसको जिम्मा कसले लिन्छ ?” शर्माले प्रश्न गरे ।
त्यसैगरी अर्का विद्यार्थी विशाल श्रेष्ठले क्याम्पसले यूजीसीलाई डेटा पठाउँदा उक्त विवरण सार्वजनिक पहुँचमा पुग्छ भन्ने कुनै जानकारी नदिएको गुनासो गरे । आफ्नो बैङ्क खाता नम्बर, प्यान नम्बरदेखि नागरिकतासम्म सबै बाहिरिएको अवस्थामा कसैले उक्त विवरण प्रयोग गरेर ठग्न सक्ने जोखिम रहेको उनको भनाइ छ ।
“यो हाम्रो गोपनीयतामाथिको सिधा आक्रमण हो । यसमा क्याम्पस र आयोग दुवैले जिम्मेवारी लिनुपर्छ,” श्रेष्ठले भने ।
यसबारे अध्ययन गरिरहेका र आफूलाई ‘नरसिंहा’ बताउने साइबर सुरक्षाका अर्का एक विद्यार्थीले भने, “सिस्टममा डेटा सुरक्षित राख्ने सामान्य तालाचाबी नै छैन । यसको फाइदा उठाएर ह्याकर वा गलत मनसाय भएका व्यक्तिले सफ्टवेयरको प्रयोग गरी पुरै डेटाबेस नै एकैछिनमा चोर्न सक्छन् । यस्तो विवरण हात पर्दा हजारौँ नागरिक पहिचान चोरी, आर्थिक ठगी, अनलाइन दुर्व्यवहार र ब्ल्याकमेलिङको सिकार हुन सक्छन् । अझ डरलाग्दो कुरा त के छ भने, यसरी डेटा चोर्नेको कुनै नामनिसान वा प्रमाणसमेत सिस्टममा रहँदैन । यो त ठुलो कमजोरी हो ।”
प्राध्यापक इन्द्रप्रसाद भट्टराईले आफ्नो डेटा इन्टरनेटमा सहजै फेला पर्ने अवस्थाबारे अनभिज्ञता प्रकट गरे । “मलाई त अनुदान आयोगका लागि यो-यो विवरण आवश्यक पर्छ भनेर १०/१२ दिन अघि मागिएको थियो,” उनले भने, “यो विवरण जोकोहीले हेर्न सकिने अवस्थामा छ भन्ने थाहा पाउँदा झस्किएँ । म त बैङ्किङ तथा अन्य वित्तीय ठगीका घटनाबारे सचेत छु । तर, सबै प्राध्यापक वा विद्यार्थी त सचेत छैनन् नि ।”
उनले अगाडि भने, “अहिले हाम्रा वित्तीय विवरणसहितका डेटा बाहिरिएका छन् । यो डेटाको दुरुपयोग भएर हाम्रो नाममा केही भयो भने यसको जवाफदेहीता कसले लिन्छ ? आयोगले यसको सत्यतथ्य छानबिन गर्नुपर्छ ।”
यो तहको डेटा उपलब्धताले व्यक्ति र राष्ट्र दुवैलाई गम्भीर असर पुर्याउन सक्ने चिन्ता साइबर सुरक्षा क्षेत्रका जानकारले व्यक्त गरेका छन् । प्राध्यापकको बैङ्क खाता र प्यान नम्बर बाहिरिँदा साइबर अपराधीहरूले फिशिङ मार्फत बैङ्कलाई झुक्याउन वा नक्कली केवाईसी बनाएर ठगी गर्न सक्छन् । यसैगरी नागरिकता र जन्म मितिको प्रयोग गरी नक्कली परिचयपत्र बनाउने, सिम कार्ड निकाल्ने जस्ता घटना बढ्न सक्ने जोखिम छ ।
यस किसिमको लापर्बाहीका विषयमा प्रणालीसँग जोडिएका सम्बन्धित पक्षले पनि आफ्नो कमजोरी स्वीकार गरेका छन् । विश्वविद्यालय अनुदान आयोगका प्राविधिक कर्मचारीले वेबसाइटमा प्राविधिक कमजोरी भेटिएको पुष्टि गरे । "बिना अथराइजेसन एपीआईमार्फत डेटा हेर्न मिल्ने कमजोरी रहेछ । कतै गल्ती भएर यो प्रणाली लाइभ भएको पायौँ । यो इस्यु आएपछि हामीले तत्कालै उक्त सिस्टमलाई पब्लिक पहुँचबाट बन्द गरेका छौँ र यसलाई सच्याउने काम भइरहेको छ ।”
प्रणाली निर्माण गर्ने कम्पनी डिबग सफ्टका संस्थापक सुरेश बस्नेतले प्रणालीमा व्यक्तिगत प्रमाणीकरण नरहेको प्राविधिक त्रुटि रहेको स्वीकार गरे । उनले उक्त प्रणाली विकासकै चरणमा रहेको र निर्माणकै क्रममा पूर्ण रूपमा सेट भएर लाइभ हुँदा यो कमजोरी देखिएको दाबी गरे ।
“इन्डिभिजुअल स्टुडेन्टको अथराइजेसन नभएको साँचो हो । तर हामीले अहिले यूजीसीसँग कुरा गरेर यसलाई समाधान गरिसकेका छौँ । यो खासमा डेभलपमेन्ट फेजमै थियो र डेभलपमेन्ट हुँदाहुँदै लाइभ भएकाले यो कमजोरी देखियो,” बस्नेतले भने, “हामीले अहिले तत्काललाई यो रोकेका छौँ र अब बिना टोकन छिर्न नमिल्ने गरी यसलाई अप्टिमाइज गर्दैछौँ ।”
निर्माण कम्पनीले विकासको चरणमा रहेको प्रणाली भनेर दाबी गरे पनि परीक्षणकै अवस्थामा रहेको प्रणालीमा लाखौँ नागरिकको वास्तविक र अत्यन्तै संवेदनशील तथ्याङ्क विना कुनै सुरक्षा राखिनुले सूचना प्रविधि अभ्यासको न्यूनतम मापदण्डमाथि नै प्रश्न खडा गरेको छ ।
पछिल्लो अध्यावधिक: बैशाख २३, २०८३ १२:३८
