“राजस्व विभागको सफ्टवेयर ह्याक गरी राजस्व रकम हेरफेर गरेको आरोपमा दुई जना पक्राउ”
हिजो यो शीर्षक र व्यहोराका समाचार धेरै वटा न्युजपोर्टलहरुमा आयो। ठ्याक्कै यही हेडलाइन नेपाल समाचारपत्रको न्युजपोर्टल न्युजअफनेपालमा थियो भने यस्तै खालको समाचार प्रशासन र अर्थसरोकार लगायत अन्य न्युजपोर्टलहरुमा पनि थिए। टेकपानाले भने भाटभटेनीको कर प्रणाली ह्याक गरेको शीर्षक बनाएको थियो। आज कान्तिपुरको प्रथम पृष्ठको समाचारमा भने ‘पासवर्ड’ दुरुपयोग गरेर दुई युवाले दोब्बर बनाइदिए भाटभटेनीको कर शीर्षक छ।
खासमा यो भएको के हो ? आउनुस् सरल भाषामा बुझौँ।
राजस्व विभागको सफ्टवेयर नै ह्याक गरेको भनी समाचार आएपछि राजस्व विभागले एउटा विज्ञप्ति जारी गर्यो। त्यसमा यसो भनिएको छ-
अब नेपाल प्रहरीको विज्ञप्ति पनि हेरौँ, धेरै समाचार यसै विज्ञप्तिलाई आधार बनाइएको छ-
प्रहरीको विज्ञप्तिमा नखुलेका कुरा
प्रहरीले प्रारम्भिक अनुसन्धानबाट खुल्न आएका तथ्य भन्दै लेखेको छ- पक्राउ प्रतिवादी सन्तोष पराजुली समेतले आन्तरिक राजस्व कार्यालयको एकिकृत कर प्रणाली (Integrated tax system) सूचनामा पहुँच पुयाई भाटभटेनी सुपरमार्केटबाट नेपाल सरकारलाई प्राप्त हुने राजस्वको दायरा भित्र आउने जम्मा कारोबार रकम रु.२,३४,१६,४२,८१६/- (दुई अर्ब चौंतीस करोड सोह्र लाख बयालिस हजार आठ सय सोह) को राजस्व कर दायित्व रु. ६,२६,९४,०१९/- ( छ करोड छब्बीस लाख चौरानब्बे हजार उन्नाईस ) लाई परिवर्तन तथा हेरफेर गरी रु.१३,०९,५९,६०९ ।- (तेह्र करोड नौं लाख उन्साठी हजार छ सय नौं) गलत तथ्याङ्क करदातालाई बढी कर दायित्व सृजना हुने गरी राज्यको आधिकारिक कम्प्युटर सूचना प्रणालीमा अनाधिकृत रुपमा प्रविष्ट गर्ने कार्य गरेको देखिएको।
प्रहरीको विज्ञप्तिमा सामान्य कुरा पनि उल्लेख छैन। जस्तै नेपाल सरकारलाई प्राप्त हुने राजस्व भनेको के हो ? त्यो भ्याट हो कि आयकर हो कि अन्तशुल्क हो कि अर्को कुनै कर हो? सूचनामा केही उल्लेख छैन। यति जानकारी समेत नराखिकन अनुसन्धान भइरहेको छ भन्दा के अर्थ लाग्ला ?
त्यस्तै प्रहरीको विज्ञप्तिमा जम्मा कारोबार रकम भनी दुई अर्ब ३४ करोड अनि त्यसको राजस्व कर छ करोड २६ लाख उल्लेख छ। समाचार अनुसार यो भ्याट हो भने त्यसरी जम्मा कारोबारको आधारमा तिरिने होइन। बिक्रीबाट खरिद घटाएर बचेको रकमको १३% तिर्ने हो।
यहाँ प्रहरीको सूचनामा चाहिँ बिक्रीको फिगर मात्रै राखियो खरिदको फिगर दिएको छैन।
उदाहरणका लागि जस्तै बिक्री दुई अर्ब भयो अनि खरिद डेढ अर्ब भयो भने बाँकी रहेको ५० करोडको १३%ले भ्याट तिर्ने हो।
भएको के हो ? गल्ती कसको ?
खासमा यो अस्ति नै एफवान सफ्टको सिस्टम ह्याक गरेर सिटिजन्स बैँकको खाताबाट तीन करोड रकम लुटिएको घटना जस्तै आन्तरिक राजस्व विभागको सिस्टम ह्याक भएको होइन। सिस्टममा करदाताहरूले आफ्नो-आफ्नो युजरनेम र पासवर्ड लिएका हुन्छन्।
युजर नेम र पासवर्ड समय-समयमा आफ्नो चेन्ज गर्नैपर्ने बाध्यता सिस्टममा छैन।
अनि अर्को पनि समस्या सिस्टममा के छ भने जस्तो एउटा करको सिस्टम एउटा कार्यालयभित्र धेरै जनाले चलाउनुपर्ने हुनसक्छ। यसका लागि मल्टिपल अकाउन्ट्स बनाएर डेटा एक्सेस गर्न मिल्दैन।
त्यसो भएपछि व्यवहारतः सामान्य तरिकाको पासवर्ड राख्ने चलन छ। ताकि सबैले चलाउन सकियोस्, एक्सेस गर्न सकियोस्।
युजरनेमको हकमा करदाताको प्यान/भ्याट नम्बर हो। यो जसको पनि हेर्न मिलिहाल्छ। कुनै फर्मको बिल छ भने बिलमा पनि प्यान नम्बर भइहाल्छ। त्यो नम्बर जोसुकैले पनि पाउन सक्छ।
अनि सम्झनको लागि धेरैले पासवर्ड सामान्य राखेका हुन्छन्।
यसमा पनि त्यस्तै भयो होला। यसो अनुमान लगाएर सामान्य तरिकाले ट्राइ गरेका होलान्। फ्याट्टै login एक्सेस भइहाल्यो। अर्काको सिस्टममा त्यसरी प्रवेश गर्नु मात्र पनि कानुन अनुसार दण्डनीय काम हो।
अब यी केटाहरुलाई दशा लागेका ! बढी चकचक गरेर विवरणसमेत हेरफेर गरिदिए होलान्।
अब यो कसले गरेको थाहा नहुने कुरा होइन। प्रोफेसनल ह्याकर कहाँ हुन् र यिनीहरु। राजस्व विभागको सिस्टमबाट हेर्दा कताबाट लग इन गरेको आइपि एड्रेस थाहा भइहाल्यो। त्यसको माध्यमबाट आइएसपीलाई सोधेपछि कुन ग्राहकले चलाएको थाहा भइहाल्यो- अनि त कर्याप झ्याप पारिहाल्यो प्रहरीले।
यसलाई अझै सजिलो भाषामा बुझाउन एउटा कथा बनाएर सुनाउँछु।
कथा: “पासवर्डको खेल”
कुनै समयको कुरा हो, एउटा सानो शहरमा एउटा ठूलो व्यापार केन्द्र थियो, जसको नाम थियो भाटभटेनी बजार। यो बजारका सबै कारोबारहरू राजस्व विभागको एउटा सफ्टवेयरमा दर्ता गरिन्थ्यो। यस सफ्टवेयरमा कारोबार गर्ने हरेक पसलले एउटा चाबी जस्तो युजरनेम र पासवर्ड पाउने गर्थे, जुन उनीहरूले आफ्नो हिसाब-किताब राख्न प्रयोग गर्थे।
तर समस्या के भयो भने, धेरै पसलहरूले आफ्नो चाबी (पासवर्ड) धेरै सामान्य बनाएका थिए। जस्तो कि, “१२३४५” वा “password123” जस्तो सरल पासवर्ड। अब कुनै पनि चलाख मान्छेले त्यो पासवर्ड चलाएर पसलको ढोका (सफ्टवेयर) खोल्न सक्थ्यो।
चलाख केटाहरूको चाल
त्यो शहरमा दुई जना केटाहरू थिए: सन्तोष र परिन। उनीहरू लेखा-जोखा मिलाउने काममा सिपालु थिए। उनीहरूले कसरी सफ्टवेयर चलाउने भन्ने राम्ररी जान्थे।
एक दिन, उनीहरूले सोचेजस्तो एउटा सामान्य पासवर्ड प्रयोग गरेर भाटभटेनी बजारको खातामा प्रवेश गरे। उनीहरूले भित्र पसेर हिसाब-किताब हेरफेर गर्न सुरु गरे।
उदाहरणका लागि,
- भाटभटेनीले सरकारलाई ६ करोड कर तिर्नुपर्ने थियो।
- उनीहरूले सफ्टवेयरमा हिसाब फेरेर १३ करोड पुर्याइदिए!
यसो गर्दा सबैलाई लाग्यो, “यी दुई केटाहरूले राजस्व विभागको सफ्टवेयर ह्याक गरेछन्!”
गल्ती कहाँ भयो?
तर, यहाँ वास्तविकता के थियो भने:
- सफ्टवेयर ह्याक भएको थिएन।
- उनीहरूले सामान्य पासवर्ड पत्ता लगाएर भित्र पसेका थिए।
यो त्यस्तै हो, जस्तो तपाईंले घरको ढोका “१२३४” कोड राखेर छोड्नुहुन्छ, अनि कोही त्यो कोड चलाएर भित्र पस्छ।
प्रहरीको पकड
प्रहरीले छिट्टै यो चाल पत्ता लगायो।
- सफ्टवेयरबाट कसले कहाँबाट लग इन गर्यो भन्ने थाहा पाउन सकिन्छ।
- आइपि एड्रेस पत्ता लगाएर उनीहरूको घर/अफिससम्म पुगेर पक्राउ गरियो।
वास्तविक समस्या
यो घटनामा धेरै चीज गलत थियो:
- सामान्य पासवर्डको प्रयोग:
पसलहरूले पासवर्ड बलियो बनाएनन्, जसले गर्दा अरूले सजिलै भित्र पस्न सके। 2FA जस्तो सिस्टम थिएन जसले अनधिकृत पहुँच रोक्न सक्छ। - प्रणालीमा सुधारको अभाव:
राजस्व विभागको प्रणालीमा पासवर्ड समय-समयमा परिवर्तन गर्नुपर्ने नियम थिएन। - प्रहरीको अनुसन्धानको अस्पष्टता:
प्रहरीको रिपोर्टमा कारोबारको विवरण प्रस्ट थियो, तर कुन कर हो (भ्याट, आयकर, वा अरू) भन्ने उल्लेख थिएन।
यो घटनामा सफ्टवेयर ह्याक भएको थिएन, तर कमजोर पासवर्डकै कारण यो घटना भयो। बलियो पासवर्ड प्रयोग गरौं र सुरक्षित रहौं!
जरो गहिरो छ र कथाको रुख बाङो छ । भाटभटेनीले तिर्नुपर्ने राजस्व निकै हुनआयो । खातापाता मिलाउन जान्ने र सफ्टवेयर चलाउन जान्नेलाई जिम्मा दिए जसो गरेर उनीहरूलाई पोलिएको हो ।