ईसेवा ह्याक भएकै हो ? कम्पनी भन्छ, यो केवल ‘फिशिङ स्टन्ट’ हो

  •  
  •  
  •  
  •  
  •  
  •  
  •  

 

बिहीबार राती पौने ९ बजे ईसेवाले आफ्ना वेब लगईन गर्ने प्रयोगकर्ताको नाममा ‘अत्यन्त जरुरी सूचना’ जारी गर्‍यो । सूचनामा ९ बजे उपरान्त वेब ब्राउजरमा लगईन गर्दा पासवर्ड अनिवार्य रुपमा परिवर्तन गर्न भनिएको थियो ।

पासवर्ड परिवर्तनका लागि ईसेवामा रजिस्टर गरिएको मोबाइलमा एसएमएस वा ईमेलमा प्राप्त टोकन राख्नुपर्ने अनिवार्य गरिएको छ । कम्पनीले सूचना जारी गरेको केही बेरमै ट्वीटरमा भर्खरै खुलेको एउटा आईडीबाट ईसेवाको डेटा ब्रिच प्रमाणीत गर्ने उद्देश्य अनुरुप ट्वीटहरु आउन थाले । ईसेवाको यस्तो सूचना र ट्वीटको विवरण देख्ने वित्तिकै थुप्रै प्रयोगकर्तामा ईसेवा साइबर आक्रमणमा परेको निश्कर्ष निकाल्न थाले । ईसेवाले सूचना जारी गरेको एक घण्टा लगत्तै ट्वीटरमा ‘अपरिचित’ नामबाट एउटा अकाउन्ट खुलेको छ । जसबाट यो समाचार तयार पार्दा सम्म केवल दुई वटा ट्वीट मात्र गरिएका छन् । ३४ जना प्रयोगकर्ताको ईमेल आईडी, पासवर्डका सुरुवाती अक्षर र ईसेवा वालेटमा रहेको रकम सहितको स्क्रिनशट उक्त ट्वीटसँगै पोस्ट गरिएको छ । जसमा सबै प्रयोगकर्तालाई पासवर्ड परिवर्तन गर्न लगाउनु सकारात्मक कदम भएको बताइएको छ । ट्वीटमा अगाडि भनिएको छ, ‘यो सबै गर्न ढिलो भइसकेको भन्ने लाग्दैन रु बरु वेब लगईन गर्नु अघि ओटीपी प्रयोग गर्नुहोस् ।’ उक्त ट्वीटमा चेतावनीको शैलीमा स्क्रिनशटमा कम्पनीको डेटाको डेमो मात्र प्रस्तुत गरिएको भन्दै प्रमाणित गर्न चाहे पासवर्डको पहिलो अक्षर हेर्न भनिएको छ । सँगसँगै गरिएको अर्को ट्वीटमा यो आफ्नो नभएर ईसेवाको कमजोरी भएको बताइएको छ ।

जसमा चेतावनीको भाषामा भनिएको छ, ‘पासवर्ड परिवर्तनका लागि अनुरोध गर्दैमा केही फरक पर्ने वाला छैन । यो केवल डेमो हो । अर्को एउटा ठूलो चुनौती सामना गर्न तयार भएर बस्नु ।’ ईसेवाले पासवर्ड परिवर्तन अनिवार्य गर्नु र एउटा ट्वीट ह्याण्डलबाट केही प्रयोगकर्ताका डेटा लिक हुनुबाट धेरैले अहिले ईसेवामाथि साइबर हमला भएको निश्कर्ष सहित सामाजिक सञ्जालमा बहश छेडेका छन् ।

तर ईसेवाले भने आफ्नो सिस्टममाथि कुनै खालको साइबर हमला नभएको दाबी गरेको छ । ईसेवाका प्रमुख सञ्चालन अधिकृत रोशन लामिछानेले प्रयोगकर्ताले ईसेवा र अन्यत्र समान पासवर्ड प्रयोग गर्दा यस्तो अवस्था निम्तिएको हुनसक्ने बताए । केही महिना अघि इन्टरनेट सेवा प्रदायक भायनेट र खानाको होम डेलिभरी सेवा दिँदै आएको फुडमाण्डुमाथि साइबर हमला भएको थियो । जसबाट बाहिरिएका डेटालाई ईसेवा प्रकरणमा प्रयोग गरिएको हुनसक्ने आँकलन गरिएको छ । तर ती आक्रमणमा प्रयोगकर्ताको ईमेल र फोन नम्बर लिक भए पनि पासवर्ड भने बाहिरिएको थिएन ।

ईसेवाको टिमले भने पछिल्लो समय सामाजिक सञ्जालमा विभिन्न स्किमको नाममा फिसिङका गतिविधि भइरहेको र त्यसैमार्फत केही प्रयोगकर्ताको युजर नेम तथा पासवर्ड ह्याकरको हातमा परेको हुनसक्ने विश्लेषण गरेको छ ।
‘अन्यत्र प्रयोग भएका कमन युजर नेम र पासवर्ड ९ईसेवा र अन्य अकाउन्टका लागि एउटै युजरनेम र पासवर्ड प्रयोग भएका० संकलन गरेको जस्तो देखिन्छ,’ लामिछानेले भने, ‘ईसेवामा समेत प्रयोग गरेको युजर नेम र पासवर्ड प्रयोग गरिएको अर्को कुनै साइटबाट प्रयोगकर्ताको डेटा ह्याकरले हात पारेको हुनसक्छ । त्यसै आधारमा डेटा माइनिङ गरी ईसेवाका केही प्रयोगकर्ताको अकाउन्टमा एक्सेस पाएको देखिन्छ ।’

त्यसो त ईसेवाका केही प्रयोगकर्ताले पछिल्लो एक सातायता आफ्नो अकाउन्टबाट रकम गायब भएको गुनासो कम्पनीलाई गर्न थालेका थिए । ८र९ जना प्रयोगकर्ताबाट उस्तै प्रकृतिको गुनासो आउन थालेपछि कम्पनी गम्भीर बन्यो र यसको अनुसन्धानमा जुट्यो ।अरु प्रयोगकर्ताको सवालमा समेत यस्तै समस्या दोहोरिन सक्ने आँकलनका साथ सबैलाई पासवर्ड परिवर्तन गर्न लगाइएको लामिछानेले स्पष्ट पारे । यो समस्या ईसेवाको मोबाइल एप प्रयोग गर्ने प्रयोगकर्ताको हकमा भने देखिएको छैन ।

जसले वेबसाइटबाट ईमेल र पासवर्डको माध्यमबाट ईसेवा प्रयोग गर्दै आएका छन्, त्यस्ता प्रयोगकर्ताहरु फिशिङ अट्याकरको निशानामा परेका हुन् । तर युजर नेमको रुपमा मोबाइल नम्बर भएका र एमपीन राखेका सेवाग्राहीहरुमा भने यस्तो कुनै किसिमको समस्या नदेखिएको ईसेवाले स्पष्ट पारेको छ ।

कम्पनीले करिब ६र७ वर्षदेखि ईसेवा खाताका लागि मोबाइल नम्बर अनिवार्य गरेको छ । त्यस अघि भने ईमेल आईडीबाट समेत ईसेवामा खाता खोल्न सकिने अवस्था रहेको थियो ।कम्पनीले ईमेल आईडी तथा पासवर्डमार्फत अकाउन्ट लगईन गर्न ओटीपी कोड अनिवार्य गरेको छैन । नेपाल बाहिर बसेका प्रयोगकर्तालाई समस्या हुने भएकाले त्यसमा त्यति जोड नगरिएको तर्क ईसेवाले गर्दै आएको छ ।

यद्पी एमपीन राखेर लगईन गर्दा भने ओटीपी कोड अनिवार्य नै छ । केही प्रयोगकर्ताको खाताबाट पैसा चोरी हुन थालेपछि सबैलाई पासवर्ड परिवर्तन गर्न लगाइएको लामिछानेले बताए ।

‘अब फिसिङ्बाट संकलन गरिएका पासवर्डबाट ईसेवा लगईन हुनेछैन,’ उनले भने, ‘अर्काको काउन्टमा बनाएको एक्सेस गुमेपछि पैसा चोरी गर्दै आएको समूहले नै स्टन्टको रुपमा ट्वीटर अकाउन्ट खोलेर हल्ला मच्चाएको हो ।’डेटा ब्रिच भएको खण्डमा खुलस्त रुपमा त्यसलाई स्वीकार गर्न कम्पनी तयार रहेको लामिछानेले बताए । ‘३६ लाख प्रयोगकर्ताको पैसाको विषय हामीसँग जोडिएको छ,’ उनले भने, ‘यदि ईसेवा नै ह्याक भएको खण्डमा हामीले सम्पूर्ण सिस्टम नै डाउन गरेर संकटको सामना गर्नुपर्ने अवस्था हुन्थ्यो । त्यसैले यो कुनै समूहले नियोजित रुपमा चलाएको फिसिङ स्टन्ट मात्र हो ।’

अपरिचित नामबाट सार्वजनिक भएको प्रयोगकर्ताको विवरण ईसेवाको सिस्टमको स्क्रिनशट नभएको समेत लामिछानेको दाबी छ । ‘प्रयोगकर्ताको पासवर्ड र पिन नम्बर यसरी प्लेन टेक्स्टमा नभएर पूर्णतः इन्क्रिप्ट गरेर राखिएको हुन्छ,’ उनले भने, ‘ह्याकरले हाम्रो सिस्टमको सम्पूर्ण डेटाबेश नै हातमा लिएको अवस्थामा पनि प्रयोगकर्ताको खातामा उसले यति सजिलै एक्सेस बनाउन सक्दैन ।’

ईसेवाले ब्राउजरमा पासवर्ड इन्टर गर्दाकै समयमा इन्क्रिप्ट हुने बताएको छ । कम्पनीको सुरुवाती समयदेखि नै पासवर्ड इन्क्रिप्ट रुपमा राख्ने गरिएको लामिछानेको भनाई छ । ‘यो स्क्रिनशट फिसिङ गर्नेले नै युजर नेम र पासवर्डको लिस्ट बनाएर बाहिर ल्याएको हो,’ उनले भने, ‘ईसेवाको सिस्टमबाट कुनै प्रयोगकर्ताको डेटा लिक नभएको स्पष्ट पार्न चाहन्छौं ।’टेकपाना

You May Also Like

Leave a Reply

Your email address will not be published. Required fields are marked *