वीरगञ्ज । नेपाल प्रहरीको आधिकारिक वेबसाइट ह्याक भएर २० लाखभन्दा बढी नेपाली नागरिकको संवेदनशील व्यक्तिगत जानकारी चोरी भएको छ । ‘काजु’ (Kazu) नामक ह्याकर समूहले नेपाल प्रहरी कै वेबसाइटमाथि साइबर आक्रमण गरेको हो । चोरी गरिएका डेटाहरू डार्क वेबको एक प्लेटफर्ममा ७ हजार अमेरिकी डलर मूल्य तोकेर बिक्रीका लागि राखिएको छ ।
ह्याकर समूहले डार्क फोरममा पोस्ट गर्दै नेपाल प्रहरीको केन्द्रीय वेबसाइट (nepalpolice.gov.np) मा रहेको कमजोरीको फाइदा उठाएर डेटा हात पारेको दाबी गरेको छ । उक्त पोस्टमा लेखिएको छ, “२M+ Citizens: Nepal Police Central Website Breach,” अर्थात् २० लाखभन्दा बढी नागरिकको व्यक्तिगत विवरण बिक्रीमा राखिएको छ । डेटाहरूमा नागरिकका फोटो, नागरिकता, पासपोर्ट, र व्यक्तिगत पहिचानसम्बन्धी सूचनाहरू (PII) समावेश भएको ह्याकरको दाबी छ ।
ह्याकरले डेटा सन् २०२५ मा चोरी गरेको उल्लेख गरे पनि कुन महिनामा चोरी भएको हो भन्ने खुलाएका छैनन् । उनीहरूले डेटा किन्न इच्छुक व्यक्तिका लागि सम्पर्क ठेगानासहित सेसन आइडी, सिग्नल, र Qtox उपलब्ध गराएका छन् । थप रूपमा, ह्याकरले वेबसाइटको कमजोरी (बग) को एक्सप्लोइट कोड पनि बिक्रीमा राखेका छन् । बागलाई प्रयोग गरेर जोकोहीले सजिलै डेटा डाउनलोड गर्न सक्ने दाबी गरेका छन् ।
नेपाल प्रहरीका केन्द्रीय प्रवक्ता डीआईजी दिनेशकुमार आचार्यले डेटा चोरी प्रहरीको वेबसाइटबाट नभएको दाबी गरेका छन् । उनले भने, “ह्याकरले दाबी गरेको डेटा हाम्रो होइन, यो साइबर अपराधसँग सम्बन्धित हुन सक्छ । हामी अनुसन्धान गरिरहेका छौं ।”
तर, प्रहरी स्रोतले भने डेटा नेपाल प्रहरीकै भएको पुष्टि गरेको छ । एक प्रहरी अधिकारीले नाम नखुलाउने सर्तमा भने, “ह्याकरले चोरी गरेको डेटा हाम्रै हो । केही डेटा चोरी भएको पक्का हो, तर यो नयाँ हो वा पुरानो भन्ने अनुसन्धानबाट मात्र थाहा हुन्छ ।” उनका अनुसार, प्रहरीले टेस्टिङ सर्भरमा नागरिकका संवेदनशील डेटा राखेको थियो । सर्भर चारित्रिक प्रमाणपत्रका लागि पेस गरिएका कागजातहरू अपडेट गर्न प्रयोग गरिन्थ्यो ।
साइबर सुरक्षा विज्ञ रिवश न्यौपानेले टेस्टिङ सर्भरमा वास्तविक डेटा राख्नु गम्भीर लापरबाही भएको बताए । उनले भने, “सर्भर टेस्टिङमा डमी डेटा प्रयोग गर्नुपर्छ, वास्तविक डेटा राख्नु चरम गल्ती हो । सरकारी वेबसाइटहरूमा नियमित सुरक्षा अडिट र भल्नरेबिलिटी टेस्ट (VAPT) नहुँदा यस्ता घटना बारम्बार हुन्छन् ।”
उनले थपे, “नेपाल प्रहरीको लापरबाहीले नागरिकको गोपनीयता मात्र होइन, संस्थाको विश्वसनीयतामै प्रश्न उठेको छ । भविष्यमा यस्ता घटना रोक्न डेटा सुरक्षा नीति र सुरक्षित टेस्टिङ प्रक्रिया अनिवार्य छ ।” न्यौपानेले डेभलपमेन्ट, टेस्टिङ, र प्रोडक्सन वातावरण अलग राख्नुपर्ने र टेस्टिङ सर्भरमा पनि नियमित सुरक्षा जाँच गर्नुपर्ने सुझाव दिए ।
अर्का साइबर सुरक्षा विज्ञ रोशन पोखरेलले सरकारी वेबसाइटहरूको कमजोर सुरक्षालाई ह्याकिङको प्रमुख कारण माने । उनले भने, “प्रहरीको वेबसाइटमा SQL इन्जेक्शन, क्रस-साइट स्क्रिप्टिङ (XSS) जस्ता अन्तर्राष्ट्रिय मापदण्डअनुसारको सुरक्षा अभ्यास भएको देखिँदैन । साइबर हाइजिनमा ध्यान नदिँदा यस्ता घटना दोहोरिन्छन् ।”
नेपाल प्रहरीको वेबसाइट गृह मन्त्रालयअन्तर्गत सञ्चालित छ र नेपालको केन्द्रीय कानुन कार्यान्वयन निकायको आधिकारिक पोर्टल हो । वेबसाइटले एफआईआर दर्ता, उजुरी ट्र्याकिङ, र प्रहरी अधिकारीहरूको डाइरेक्ट्री जस्ता सेवा प्रदान गर्छ । तर, यसको कमजोर सुरक्षाका कारण ह्याकरहरूले सजिलै निशाना बनाएका छन् ।
साइबर सुरक्षा विज्ञहरूले यस्ता घटना रोक्न सरकारी निकायले तत्काल कदम चाल्नुपर्ने सुझाएका छन् । नियमित सुरक्षा अडिट, डमी डेटाको प्रयोग, र बलियो साइबर सुरक्षा नीति लागू गर्नु अबको आवश्यकता रहेको उनीहरूको भनाइ छ । नेपाल प्रहरीले पनि घटनाको गहन अनुसन्धान गरी दोषीमाथि कारबाही र प्रणाली सुधारमा जोड दिनुपर्ने देखिन्छ ।
घटनाले नेपालको साइबर सुरक्षा अवस्थामाथि गम्भीर प्रश्न उठाएको छ । नागरिकको संवेदनशील जानकारीको सुरक्षाका लागि तत्काल प्रभावकारी कदम चाल्नु अपरिहार्य भएको छ ।
यात्रा डेली
