13 अप्रैल को फ्री सॉफ्टवेयर मूवमेंट ऑफ इंडिया के सोशल मीडिया प्लेटफॉर्म को लॉक कर दिया गया और 17 दिनों बाद दुबारा अनलॉक किया गया. यह मुफ्त सॉफ्टवेयरों को अपनाने की वकालत करने वाले संगठनों का गठबंधन है. ट्विटर ने 27 मार्च के एक ट्वीट के चलते एफएसएमआई के अकांउट को ब्लॉक किया था जिसमें इंटरनेट पर सामान बेचने वाले बिग बास्केट द्वारा ग्राहकों की डेटा सुरक्षा के उल्लंघन की बात थी. 30 मार्च को फ्रांस स्थित साइबर सुरक्षा विशेषज्ञ रॉबर्ट बैपटिस्ट, जो ट्विटर पर इलियट एल्डरसन नाम से जाने जाते हैं, का अकाउंट भी मोबिक्विक के डिजिटल भुगतान प्लेटफॉर्म से डेटा उल्लंघन की बात करने पर बंद कर दिया गया. इसके अगले दिन एक अन्य साइबर सुरक्षा शोधकर्ता राजशेखर राजाहरिया के अकाउंट को भी मोबिक्विक के डेटा उल्लंघन के बारे में ट्वीट करने पर बंद कर दिया गया. मोबिक्विक ने लगभग दस करोड़ उपयोगकर्ताओं के व्यक्तिगत डेटा की सुरक्षा से समझौता किया था. एक महीने में दूसरी बार मोबिक्विक के बारे में ट्वीट करने पर राजाहरिया के अकाउंट को बंद कर दिया गया था. प्रत्येक बार ट्विटर ने बताया कि उनके ट्वीट ने "निजी जानकारी पोस्ट" संबंधित नियमों का उल्लंघन किया है.
बैपटिस्ट और राजाहरिया के अकाउंट को 12 घंटे में बहाल कर दिया गया और दोनों ने वे ट्वीट भी हटा दिए. राजाहरिया ने एक स्क्रीनशॉट साझा किया, जिसमें दिखाया गया कि ट्विटर की निजी सूचना नीति का उल्लंघन करने के लिए उनके अकाउंट को 12 घंटे के लिए बंद कर दिया गया था. एफएमएसआई, जिसके अकाउंट को एक ट्वीट के लिए 12 दिसंबर 2020 को बंद कर दिया गया था, ने पोस्ट को नहीं हटाया तो ट्विटर ने ही बाद में उस ट्वीट को हटा दिया. यह अजीब बात है कि एफएसएमआई द्वारा 11 नवंबर को किया गया एक और ट्वीट, जो उसी सामग्री को संदर्भित करता है, उनके अकाउंट पर दिखाई दे रहा है.
प्रत्येक मामले में यह स्पष्ट नहीं हो सका कि डेटा उल्लंघनों के बारे में किए गए ट्वीट्स ने "निजी जानकारी पोस्ट करने" संबंधी किन नियमों का उल्लंघन किया है. यह भी नहीं पता चलता है कि ट्विटर ने ये कार्रवाइयां अपने आप की थी या उसे किसी ने ऐसा करने को कहा था. 31 मार्च को कारवां के एक ईमेल के जवाब में, ट्विटर ने उन सवालों के जवाब नहीं दिए जिसमें पूछा गया था कि एफएसएमआई के अकाउंट के बारे में किसने रिपोर्ट की थी. ट्विटर ने केवल यही कहा, "निजी सूचना नीति के उल्लंघन के लिए संदर्भित अकाउंट पर सही ढंग से कार्रवाई की गई थी." हालांकि, 13 अप्रैल को ट्विटर ने एफएसएमआई को एक ईमेल भेजा जिसमें बताया गया कि उनका अकाउंट बहाल कर दिया गया है और स्वीकार किया कि "आपके अकाउंट की समीक्षा करने के बाद ऐसा लगता है कि हमसे गलती हुई है."
साइबर सुरक्षा से जुड़े शोधकर्ताओं और विशेषज्ञों ने मुझे बताया कि एफएसएमआई, राजाहरिया और बैपटिस्ट द्वारा संचालित अकाउंटों ने लोगों को यह बता कर कि किस तरह उनकी निजी जानकारी को उजागर किया जा सकता है जन सेवा का अपना कर्तव्य निभाया है. डिजिटल अधिकारों की पैरवी करने वाले समूह इंटरनेट फ्रीडम फाउंडेशन के कार्यकारी निदेशक अपार गुप्ता ने कहा कि निजी जानकारी पोस्ट करने के खिलाफ नियमों का हवाला देते हुए उनके अकाउंटों को लॉक करना "तर्क के मुंह पर तमाचा है." मैंने जिन विशेषज्ञों से बात की. उन्होंने कहा कि अस्पष्ट सोसल मीडिया नीतियां निजी कंपनियों को किसी भी ऐसे अकाउंट की शिकायत करने की अनुमति दे सकती हैं जो उनके व्यवसाय पर प्रतिकूल प्रभाव डालता है. डेटा और इंटरनेट के एक शोधकर्ता श्रीनिवास कोदली ने कहा, "ट्विटर के नियमों के साथ कोई भी खिलवाड़ कर सकता है."
एफएसएमआई की महासचिव किरण चंद्रा का मानना है कि ट्विटर की कार्रवाई "हर उस शख्स को खामोश करने के लिए है जो डेटा उल्लंघनों के बारे में कुछ भी पूछ रहा है." समाचार रिपोर्टों के मुताबिक, बिग बास्केट द्वारा डेटा उल्लंघन का पता पहली बार 30 अक्टूबर को एक साइबर खुफिया फर्म साइबल ने लगाया था. इसने बताया कि कम से कम दो करोड़ ग्राहकों की व्यक्तिगत जानकारी (नाम, ईमेल आईडी, पासवर्ड हैश, फोन नंबर, पूरा पता, जन्मतिथि, स्थान और आईपी एड्रेस) 40000 अमरीकी डॉलर की कीमत पर डार्क वेब में बिक्री के डाली गई थी. बिग बास्केट को सूचित करने के बाद, साइबल ने 7 नवंबर को डेटा उल्लंघन को सार्वजनिक किया, जिसकी पुष्टि बिग बास्केट ने दो दिन बाद जारी एक बयान में की. 11 नवंबर को एफएसएमआई ने इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय को कंप्यूटर इमरजेंसी रिस्पांस टीम या सीईआरटी को सुरक्षा चूक की जांच करने के लिए लिखा था. सूचना प्रौद्योगिकी अधिनियम 2000 के अनुसार, सीईआरटी का कामसाइबर सुरक्षा घटनाओं पर जानकारी एकत्र करने, विश्लेषण और प्रसार करने और ऐसी घटनाओं से निपटने के लिए उचित उपाय मुहैया कराना है.
एफएसएमआई का पत्र सीईआरटी के जन शिकायत अधिकारी अजय लकड़ा से अनुरोध करता है कि "इस घटना की जांच शुरू करे और नागरिकों को अपडेट दे." एफएसएमआई ने उसी दिन ट्विटर पर यह पत्र पोस्ट किया. 12 दिसंबर को एफएसएमआई ने ट्वीट किया, “एक महीने से अधिक समय हो गया है और हमें बिग बास्केट डेटा उल्लंघन की जांच करने के लिए @IndianCERT से कोई पावती या प्रतिक्रिया नहीं मिली है. सीईआरटी-इन के लिए आवश्यक है कि वह दो दिनों में नागरिक शिकायतों को स्वीकार करे और 30 दिनों के भीतर इसे अपने नागरिक चार्टर के अनुसार हल करे.” 27 मार्च को ट्विटर ने 12 दिसंबर के ट्वीट के आधार पर एफएसएमआई के अकाउंट को लॉक कर दिया और उसे हटा दिया. हालांकि, 11 नवंबर के ट्वीट में पत्र का लिंक अकाउंट पर था.
चंद्रा ने मुझे बताया कि ट्विटर ने संगठन को चेतावनी नहीं दी या अकाउंट बंद करने से पहले स्पष्टीकरण नहीं मांगा. “ट्वीट अब गायब है. इसमें कोई निजी जानकारी नहीं है,” उन्होंने कहा कि एफएसएमआई को ट्विटर ने ईमेल में ट्वीट को डिलीट करने के लिए कहा ताकि अकाउंट को अनलॉक किया जा सके या इसे लॉक करने के निर्णय के बारे में अपील की जा सके. चंद्रा ने मुझे बताया कि एफएसएमआई ने 30 मार्च को अपील करने का की सोची थी लेकिन ट्विटर ने उन्हें प्रतिक्रिया देने की समय सीमा नहीं दी. गौरतलब है कि 3 अप्रैल को ट्विटर ने एफएसएमआई की अपील को अस्वीकार कर लिया. चंद्रा ने मुझे बताया कि दो दिन बाद एफएसएमआई ने मंच के खिलाफ कानूनी नोटिस दायर किया. इसके बाद 13 अप्रैल को एफएसएमआई के अकाउंट को बहाल कर दिया गया और ट्विटर ने एफएसएमआई को ईमेल करके "किसी भी असुविधा के लिए माफी मांगी."
चंद्रा ने यह भी कहा कि यह अजीब था कि ट्वीट पोस्ट किए जाने के तीन महीने बाद कार्रवाई की गई. 12 मार्च को द हिंदू ने अपनी एक रिपोर्ट में बताया कि टाटा समूह बिग बास्केट में 64.3 प्रतिशत हिस्सेदारी हासिल करेगा. वर्तमान में हरि मेनन कंपनी के मालिक हैं, जिनके ससुर ई. श्रीधरन केरल विधानसभा चुनाव में भारतीय जनता पार्टी के टिकट पर लड़ रहे हैं. जब मैंने चंद्रा से पूछा कि उनके अकाउंट के खिलाफ शिकायत कौन कर सकता है, तो उन्होंने कहा, "हम यह पता लगाने की कोशिश कर रहे हैं." ईमेल की गई प्रतिक्रिया में सीईआरटी ने एफएसएमआई के अकाउंट के बारे में बात करने से इनकार कर दिया. बिग बास्केट ने इस रिपोर्ट के प्रकाशन तक पूछे गए सवालों का जवाब नहीं दिया.
जबकि एफएसएमआई एकमात्र अकाउंट प्रतीत होता है जिसने बिग बास्केट के डेटा उल्लंघन के बारे में टिप्पणी करने वाले एक ट्वीट पर कार्रवाई का सामना किया, वहीं मोबिक्विक के बारे में पोस्ट करने पर कार्रवाई का सामना कर रहे सोशल मीडिया अकाउंटों की संख्या को लेकर विवाद है. मोबिक्विक के डेटा उल्लंघन के बारे में पहली बार एक गुमनाम, लेकिन प्रतिबंधित डेटा डंप के रूप में डार्क वेब पर सामने आया था. इसमें दस करोड़ से अधिक लोगों का नो योर कस्टमर (केवाईसी), व्यक्तिगत विवरण, पैन कार्ड नंबर, आधार नंबर और यहां तक कि पासपोर्ट नंबर का विवरण था. मीडियम में किए पोस्ट में राजाहरिया ने जिक्र किया कि अगले दिन उन्होंने नतीजा निकाला कि डेटा मोबिक्विक से हो सकता है और कंपनी के संस्थापक बिपिन प्रीत सिंह को सतर्क कर दिया. 26 फरवरी को, उन्होंने डेटा उल्लंघन के बारे में ट्वीट किया लेकिन कंपनी का नाम लिए बिना. अगले दिन सीईआरटी ने इसके बारे में विवरण मांगते हुए उनसे संपर्क किया.
4 मार्च को मोबिक्विक ने किसी भी तरह की "सुरक्षा चूक" होने से इनकार करते हुए एक बयान दिया और राजाहरिया का नाम लिए बिना उन्हें "मीडिया सनकी और तथाकथित सुरक्षा शोधकर्ता" कहा. अगले दिन लिंक्डइन ने मोबिक्विक डेटा उल्लंघन के बारे में राजाहरिया के एक पोस्ट को यह कहते हुए हटा दिया कि उनकी पोस्ट "मानहानि कारक" था. मीडिया प्लेटफॉर्म एनट्रैक की एक रिपोर्ट के अनुसार लिंक्डइन के एक प्रवक्ता ने कहा कि “हालांकि हम अपनी गोपनीयता नीति के कारण किसी सदस्य के अकाउंट की बारीकियों पर टिप्पणी नहीं कर सकते. हम केवल यह पुष्टि कर सकते हैं कि अगर कोई कंटेंट हमारी नीतियों का उल्लंघन करता है तो हम उसे हटा देते हैं."
अगले हफ्ते ट्विटर ने पहले 9 मार्च को मोबिक्विक के सिस्टम में एक और दोष के बारे में एक ट्वीट के संबंध में राजाहरिया के अकाउंट को "निजी जानकारी पोस्ट करने" पर लॉक किया. वह पोस्ट उन्होंने 1 मार्च को की थी. राजाहरिया ने इस दोष के बारे में मोबिक्विक और सीईआरटी दोनों को बताया था. इसके बाद 12 मार्च को ट्विटर ने उन्हें एक ईमेल भेजा कि मोबिक्विक ने कहा है कि उनके चार ट्वीट्स भारतीय कानून का उल्लंघन करते हैं. ईमेल में कहा गया है कि ट्विटर उस समय शिकायत की गई सामग्री के बारे में कोई कार्रवाई नहीं कर रहा था.
मार्च के दौरान मोबिक्विक ने लगातार इस बात से इनकार किया कि डेटा उल्लंघन हुआ है बावजूद इसके कि कई स्वतंत्र शोधकर्ता और मीडिया संगठन उल्लंघन और इसकी उत्पत्ति की पुष्टि कर रहे थे. महीने के अंत तक लीक किए गए डेटा सार्वजनिक रूप से टॉर ब्राउजर के माध्यम से तलाशे जा सकते थे. 30 मार्च को कंपनी ने फिर से एक बयान जारी किया और कहा कि वह "इस मामले पर अपेक्षित अधिकारियों के साथ मिलकर काम कर रहे हैं और आरोपों की गंभीरता को देखते हुए तीसरे पक्ष द्वारा एक फोरेंसिक डेटा सुरक्षा ऑडिट का संचालन करेंगे." लेकिन इसी के साथ, फर्म ने ग्राहकों पर इसका दायित्व डालते हुए कहा "यह पूरी तरह से संभव है कि कोई भी उपयोगकर्ता कई प्लेटफार्मों पर अपनी जानकारी अपलोड कर सकता है. इसलिए यह सुझाव देना गलत है कि डार्क वेब पर उपलब्ध डेटा को मोबिक्विक से प्राप्त किया गया है.” समाचार रिपोर्टों के अनुसार 31 मार्च को भारतीय रिजर्व बैंक ने मोबिक्विक को डेटा उल्लंघन का फॉरेंसिक ऑडिट करने का आदेश दिया.
31 मार्च की शाम लगभग 4 बजे ट्विटर ने फिर से एक ट्वीट के लिए राजाहरिया के अकाउंट को लॉक कर दिया, जिसमें बताया गया था कि कैसे पहले उन्होंने उसी महीने मोबीक्विक को बग की सूचना दी थी. राजाहरिया ने मुझे बताया कि उन्होंने ट्वीट को डिलीट कर दिया और ट्विटर ने कुछ घंटों के भीतर उनका अकाउंट बहाल कर दिया. राजाहरिया ने उस दिन मुझे बताया, "जिन्होंने भी मोबिक्विक के बारे में वायरल ट्वीट पोस्ट किए हैं, उनके खिलाफ शिकायतें दर्ज की जा रही हैं." ऐसा नहीं लगता कि उनके दावे में दम नहीं है. एक दिन पहले 30 मार्च को ट्विटर ने बैपटिस्ट के खिलाफ इसी तरह की कार्रवाई की थी. 29 मार्च को बैपटिस्ट ने ट्वीट किया था, “संभवतः इतिहास का सबसे बड़ा केवाईसी डेटा लीक. मोबिक्विक को बधाई… ” बैप्टिस्ट ने बाद में पोस्ट किया कि उन्होंने उक्त ट्वीट को डिलीट कर दिया.
एफएसएमआई, राजाहरिया और बैपटिस्ट द्वारा हाल के हफ्तों में ट्विटर पर साझा किए गए स्क्रीनशॉट से पता चला है कि उन पर कुछ अन्य जानकारी पोस्ट पर ट्विटर के नियमों का उल्लंघन करने का आरोप लगाया गया था. मैंने राजाहरिया से पूछा कि क्या यह संभव है कि जो कोई भी डेटा लीक होने की बात कर रहा है, उसे निजी डेटा साझा करना माना जाए. "नहीं, मुझे नहीं लगता कि यह संभव है," उन्होंने जवाब दिया. "मेरा पूरा ट्विटर इससे भरा हुआ है. मेरा कोई भी ट्वीट बिना डेटा लीक का उल्लेख किए नहीं है." उन्होंने कहा, "लेकिन केवल मोबिक्विक ने मेरे खिलाफ शिकायत की है, इससे पहले किसी कंपनी ने ऐसा नहीं किया है." हमने मोबिक्विक से संपर्क करने के कई प्रयास किए जिसका कोई जवाब नहीं मिला. राजाहरिया और बैपटिस्ट के अकाउंटों के खिलाफ कार्रवाई के बारे में पूछे जाने वाले सवालों पर ट्विटर ने टिप्पणी करने से इनकार कर दिया.
दिलचस्प बात यह है कि 3 अप्रैल को एक अनाम निजता अधिकार कार्यकर्ता "DissentDoe, PHD," नामक ट्विटर अकाउंट ने पोस्ट किया था कि एक अनाम उपयोगकर्ता ने मोबिक्विक के बारे में ब्लॉग पोस्ट को हटाने कोशिश की थी. 2019 में जब उन्होंने रिपोर्ट दी कि उनके कॉरपोरेट क्लाइंट्स के तीन लाख कर्मचारियों के काउंसलिंग संबंधी डेटा लीक हो गए हैं तो उन पर काउंसलिंग और वेलनेस सर्विसेस फर्म 1 टू 1 हैल्प ने मुकदमा दायर कर दिया.
साइबर सुरक्षा शोधकर्ताओं के खिलाफ कार्रवाई सोशल मीडिया अकाउंटों की रिपोर्ट करके आलोचना पर अंकुश लगाने वाले भारतीय कॉरपोरेट्स के एक नए उभरते हुए स्वरूप को दर्शाती है. इसका सबसे जाना-माना उदाहरण शिक्षा प्रौद्योगिकी फर्म व्हाइटहेट जूनियर का जान पड़ता है. इंजीनियर प्रदीप पूनिया और आईवीएफ विशेषज्ञ अनिरुद्ध मालपानी ने पिछले साल विभिन्न प्लेटफार्मों पर कई पोस्टों के माध्यम से व्हाइटहेट जूनियर के संचालन की आलोचना की थी. उनके कई पोस्टों को प्लेटफॉर्म द्वारा हटा दिया गया था. अंततः व्हाइटहेट जूनियर उन्हें अन्य आरोपों के साथ मानहानि, कॉपीराइट उल्लंघन के लिए अदालत में ले गया. पूनिया का ट्विटर अकाउंट बंद कर दिया गया था जबकि मालपानी को लिंक्डइन से स्थायी रूप से प्रतिबंधित कर दिया गया. मामला फिलहाल अदालत में है.
मैंने मालपानी से पूछा कि क्या उन्हें व्हाइटहेट जूनियर मामले और हाल के तीन मामलों में कोई समानता नजर आती है. “मुझे लगता है कि यह एक प्रवृत्ति बन गई है. सबसे बुरी बात यह है कि इस तरह आप असहमति को खामोश करते हैं,” उन्होंने कहा. शोधकर्ता कोदली ने कहा, "मेरी समझ से निजी कंपनियों ने यह पता लगा लिया है कि वह अपने ग्राहक के खिलाफ किसी भी असंतोष को कैसे रोक सकते हैं." उन्होंने कहा, "यदि डेटा उल्लंघन होता है, तो निजता को लेकर सतर्क रहने वाले लोगों के लिए ब्रांड का मूल्य कम हो जाता है. वह प्लेटफार्मों का उपयोग करना बंद कर सकते हैं.”
आईएफएफ के गुप्ता ने अकाउंटों के खिलाफ ट्विटर की कार्रवाई की प्रकिया को दोषपूर्ण और मनमाना बताया है. "निजी कंपनियां इस दोषपूर्ण और क्षत-विक्षत प्रणाली का उपयोग ऐसे दावे ठोकने के लिए कह रही हैं जो पहले बौद्धिक संपदा के दावे थे," उन्होंने कहा. उन्होंने टाटा बनाम टर्टल का उदाहरण दिया. टर्टल गेम को 2010 में ओडिशा में टाटा के काम के प्रभाव को प्रदर्शित करने के लिए पर्यावरण की पैरवी करने वाले संगठन ग्रीनपीस द्वारा बनाया गया था. ओडिशा ओलिव रिडले कछुओं के वास स्थलों के लिए जाना जाता है. गेम में टाटा के लोगो का इस्तेमाल किया गया था. कंपनी ने मानहानि का मुकदमा दायर किया और गेम को हटाने के लिए बौद्धिक संपदा अधिकारों का दावा किया.
गुप्ता ने कहा कि हाल के तीन उदाहरणों में से कोई भी ऐसी किसी भी श्रेणी में नहीं आता है जिसे ट्विटर निजी जानकारी के उल्लंघन के रूप में सूचीबद्ध करता है. उन्होंने ट्विटर नियमों में एक वाक्य का उल्लेख किया : "हम दूसरों की निजी जानकारी को उजागर करने की धमकी देने या ऐसा करने के लिए दूसरों प्रोत्साहित करने पर रोक लगाते हैं." गुप्ता ने कहा, “तीनों अकाउंटों में से कोई भी ऐसा नहीं करता है. उनका उद्देश्य इसके विपरीत है यानी वे चाहते हैं कि निजी जानकारी आगे और अधिक उजागर न हो और वे लाखों भारतीयों को यह बताते हैं कि उनके डेटा लीक हो चुके हैं. सच्चाई यह है कि इन तीन ट्विटर अकाउंटों के बिना, यह मुद्दा एक सार्वजनिक मुद्दा नहीं बन पाता."
कोदली, जो एफएसएमआई में एक वॉलेंटियर भी हैं, ने कहा कि सुरक्षा शोधकर्ता डेटा उल्लंघनों जैसे मुद्दों को उजागर करने में बड़ी भूमिका निभा रहे थे. "अगर सीईआरटी को कोई शिकायत है, तो उन्हें कार्रवाई करनी चाहिए," उन्होंने कहा. "लोगों को बताकर, उन्हें इसे समझने और अदालतों से संपर्क करने की अनुमति देकर भला सुरक्षा शोधकर्ता क्या गलत कर रहा है."
चंद्रा ने बताया कि सीईआरटी ने बिग बास्केट के बारे में उनकी शिकायत का जवाब नहीं दिया था, हालांकि इसका खुद का चार्टर कहता है कि वह दो दिनों में जवाब देगा. "आप जवाबदेही से बच नहीं सकते. यह रवैया वास्तव में भारतीय लोकतंत्र के लिए खतरनाक है.” 30 मार्च को एफएसएमआई ने मोबिक्विक डेटा लीक के बारे में सीईआरटी को शिकायत दर्ज की थी.
गुप्ता ने यह भी बताया कि वर्तमान में एक संयुक्त संसदीय समिति द्वारा विचार किए जा रहे डेटा संरक्षण विधेयक के मसौदे में उन कंपनियों पर स्पष्ट दायित्व नहीं डाला गया है जो डेटा उल्लंघन करती हैं या ऐसा कोई मानदंड नहीं बनाया गया है जहां उन्हें उपयोगकर्ताओं को सूचित करने की आवश्यकता हो. राजाहरिया ने मुझे बताया कि वास्तव में कंपनियां डेटा उल्लंघनों पर पर्दा डालने के लिए अपने बग बाउंटी का उपयोग करती हैं. “वह जो बाउंटी देते हैं, उसे अपने नियम और शर्तों में लिखते हैं, कि आप जो भी यहां पोस्ट कर रहे हैं, आप उसके बारे में किसी को भी सूचित नहीं करेंगे. आपको अपने सबूत मिटाने होंगे.” उन्होंने कहा, "इसलिए, उनका अंतिम लक्ष्य सभी सूचनाओं को हटाना और उपयोगकर्ताओं कुछ भी पता न चले होता है."