जेठ २६ मंगलबार ,दिनदिनै, पोखरा
नेपाल सरकारको महत्वाकांक्षी डिजिटल सेवा प्लेटफर्म ‘नागरिक एप’ मा सम्भावित गम्भीर सुरक्षा कमजोरी फेला परेको छ। साइबर सुरक्षा अनुसन्धानकर्ताहरूका अनुसार एपको प्रणालीसँग सम्बन्धित संवेदनशील विवरणहरू रहेका फाइलहरू सार्वजनिक रूपमा पहुँचयोग्य (Publicly Accessible) अवस्थामा भेटिएका हुन्।
साइबर सुरक्षा अनुसन्धानकर्ता मनदीप गुरागाईं र निश्चल लामिछाने ले ले नागरिक एपका २.०.१०८, २.०.१०४, २.०.१०६, २.०.९ र १.६.१० लगायतका पाँचवटा संस्करण (Versions) हरू परीक्षण गर्दा सबैमा .env र .env.dev जस्ता संवेदनशील कन्फिगरेसन फाइलहरू खुल्ला रूपमा देखिएको बताएका छन्। सामान्यतया यस्ता फाइलहरूमा प्रणालीको आन्तरिक सञ्चालनका गोप्य कुराहरू र एपीआई की (API Keys) जस्ता संवेदनशील जानकारीहरू सुरक्षित राखिने गरिन्छ।
अनुसन्धानकर्ता निश्चल लामिछानेले नागरिक एपको .env फाइलहरूमा देखिएको यो त्रुटि अत्यन्तै गम्भीर प्रकृतिको भएको पुष्टि गरेका छन्। उनले यसबारे सम्बन्धित आधिकारिक निकायलाई जानकारी गराउन र सम्पर्क गर्ने प्रयास गर्दा समेत कुनै प्रतिक्रिया नपाएको गुनासो गरे। यस किसिमको कमजोरीले नेपाली नागरिकहरूको संवेदनशील डाटामा अन्तर्राष्ट्रिय ह्याकरहरूको समेत पहुँच पुग्न सक्ने र ठूलो जोखिम निम्त्याउने चेतावनी उनले दिएका छन्।
लामिछानेका अनुसार कुनै पनि प्रविधि वा एप विकास गर्दा प्रारम्भिक चरणदेखि नै लागू गरिने “Security by Design” (डिजाइनमै सुरक्षा सुनिश्चित गर्ने) सिद्धान्तलाई नागरिक एपमा बेवास्ता गरिएको देखिन्छ। उनले एप विकासको प्रक्रियामा सुरक्षा परीक्षण, कोड समीक्षा र गोप्य जानकारी व्यवस्थापनलाई पहिलो प्राथमिकतामा राख्नुपर्ने सुझाव दिएका छन्।
यस विषयमा हालसम्म सम्बन्धित सरकारी निकायबाट कुनै पनि आधिकारिक प्रतिक्रिया वा खण्डन प्राप्त भएको छैन। यद्यपि, साइबर सुरक्षा विज्ञहरूले करोडौँ नागरिकको डाटा जोडिएको यति संवेदनशील प्लेटफर्ममा तत्काल प्राविधिक परीक्षण गरी सुरक्षा सुधार (Security Patch) गर्न माग गरेका छन्।
डिजिटल सरकारी सेवामा आम नागरिकको विश्वास कायम राख्नका लागि नियमित सुरक्षा अडिट तथा कडा सुरक्षा अभ्यास अपरिहार्य हुने विज्ञहरूको भनाइ छ।
