समाचार आयो- राजस्व विभागको सफ्टवेयर ह्याक, साँच्चै हो र? आखिर भएको के हो ?

“राजस्व विभागको सफ्टवेयर ह्याक गरी राजस्व रकम हेरफेर गरेको आरोपमा दुई जना पक्राउ”

हिजो यो शीर्षक र व्यहोराका समाचार धेरै वटा न्युजपोर्टलहरुमा आयो। ठ्याक्कै यही हेडलाइन नेपाल समाचारपत्रको न्युजपोर्टल न्युजअफनेपालमा थियो भने यस्तै खालको समाचार प्रशासन र अर्थसरोकार लगायत अन्य न्युजपोर्टलहरुमा पनि थिए। टेकपानाले भने भाटभटेनीको कर प्रणाली ह्याक गरेको शीर्षक बनाएको थियो। आज कान्तिपुरको प्रथम पृष्ठको समाचारमा भने ‘पासवर्ड’ दुरुपयोग गरेर दुई युवाले दोब्बर बनाइदिए भाटभटेनीको कर शीर्षक छ।

खासमा यो भएको के हो ? आउनुस् सरल भाषामा बुझौँ।

राजस्व विभागको सफ्टवेयर नै ह्याक गरेको भनी समाचार आएपछि राजस्व विभागले एउटा विज्ञप्ति जारी गर्‍यो। त्यसमा यसो भनिएको छ-

अब नेपाल प्रहरीको विज्ञप्ति पनि हेरौँ, धेरै समाचार यसै विज्ञप्तिलाई आधार बनाइएको छ-

प्रहरीको विज्ञप्तिमा नखुलेका कुरा

प्रहरीले प्रारम्भिक अनुसन्धानबाट खुल्न आएका तथ्य भन्दै लेखेको छ- पक्राउ प्रतिवादी सन्तोष पराजुली समेतले आन्तरिक राजस्व कार्यालयको एकिकृत कर प्रणाली (Integrated tax system) सूचनामा पहुँच पुयाई भाटभटेनी सुपरमार्केटबाट नेपाल सरकारलाई प्राप्त हुने राजस्वको दायरा भित्र आउने जम्मा कारोबार रकम रु.२,३४,१६,४२,८१६/- (दुई अर्ब चौंतीस करोड सोह्र लाख बयालिस हजार आठ सय सोह) को राजस्व कर दायित्व रु. ६,२६,९४,०१९/- ( छ करोड छब्बीस लाख चौरानब्बे हजार उन्नाईस ) लाई परिवर्तन तथा हेरफेर गरी रु.१३,०९,५९,६०९ ।- (तेह्र करोड नौं लाख उन्साठी हजार छ सय नौं) गलत तथ्याङ्क करदातालाई बढी कर दायित्व सृजना हुने गरी राज्यको आधिकारिक कम्प्युटर सूचना प्रणालीमा अनाधिकृत रुपमा प्रविष्ट गर्ने कार्य गरेको देखिएको।

प्रहरीको विज्ञप्तिमा सामान्य कुरा पनि उल्लेख छैन। जस्तै नेपाल सरकारलाई प्राप्त हुने राजस्व भनेको के हो ? त्यो भ्याट हो कि आयकर हो कि अन्तशुल्क हो कि अर्को कुनै कर हो? सूचनामा केही उल्लेख छैन। यति जानकारी समेत नराखिकन अनुसन्धान भइरहेको छ भन्दा के अर्थ लाग्ला ?

त्यस्तै प्रहरीको विज्ञप्तिमा जम्मा कारोबार रकम भनी दुई अर्ब ३४ करोड अनि त्यसको राजस्व कर छ करोड २६ लाख उल्लेख छ। समाचार अनुसार यो भ्याट हो भने त्यसरी जम्मा कारोबारको आधारमा तिरिने होइन। बिक्रीबाट खरिद घटाएर बचेको रकमको १३% तिर्ने हो।

यहाँ प्रहरीको सूचनामा चाहिँ बिक्रीको फिगर मात्रै राखियो खरिदको फिगर दिएको छैन।

उदाहरणका लागि जस्तै बिक्री दुई अर्ब भयो अनि खरिद डेढ अर्ब भयो भने बाँकी रहेको ५० करोडको १३%ले भ्याट तिर्ने हो।

भएको के हो ? गल्ती कसको ?

खासमा यो अस्ति नै एफवान सफ्टको सिस्टम ह्याक गरेर सिटिजन्स बैँकको खाताबाट तीन करोड रकम लुटिएको घटना जस्तै आन्तरिक राजस्व विभागको सिस्टम ह्याक भएको होइन। सिस्टममा करदाताहरूले आफ्नो-आफ्नो युजरनेम र पासवर्ड लिएका हुन्छन्।

युजर नेम र पासवर्ड समय-समयमा आफ्नो चेन्ज गर्नैपर्ने बाध्यता सिस्टममा छैन।

अनि अर्को पनि समस्या सिस्टममा के छ भने जस्तो एउटा करको सिस्टम एउटा कार्यालयभित्र धेरै जनाले चलाउनुपर्ने हुनसक्छ। यसका लागि मल्टिपल अकाउन्ट्स बनाएर डेटा एक्सेस गर्न मिल्दैन।

त्यसो भएपछि व्यवहारतः सामान्य तरिकाको पासवर्ड राख्ने चलन छ। ताकि सबैले चलाउन सकियोस्, एक्सेस गर्न सकियोस्।

युजरनेमको हकमा करदाताको प्यान/भ्याट नम्बर हो। यो जसको पनि हेर्न मिलिहाल्छ। कुनै फर्मको बिल छ भने बिलमा पनि प्यान नम्बर भइहाल्छ। त्यो नम्बर जोसुकैले पनि पाउन सक्छ।

अनि सम्झनको लागि धेरैले पासवर्ड सामान्य राखेका हुन्छन्।

यसमा पनि त्यस्तै भयो होला। यसो अनुमान लगाएर सामान्य तरिकाले ट्राइ गरेका होलान्। फ्याट्टै login एक्सेस भइहाल्यो। अर्काको सिस्टममा त्यसरी प्रवेश गर्नु मात्र पनि कानुन अनुसार दण्डनीय काम हो।

अब यी केटाहरुलाई दशा लागेका ! बढी चकचक गरेर विवरणसमेत हेरफेर गरिदिए होलान्।

अब यो कसले गरेको थाहा नहुने कुरा होइन। प्रोफेसनल ह्याकर कहाँ हुन् र यिनीहरु। राजस्व विभागको सिस्टमबाट हेर्दा कताबाट लग इन गरेको आइपि एड्रेस थाहा भइहाल्यो। त्यसको माध्यमबाट आइएसपीलाई सोधेपछि कुन ग्राहकले चलाएको थाहा भइहाल्यो- अनि त कर्‍याप झ्याप पारिहाल्यो प्रहरीले।

यसलाई अझै सजिलो भाषामा बुझाउन एउटा कथा बनाएर सुनाउँछु।

कथा: “पासवर्डको खेल”

कुनै समयको कुरा हो, एउटा सानो शहरमा एउटा ठूलो व्यापार केन्द्र थियो, जसको नाम थियो भाटभटेनी बजार। यो बजारका सबै कारोबारहरू राजस्व विभागको एउटा सफ्टवेयरमा दर्ता गरिन्थ्यो। यस सफ्टवेयरमा कारोबार गर्ने हरेक पसलले एउटा चाबी जस्तो युजरनेम र पासवर्ड पाउने गर्थे, जुन उनीहरूले आफ्नो हिसाब-किताब राख्न प्रयोग गर्थे।

तर समस्या के भयो भने, धेरै पसलहरूले आफ्नो चाबी (पासवर्ड) धेरै सामान्य बनाएका थिए। जस्तो कि, “१२३४५” वा “password123” जस्तो सरल पासवर्ड। अब कुनै पनि चलाख मान्छेले त्यो पासवर्ड चलाएर पसलको ढोका (सफ्टवेयर) खोल्न सक्थ्यो।

चलाख केटाहरूको चाल

त्यो शहरमा दुई जना केटाहरू थिए: सन्तोष र परिन। उनीहरू लेखा-जोखा मिलाउने काममा सिपालु थिए। उनीहरूले कसरी सफ्टवेयर चलाउने भन्ने राम्ररी जान्थे।

एक दिन, उनीहरूले सोचेजस्तो एउटा सामान्य पासवर्ड प्रयोग गरेर भाटभटेनी बजारको खातामा प्रवेश गरे। उनीहरूले भित्र पसेर हिसाब-किताब हेरफेर गर्न सुरु गरे।
उदाहरणका लागि,

भाटभटेनीले सरकारलाई ६ करोड कर तिर्नुपर्ने थियो।
उनीहरूले सफ्टवेयरमा हिसाब फेरेर १३ करोड पुर्‍याइदिए!

यसो गर्दा सबैलाई लाग्यो, “यी दुई केटाहरूले राजस्व विभागको सफ्टवेयर ह्याक गरेछन्!”

गल्ती कहाँ भयो?

तर, यहाँ वास्तविकता के थियो भने:

सफ्टवेयर ह्याक भएको थिएन।
उनीहरूले सामान्य पासवर्ड पत्ता लगाएर भित्र पसेका थिए।

यो त्यस्तै हो, जस्तो तपाईंले घरको ढोका “१२३४” कोड राखेर छोड्नुहुन्छ, अनि कोही त्यो कोड चलाएर भित्र पस्छ।

प्रहरीको पकड

प्रहरीले छिट्टै यो चाल पत्ता लगायो।

सफ्टवेयरबाट कसले कहाँबाट लग इन गर्‍यो भन्ने थाहा पाउन सकिन्छ।
आइपि एड्रेस पत्ता लगाएर उनीहरूको घर/अफिससम्म पुगेर पक्राउ गरियो।

वास्तविक समस्या

यो घटनामा धेरै चीज गलत थियो:

सामान्य पासवर्डको प्रयोग:
पसलहरूले पासवर्ड बलियो बनाएनन्, जसले गर्दा अरूले सजिलै भित्र पस्न सके। 2FA जस्तो सिस्टम थिएन जसले अनधिकृत पहुँच रोक्न सक्छ।
प्रणालीमा सुधारको अभाव:
राजस्व विभागको प्रणालीमा पासवर्ड समय-समयमा परिवर्तन गर्नुपर्ने नियम थिएन।
प्रहरीको अनुसन्धानको अस्पष्टता:
प्रहरीको रिपोर्टमा कारोबारको विवरण प्रस्ट थियो, तर कुन कर हो (भ्याट, आयकर, वा अरू) भन्ने उल्लेख थिएन।

यो घटनामा सफ्टवेयर ह्याक भएको थिएन, तर कमजोर पासवर्डकै कारण यो घटना भयो। बलियो पासवर्ड प्रयोग गरौं र सुरक्षित रहौं!

2 thoughts on “समाचार आयो- राजस्व विभागको सफ्टवेयर ह्याक, साँच्चै हो र? आखिर भएको के हो ?”

Ratn Thapa Magar says:

February 25, 2025 at 9:53 am

hello Salokya jiu
yes it was as you said not hacked, but stealing password.
Tax ko Barema euta lekh lekhnu paryou kina you sabari sadhan ma 200% tax lagauchha. ho pahile raja ko pala ma niyem arkai thiyu,
it was treated as luxury item but now it is necessity to have a car to get around.
the system has changed, the kingship is gone, but why current system still continues on old system regarding taxation on vehicles? as famous journalist Bhusan dahal said “yeuta jabo gadi kinna kina yeti bidhna tax?
i hope you wil publish an article on this subject.

Ashok Karna says:

January 26, 2025 at 7:09 am

जरो गहिरो छ र कथाको रुख बाङो छ । भाटभटेनीले तिर्नुपर्ने राजस्व निकै हुनआयो । खातापाता मिलाउन जान्ने र सफ्टवेयर चलाउन जान्नेलाई जिम्मा दिए जसो गरेर उनीहरूलाई पोलिएको हो ।