‘डेभलपरलाई पाठ पढाउन यसरी भायानेटको डेटा ह्याक गरेँ’

केही समयअघि इन्टरनेट सेवा प्रदायक भायानेटले नेपालको इतिहासकै सबैभन्दा ठूलो डेटा ब्रिचको घटना बेहोर्नुपर्‍यो । याे घटनामा १ लाख ७६ हजार सेवाग्राहीहरुको निजी जानकारी सबै बाहिर आए ।

त्यसमा कस्टमर आईडी, नाम, ठेगाना, फोन नम्बर, ईमेल एड्रेसहरु थिए । यसबाट कम्पनीलाई त असर पर्‍यो, पर्‍यो । तर त्योभन्दा ठूलो असर भने सेवाग्राहीलाई पर्‍यो । 

मेरो गल्तीको लागि म क्षमा चाहन्छु । यस घटनाबाट मेरो परिवार र आफन्तजनहरुलाई पनि त्यत्तिकै असर पर्‍यो । मलाई लाग्छ मानिसहरु यो डेटा ब्रिचको घटनालाई लिएर जिज्ञासु छन् । कहिले, किन र कसरी यो ब्रिच भयो ?

यसको उद्देश्य के थियो ? भायानेट नै किन ? किन नरपिचास ? को हो ब्रह्मपिसाच ? म सैतानलाई चिन्छु ? म फुलटाइम खराब पात्र हो त ? आज म तपाईंहरुको यही जिज्ञासालाई यस लेख मार्फत मेटाउने छु । 

किन ?

म एउटा इन्फोसेक (सूचना सुरक्षा) क्षेत्रमा नियमित आबद्ध रहने युवक हुँ । हामीले कति धेरै सुरक्षा कमजोरीहरु देखिरहेका हुन्छौं । भल्नरेबिलिटी चेक गर्न हामी सक्रिय भएर बसिरहनु पनि पर्दैन । हामी टाढैबाट यो थाहा पाउन सक्छौं । र मनलाई खुशी बनाउने एउटा तरिका भनेको अरुलाई सहयोग गर्नु हो ।

मानिसहरुलाई सहयोग गर्न मलाई मन पर्छ । यसैले जब जहाँ म कुनै सुरक्षा कमजोरी पत्ता लगाउँछु, तब कसैले दु:ख नपाउन् भनेर म अज्ञात बनेर त्यसको रिपोर्ट दिन्छु । तर पृथ्वीमा केही खराब प्राणीहरु छन् । म ती ‘अपाङ्ग’ नेपाली डेभलपरहरुको कुरा गर्दैछु, जसले असल र अनुभवी डेभलपरहरुको अवसरलाई खोसेर पैसामा प्रोजेक्ट गर्न खोज्छन् ।

उनीहरुलाई सुरक्षाबारे केही थाहा नै हुँदैन । तर उनीहरु आफू एप्लिकेसन डेभलपमेन्टको ज्ञाता बनेर काम गर्न खोज्छन् । यस्ता साना न्युबीहरुलाई त्यसको कुनै आइडिया नै हुँदैन । उनीहरुले रिपोर्टको कुनै वास्ता नै गर्दैनन् । मलाई कहिलेकाहिँ लाग्छ उनीहरुले पहिलो कुरा त रिपोर्ट नै बुझ्दैनन् ।

र अन्य डेभलपरहरुले रिपोर्टलाई बेवास्ता गर्छन्, किनभने उनीहरु अन्य प्रोजेक्टमै व्यस्त हुन्छन् जुन भल्नरेबिलिटीको रिपोर्टभन्दा फाइदाजनक हुन्छ । अनि अधिकांश मामिलामा उनीहरु वास्ता नै गर्दैनन् । यस्ता साना एप्लिकेसनलाई कसले ह्याक गर्लान् भनेर चुपचाप बस्छन् ।

‘प्यारा डेभलपरहरू यदि कसैले तिम्रो एप्लिकेसनमा रिमोट कोड एक्जिक्युट आरसीई गर्न सक्छ भने अन्य मेलिसियस गतिविधिका लागि उनीहरुले तिम्रो संसाधनलाई दुरुपयोग गर्न सक्छन् । यसैले यसबारे ख्याल राख । माथि भनिएको आरसीई त एउटा उदाहरण मात्र हो । एउटा मात्र सुरक्षा कमजोरी पनि छुट्यो भने यसले व्यापक र अप्रत्याशित क्षति निम्त्याउन सक्छ ।’

यस क्षेत्रमा म पूर्णकालिन खराब पात्र होइन । मैले कुनै पनि रिवार्डको अपेक्षा नगरी डेभलपरहरुलाई रिपोर्ट गर्दै आइरहेको छु । सेक्युरिटी प्याच दिएर फिक्स गर्नु त पर जाओस् । धन्यवाद भन्नु पनि पर जाओस् ।

मेरो एकजना साथीलाई त डोमेन एडमिनले रिपोर्ट गरेकोमा ‘फक यू’ भनेर पठायो । म कुरा गर्दैछु मेरो साथी मजाेज खड्का, जसले गुल्मी रेसुङ्गाको वेब एप्लिकेसनमा क्रस साइड स्क्रिप्टिङ एक्स एसएस भल्नरेबिलिटीको रिपोर्ट दिएका थिए । 

उनीहरुले राम्रो व्यवहार देखाएनन् भन्दैमा म पनि उनीहरुलाई त्यस्तै गर्छु भन्ने होइन । कमजोरीलाई फिक्स नगर्दा आउने दुष्परिणामको बारेमा उनीहरुलाई थाहा छैन जस्तो मलाई लाग्यो । यसैले मैले आफू पूर्णकालीन खराब पात्रले जस्तो भूमिका खेलेर उनीहरुलाई दुष्परिणाम देखाउन चाहेको हो ।

यहाँ मैले भन्नु पर्ने अर्को कुरा पनि छ । मैले यस्तो काम गरेर एक रुपैयाँ पनि कमाउन चाहेको हाेइन, न त मलाई कसैले केही दियो नै । मेलिसियस क्रियाकलापबाट पैसा कमाउने काम म गर्दिनँ र कदापि गर्ने पनि छैन ।

मेरो हजुरबुवा भन्नु हुन्छ गलत कामबाट आर्जन गरेको सम्पत्ति पचाउन गाह्रो हुन्छ । र अर्को कुरा भनेको यदि मैले त्यसलाई ब्रिच गरेको थिइनँ भने अन्य कुनै व्यक्तिले त्यसलाई दुरुपयोग गरेर कसैको जानकारीबिना नै त्यसलाई बेच्न पनि सक्ने थियो । 

मैले गरेको काम सही थियो भनेर म भन्दिनँ । तर यो विध्वंश पछाडिको उद्देश्य भनेको खराब वा कसैलाई दु:ख दिनु थिएन । जब मैले त्यो ब्रिच गरेँ, त्यतिबेला म १६ वर्षको बच्चै थिएँ । भायानेटको सम्पूर्ण ग्राहकप्रति म क्षमाप्रार्थी छु । साथै यो अप्रत्याशित चकचकका लागि भायानेट प्रति पनि ।

तर नेपाली जनताहरु अब आफ्नो डेटा सुरक्षित छैन भनेर सचेत हुनुपर्छ । तपाईंका धेरै गोप्य जानकारीहरु सजिलै विभिन्न च्यानलबाट एक्सेस हुन सक्छन् । 

यसमा कारण ती गैरजिम्मेवार डेभलपरहरुको पनि छ, जसले यस्ता कुराहरुलाई वास्ता गर्दैनन् । 

घटना 

रिपोर्टहरु वास्ता गरिए । सबैतिर त होइन । त्यसैले बगबाउन्टी प्रोग्राममा केही सजिलो होस् भनेर मैले केही स्क्रिप्ट लेख्न चाहेँ । जसले मलाई एसक्यूएल इन्जेक्सन, आइडीओआर जस्ता सुरक्षा कमजोरी तथा बगहरु नहेरी पहिचान गर्न सघाउ पुर्‍याउथ्यो । 

म इन्टरनेट ब्राउज मात्र गर्थेँ । त्यसले स्वत: पेलोड प्रयास गर्दथ्यो र त्यसको रेस्पोन्सकै आधारमा कुनै सुरक्षा कमजोरी छ कि छैन भनेर अनुमान गर्दथ्यो । साथै वेब ब्राउजर, नेटवर्क, वाइड प्रोक्सी, एसएसएल/टीएलएस अनपिन्डबाट आउने क्विङ, लगिङ वेब रिक्वेस्ट र रेस्पोन्सहरुलाई धन्यवाद ।

यसैले म यसकै लागि काम गर्दै थिए । पछि म यसलाई जुन पायो त्यही प्रोक्सी ट्राफिकहरुमा परीक्षण गर्दै थिएँ । जसमध्ये भायानेटको रेस्ट वेब एपीआई रिक्वेस्ट पनि थियो, जुन आईडीओआर भल्नरेबल थियो । 

लामो समयपछि मैले फूडमाण्डु ब्रिच सुनेँ । त्यसबेला मलाई यी कुरा पनि नेपालमा हुँदाे रहेछ भन्ने लागेको थियो । यसैले ‘अपाङ्ग डेभलपरहरु’लाई रिपोर्ट गरेर काम छैन । मलाई लाग्यो पृथ्वीका यी प्राणीहरु यसको परिणामलाई लिएर सचेत छैनन् । तर मैले भायानेटलाई निशाना बनाइनँ । मसँग अगाडि नै ठूलो परिणाममा भायानेटको एक्सप्लोइट डेटाबेस थियो । 

मलाई सुरक्षा कमजोरी अगाडि नै थाहा भएकाले भायानेटको सम्पूर्ण सेवाग्राही विवरणलाई डम्प गर्न मलाई एउटा स्क्रिप्ट मात्र लेख्न खाँचो थियो । मेरो आईपी एड्रेस प्रत्येक चार सेकेण्डमा परिवर्तन भइरहँदा मैले सयवटा थ्रेड्स प्रयोग गर्दै थिएँ । टोरलाई धन्यवाद, जसले आईपीएड्रेसलाई परिवर्तन गरिदियाे । सबै डेटालाई डम्प गरिदिन १० देखि २० मिनेट लाग्यो । 

तब सबै वास्तविक डम्प डेटाहरु जाभास्क्रिप्ट अब्जेक्ट नोटेसन जेसोनमा थिए । त्यसलाई मैले सीएसभी फाइलमा परिवर्तन गरिदिएँ । किनभने म त्यो गलत हातमा नपरोस् भन्ने चाहन्थे । त्यसैले मैले त्यसलाई एक्सपाइरिङ पेस्ट बीनमा अपलोड गरेर एउटा अकाउन्ट बनाएँ र नरपिचास नाम चयन गरेँ । किनभने म सुरुमा ब्रह्मपिसाच नाम प्रयोग गर्न चाहन्थेँ, जसको अर्थ एउटा विद्यार्थीको अकाल मृत्यु हो ।

पछि मलाई लाग्यो यो नाम धेरै लामो भयो । यसैले मैले नरपिचास नाम प्रयोग गरेँ । जसको अर्थ मानव शरीर भएको राक्षस हो । नरपिचास नाम ब्रह्मपिसाचको तुलनामा निकै ‘क्लासिक र कुल’ सुनिन्थ्यो । पछि मैले त्यही अकाउन्टबाट ट्वीट गरेँ।

‘जो पहिला आयो, त्यसैले मात्र पायो’

 मैले केही गतिविधि देखिनँ । त्यसैले भायानेट नाम उल्लेख गरेँ । तर मैले कुनै ट्वीटर अकाउन्ट फेला पारिनँ ।  जुन भायानेटको ओरिजिनल अकाउन्ट जस्तो देखियोस् । त्यसैले मैले अर्को ट्वीट गरेँ ।

एकघण्टा पछि पनि केही गतिविधि नदेखिएपछि मैल एउटा कविताबाट मिस्टर मुग्गरको खिल्ली उडाने निधो गरेँ । मैले ट्वीटबाट गम्भीर जस्तो देखिने कुरा लेखेर उनको खिल्ली उडाँए । 

मैले आफूलाई नै सदाका लागि सबैभन्दा पापी ह्याकरको रुपमा चिनिने काम गरेँ । एकछिन शान्त रहेर सोच्दा देशमा अझ धेरै गम्भीर किसिमका खतराहरु छन् । भल्नरेबिलिटीलाई बेवास्ता गर्ने नेपालका ठूला कम्पनीहरुलाई यसले छुट्टै स्वाद देला भन्ने सोचेर मैले यस्तो गरेँ ।

म फेरी भन्न चाहन्छु मैले सिङ्गो भायानेटलाई निशाना बनाएको हाेइन । त्यो त भायानेटको कस्टम बेस मात्र थियो, जुन ठूलो थियो ।

अनि अर्को तपाईंले थाहा पाउनुपर्ने कुरा भनेको के भने, तपाईंको ‘सो-कल्ड सैतान’ जसलाई म व्यक्तिगत रुपमा त चिन्दिनँ । तर उ पुराना फिक्स भइसकेका भल्नरेबिलिटीहरुलाई डिस्प्ले गरिदिएर ध्यान मात्र तान्न खोज्दैछ ।

उ कुनै विद्रोही होइन, त्यस्तो देखाउन मात्र खोज्ने हो । उसको नाम पनि त्यस्तै छ । प्यारा मानिसहरु वास्तवमा ग्रे ह्याट ह्याकरहरुले पनि मेलिसियस आशय बोकेका हुन्छन्, जुन चिज अनुसार फरक पर्दछ ।

कृपया फरक छुट्याउनुहोस् । चिन्नु न जान्नु ढुङ्गाले हान्नु भनेको जस्तै । यसले मलाई चारपटकसम्म आत्महत्याको प्रयास गर्न बाध्य बनायो । त्यो घटना पछि म डिप्रेस्ड भएँ । धेरै पटक मेरो ब्रेनवास भयो । म निस्क्रिय र अनुत्पादक बनेर बसेँ । आफ्ना चिजहरु यत्रतत्र फ्याक्थेँ

इन्टरनेटबाट मानिसहरुलाई गाली गर्न वा धन्यवाद दिनुअघि सोच्नुहोस्,अनुसन्धान गर्नुहोस् र प्रोफेसनलहरुबाट सहयोग लिनुहोस् । आशा छ तपाईं र अन्य कन्टेन्ट कृएटरले यो कुरा बुझ्नुभयो ।

अर्को कुरा भनेको त्यस्तो कुनै ब्रह्मपिसाच छैन । त्यो म आफैले अर्को सम्भावित कामका लागि आफ्नो निकनेम सुरक्षित मात्र गर्दै थिएँ । मलाई थाहा छैन पृथ्वीमा को ब्रह्मा छन् । किनभने म आफै धेरै नराम्रा कुराहरुबाट गुज्रिसकेको छु । अब यसउप्रान्त यस्को काम गर्ने मेरो कुनै योजना छैन ।

फेरि त्यही घटनामा फर्कौं । मैले मिस्टर मुग्गरलाई अझै धेरै चिड्याउने निर्णय गरेँ । जसमा मैले उसलाई मेन्सन गरेँ । त्यो दिन यत्तिकै बित्यो ।

अर्को दिन बिहान मैले केही रिच पाएँ, तर भायानेटमा रिच पाइन । मानिसहरु एक्सपाइरिङ पेस्ट बिनमा गइरहेका थिए र डेटा डाउनलोड गर्दै थिए । तर कसैले भायानेटलाई रिपोर्ट गरेका थिएनन् र भायानेटको कोही अधिकारी पनि उक्त घटनाबारे सचेत थिएनन् ।

म भायानेटले यी कुरा थाहा पाओस् भन्ने चाहान्थेँ । डेटा कुनै गलत हातमा पर्‍यो भने नराम्रो हुन्छ भन्ने कुरा मैले केही समय बिर्सिएँ । मैले यसलाई डार्क वेब (टोर) मा होस्ट गर्ने योजना बनाएँ । किनभने टोरबाट डेटा डाउनलोड गर्दा स्लो हुन्थ्यो ।

साथै मैले केही विवरणलाई फिल्टर पनि गरिदिएँ । र यसलाई वितरण गर्न तयार भएको कम्प्याक्ट सीएसभी बनाएँ । गोपनीयताप्रति सचेत रहेर मैले केही विवरण सीएसभीबाट हटाउन पनि सक्थेँ । तर त्यस क्षण म भायानेटले यसलाई देखोस् भन्ने चाहान्थेँ र मेरो पहिचान पनि लुकाउने धुनमा थिएँ ।

यसैले मैले त्यो काम गर्न बिर्सिएँ । त्यसपछि मैले ‘ओनियन लिङ्क होस्टिङ’को काम गर्न थालेँ । त्यसपछि मैले यसका लागि एचटीएमएल/ सीएसएस लेख्न थालेँ, जसमा सीएसभी डम्प क्ल्याकुलेटेडको चेकसम्स पनि थियो । मैले त्यसलाई ओनियन लिङ्क सहित ओनियन राउटरमा होस्ट गरिदिएँ ।

देशले इतिहासकै सबैभन्दा ठूलो डेटा ब्रिच भोगिरहेको थियो, तर कसैले ध्यान दिइरहेका थिएनन् । पछि मैले भायfनेटको आधिकारिक ट्वीटर अकाउन्ट फेला पारेँ र त्यसलाई दुईवटा ट्वीटले मेन्सन गरेँ ।

एक्नलेजमेन्ट

मेरो डम्प एउटा ठूलो बन डढेँलो जस्तो बन्यो ।

नेपाली टेलिकम कम्पनीहरुले निकायहरुसँग अपलोड गरेको ठाउँबाट डेटा हटाउन आग्रह गर्दै थिए । ओनियन लिङ्क डाउन गर्न निकायसँग आग्रह गर्दैमा केही हुनेवाला थिएन । मैले त्यसलाई टोर नेटवर्कमा होस्ट गरेको थिएँ । त्यसलाई मैले नै हटाउनु पर्थ्यो । यति भएपछि पुग्यो भनेर मैले आफैँ नै हटाइदिएँ ।

तब मलाई एकदमै खुशी लाग्यो । किनभने नेपालीले पहिलोपटक २४ घण्टाभित्र भल्नरेबिलिटी प्याच उपलब्ध गराएको थियो । वास्तवमा कसैले भल्नरेबिलिटी प्याच उपलब्ध गराउँदा निकै खुशी लाग्छ । त्यो घडी मेरो लागि गर्व महसुस हुने किसिमको थियो ।

इमान्दारीपूर्वक भन्न पर्दा एक दिनभरी यसरी ब्रिचलाई वितरण हुन दिदाँ यस्तो परिणाम आउला भन्ने मैले सोचेको थिइनँ । किनभने मेरो परिवार आफन्त र साथीभाइले पनि भायानेट सब्सक्राइब गरेका थिए ।

मेरो कारणले यति धेरैसिम्म भएपछि म डिप्रेसनमा पनि गएँ । म पहिले जस्तो हँसिलो, रसिलो र रमाइलो हुन सकिनँ । पहिलोपटक यति धेरै अनुत्पादक बनेको थिएँ । नेपाल प्रहरीको साइबर ब्यूरोमा आत्मसमर्पण गर्न चाहेँ तर हिम्मत थिएनँ ।

तर पछि मेरा केही साथीहरुले एउटा असल नागरिकको भूमिका निवार्ह गरेर नेपाल प्रहरीलाई मलाई पक्राउ गर्न सहयोग गरेँ । उनीहरुसँग त एउटा पनि प्राविधिक प्रमाण थिएन । सबै मेरा साथीहरुसँगको कुराकानीको स्कृन शट्स प्रमाण मात्र थिए । म खुशी छु उनीहरुले मेरो काँधको बोझ उतार्न मलाई सहयोग गरे ।

मलाई लाग्दैन नेपालका ठूला टेक सट्सहरु अझै पनि सुरक्षाबारे सचेत छन् । नेपालले ह्याकमा आधारित मुद्दा दायर गर्न पाउने कानून ल्याउनुपर्छ । दुवै ह्याकर र भल्नरेबल कम्पनीहरु समस्याग्रस्त बने भने मात्र उनीहरुले प्याच उपलब्ध गराउने रहेछन् ।

कुनै पनि जोखिमपूर्ण साइट भिजिट गर्नुअघि मेरो ब्राउजरले मलाई चेतावनी दिएको देख्दा खुशी लाग्छ ।

–ज्ञानी केटो म गिटहब आइओमा प्रकाशित ब्लगबाट अनुवादित

याे पनि पढ्नुहाेस् :
भायानेटमा साइबर आक्रमण, १ लाख ६० हजारभन्दा बढीको व्यक्तिगत विवरण बाहिरियो

भायानेटको डेटा चोरी गर्ने ह्याकर प्रहरी नियन्त्रणमा

पछिल्लो अध्यावधिक: असोज २, २०७९ २२:३३

टिप्पणीहरू