Thanks for reading The Caravan. If you find our work valuable, consider subscribing or contributing to The Caravan.
13 अप्रैल को फ्री सॉफ्टवेयर मूवमेंट ऑफ इंडिया के सोशल मीडिया प्लेटफॉर्म को लॉक कर दिया गया और 17 दिनों बाद दुबारा अनलॉक किया गया. यह मुफ्त सॉफ्टवेयरों को अपनाने की वकालत करने वाले संगठनों का गठबंधन है. ट्विटर ने 27 मार्च के एक ट्वीट के चलते एफएसएमआई के अकांउट को ब्लॉक किया था जिसमें इंटरनेट पर सामान बेचने वाले बिग बास्केट द्वारा ग्राहकों की डेटा सुरक्षा के उल्लंघन की बात थी. 30 मार्च को फ्रांस स्थित साइबर सुरक्षा विशेषज्ञ रॉबर्ट बैपटिस्ट, जो ट्विटर पर इलियट एल्डरसन नाम से जाने जाते हैं, का अकाउंट भी मोबिक्विक के डिजिटल भुगतान प्लेटफॉर्म से डेटा उल्लंघन की बात करने पर बंद कर दिया गया. इसके अगले दिन एक अन्य साइबर सुरक्षा शोधकर्ता राजशेखर राजाहरिया के अकाउंट को भी मोबिक्विक के डेटा उल्लंघन के बारे में ट्वीट करने पर बंद कर दिया गया. मोबिक्विक ने लगभग दस करोड़ उपयोगकर्ताओं के व्यक्तिगत डेटा की सुरक्षा से समझौता किया था. एक महीने में दूसरी बार मोबिक्विक के बारे में ट्वीट करने पर राजाहरिया के अकाउंट को बंद कर दिया गया था. प्रत्येक बार ट्विटर ने बताया कि उनके ट्वीट ने "निजी जानकारी पोस्ट" संबंधित नियमों का उल्लंघन किया है.
बैपटिस्ट और राजाहरिया के अकाउंट को 12 घंटे में बहाल कर दिया गया और दोनों ने वे ट्वीट भी हटा दिए. राजाहरिया ने एक स्क्रीनशॉट साझा किया, जिसमें दिखाया गया कि ट्विटर की निजी सूचना नीति का उल्लंघन करने के लिए उनके अकाउंट को 12 घंटे के लिए बंद कर दिया गया था. एफएमएसआई, जिसके अकाउंट को एक ट्वीट के लिए 12 दिसंबर 2020 को बंद कर दिया गया था, ने पोस्ट को नहीं हटाया तो ट्विटर ने ही बाद में उस ट्वीट को हटा दिया. यह अजीब बात है कि एफएसएमआई द्वारा 11 नवंबर को किया गया एक और ट्वीट, जो उसी सामग्री को संदर्भित करता है, उनके अकाउंट पर दिखाई दे रहा है.
प्रत्येक मामले में यह स्पष्ट नहीं हो सका कि डेटा उल्लंघनों के बारे में किए गए ट्वीट्स ने "निजी जानकारी पोस्ट करने" संबंधी किन नियमों का उल्लंघन किया है. यह भी नहीं पता चलता है कि ट्विटर ने ये कार्रवाइयां अपने आप की थी या उसे किसी ने ऐसा करने को कहा था. 31 मार्च को कारवां के एक ईमेल के जवाब में, ट्विटर ने उन सवालों के जवाब नहीं दिए जिसमें पूछा गया था कि एफएसएमआई के अकाउंट के बारे में किसने रिपोर्ट की थी. ट्विटर ने केवल यही कहा, "निजी सूचना नीति के उल्लंघन के लिए संदर्भित अकाउंट पर सही ढंग से कार्रवाई की गई थी." हालांकि, 13 अप्रैल को ट्विटर ने एफएसएमआई को एक ईमेल भेजा जिसमें बताया गया कि उनका अकाउंट बहाल कर दिया गया है और स्वीकार किया कि "आपके अकाउंट की समीक्षा करने के बाद ऐसा लगता है कि हमसे गलती हुई है."
साइबर सुरक्षा से जुड़े शोधकर्ताओं और विशेषज्ञों ने मुझे बताया कि एफएसएमआई, राजाहरिया और बैपटिस्ट द्वारा संचालित अकाउंटों ने लोगों को यह बता कर कि किस तरह उनकी निजी जानकारी को उजागर किया जा सकता है जन सेवा का अपना कर्तव्य निभाया है. डिजिटल अधिकारों की पैरवी करने वाले समूह इंटरनेट फ्रीडम फाउंडेशन के कार्यकारी निदेशक अपार गुप्ता ने कहा कि निजी जानकारी पोस्ट करने के खिलाफ नियमों का हवाला देते हुए उनके अकाउंटों को लॉक करना "तर्क के मुंह पर तमाचा है." मैंने जिन विशेषज्ञों से बात की. उन्होंने कहा कि अस्पष्ट सोसल मीडिया नीतियां निजी कंपनियों को किसी भी ऐसे अकाउंट की शिकायत करने की अनुमति दे सकती हैं जो उनके व्यवसाय पर प्रतिकूल प्रभाव डालता है. डेटा और इंटरनेट के एक शोधकर्ता श्रीनिवास कोदली ने कहा, "ट्विटर के नियमों के साथ कोई भी खिलवाड़ कर सकता है."
एफएसएमआई की महासचिव किरण चंद्रा का मानना है कि ट्विटर की कार्रवाई "हर उस शख्स को खामोश करने के लिए है जो डेटा उल्लंघनों के बारे में कुछ भी पूछ रहा है." समाचार रिपोर्टों के मुताबिक, बिग बास्केट द्वारा डेटा उल्लंघन का पता पहली बार 30 अक्टूबर को एक साइबर खुफिया फर्म साइबल ने लगाया था. इसने बताया कि कम से कम दो करोड़ ग्राहकों की व्यक्तिगत जानकारी (नाम, ईमेल आईडी, पासवर्ड हैश, फोन नंबर, पूरा पता, जन्मतिथि, स्थान और आईपी एड्रेस) 40000 अमरीकी डॉलर की कीमत पर डार्क वेब में बिक्री के डाली गई थी. बिग बास्केट को सूचित करने के बाद, साइबल ने 7 नवंबर को डेटा उल्लंघन को सार्वजनिक किया, जिसकी पुष्टि बिग बास्केट ने दो दिन बाद जारी एक बयान में की. 11 नवंबर को एफएसएमआई ने इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय को कंप्यूटर इमरजेंसी रिस्पांस टीम या सीईआरटी को सुरक्षा चूक की जांच करने के लिए लिखा था. सूचना प्रौद्योगिकी अधिनियम 2000 के अनुसार, सीईआरटी का कामसाइबर सुरक्षा घटनाओं पर जानकारी एकत्र करने, विश्लेषण और प्रसार करने और ऐसी घटनाओं से निपटने के लिए उचित उपाय मुहैया कराना है.
एफएसएमआई का पत्र सीईआरटी के जन शिकायत अधिकारी अजय लकड़ा से अनुरोध करता है कि "इस घटना की जांच शुरू करे और नागरिकों को अपडेट दे." एफएसएमआई ने उसी दिन ट्विटर पर यह पत्र पोस्ट किया. 12 दिसंबर को एफएसएमआई ने ट्वीट किया, “एक महीने से अधिक समय हो गया है और हमें बिग बास्केट डेटा उल्लंघन की जांच करने के लिए @IndianCERT से कोई पावती या प्रतिक्रिया नहीं मिली है. सीईआरटी-इन के लिए आवश्यक है कि वह दो दिनों में नागरिक शिकायतों को स्वीकार करे और 30 दिनों के भीतर इसे अपने नागरिक चार्टर के अनुसार हल करे.” 27 मार्च को ट्विटर ने 12 दिसंबर के ट्वीट के आधार पर एफएसएमआई के अकाउंट को लॉक कर दिया और उसे हटा दिया. हालांकि, 11 नवंबर के ट्वीट में पत्र का लिंक अकाउंट पर था.
चंद्रा ने मुझे बताया कि ट्विटर ने संगठन को चेतावनी नहीं दी या अकाउंट बंद करने से पहले स्पष्टीकरण नहीं मांगा. “ट्वीट अब गायब है. इसमें कोई निजी जानकारी नहीं है,” उन्होंने कहा कि एफएसएमआई को ट्विटर ने ईमेल में ट्वीट को डिलीट करने के लिए कहा ताकि अकाउंट को अनलॉक किया जा सके या इसे लॉक करने के निर्णय के बारे में अपील की जा सके. चंद्रा ने मुझे बताया कि एफएसएमआई ने 30 मार्च को अपील करने का की सोची थी लेकिन ट्विटर ने उन्हें प्रतिक्रिया देने की समय सीमा नहीं दी. गौरतलब है कि 3 अप्रैल को ट्विटर ने एफएसएमआई की अपील को अस्वीकार कर लिया. चंद्रा ने मुझे बताया कि दो दिन बाद एफएसएमआई ने मंच के खिलाफ कानूनी नोटिस दायर किया. इसके बाद 13 अप्रैल को एफएसएमआई के अकाउंट को बहाल कर दिया गया और ट्विटर ने एफएसएमआई को ईमेल करके "किसी भी असुविधा के लिए माफी मांगी."
चंद्रा ने यह भी कहा कि यह अजीब था कि ट्वीट पोस्ट किए जाने के तीन महीने बाद कार्रवाई की गई. 12 मार्च को द हिंदू ने अपनी एक रिपोर्ट में बताया कि टाटा समूह बिग बास्केट में 64.3 प्रतिशत हिस्सेदारी हासिल करेगा. वर्तमान में हरि मेनन कंपनी के मालिक हैं, जिनके ससुर ई. श्रीधरन केरल विधानसभा चुनाव में भारतीय जनता पार्टी के टिकट पर लड़ रहे हैं. जब मैंने चंद्रा से पूछा कि उनके अकाउंट के खिलाफ शिकायत कौन कर सकता है, तो उन्होंने कहा, "हम यह पता लगाने की कोशिश कर रहे हैं." ईमेल की गई प्रतिक्रिया में सीईआरटी ने एफएसएमआई के अकाउंट के बारे में बात करने से इनकार कर दिया. बिग बास्केट ने इस रिपोर्ट के प्रकाशन तक पूछे गए सवालों का जवाब नहीं दिया.
जबकि एफएसएमआई एकमात्र अकाउंट प्रतीत होता है जिसने बिग बास्केट के डेटा उल्लंघन के बारे में टिप्पणी करने वाले एक ट्वीट पर कार्रवाई का सामना किया, वहीं मोबिक्विक के बारे में पोस्ट करने पर कार्रवाई का सामना कर रहे सोशल मीडिया अकाउंटों की संख्या को लेकर विवाद है. मोबिक्विक के डेटा उल्लंघन के बारे में पहली बार एक गुमनाम, लेकिन प्रतिबंधित डेटा डंप के रूप में डार्क वेब पर सामने आया था. इसमें दस करोड़ से अधिक लोगों का नो योर कस्टमर (केवाईसी), व्यक्तिगत विवरण, पैन कार्ड नंबर, आधार नंबर और यहां तक कि पासपोर्ट नंबर का विवरण था. मीडियम में किए पोस्ट में राजाहरिया ने जिक्र किया कि अगले दिन उन्होंने नतीजा निकाला कि डेटा मोबिक्विक से हो सकता है और कंपनी के संस्थापक बिपिन प्रीत सिंह को सतर्क कर दिया. 26 फरवरी को, उन्होंने डेटा उल्लंघन के बारे में ट्वीट किया लेकिन कंपनी का नाम लिए बिना. अगले दिन सीईआरटी ने इसके बारे में विवरण मांगते हुए उनसे संपर्क किया.
4 मार्च को मोबिक्विक ने किसी भी तरह की "सुरक्षा चूक" होने से इनकार करते हुए एक बयान दिया और राजाहरिया का नाम लिए बिना उन्हें "मीडिया सनकी और तथाकथित सुरक्षा शोधकर्ता" कहा. अगले दिन लिंक्डइन ने मोबिक्विक डेटा उल्लंघन के बारे में राजाहरिया के एक पोस्ट को यह कहते हुए हटा दिया कि उनकी पोस्ट "मानहानि कारक" था. मीडिया प्लेटफॉर्म एनट्रैक की एक रिपोर्ट के अनुसार लिंक्डइन के एक प्रवक्ता ने कहा कि “हालांकि हम अपनी गोपनीयता नीति के कारण किसी सदस्य के अकाउंट की बारीकियों पर टिप्पणी नहीं कर सकते. हम केवल यह पुष्टि कर सकते हैं कि अगर कोई कंटेंट हमारी नीतियों का उल्लंघन करता है तो हम उसे हटा देते हैं."
अगले हफ्ते ट्विटर ने पहले 9 मार्च को मोबिक्विक के सिस्टम में एक और दोष के बारे में एक ट्वीट के संबंध में राजाहरिया के अकाउंट को "निजी जानकारी पोस्ट करने" पर लॉक किया. वह पोस्ट उन्होंने 1 मार्च को की थी. राजाहरिया ने इस दोष के बारे में मोबिक्विक और सीईआरटी दोनों को बताया था. इसके बाद 12 मार्च को ट्विटर ने उन्हें एक ईमेल भेजा कि मोबिक्विक ने कहा है कि उनके चार ट्वीट्स भारतीय कानून का उल्लंघन करते हैं. ईमेल में कहा गया है कि ट्विटर उस समय शिकायत की गई सामग्री के बारे में कोई कार्रवाई नहीं कर रहा था.
मार्च के दौरान मोबिक्विक ने लगातार इस बात से इनकार किया कि डेटा उल्लंघन हुआ है बावजूद इसके कि कई स्वतंत्र शोधकर्ता और मीडिया संगठन उल्लंघन और इसकी उत्पत्ति की पुष्टि कर रहे थे. महीने के अंत तक लीक किए गए डेटा सार्वजनिक रूप से टॉर ब्राउजर के माध्यम से तलाशे जा सकते थे. 30 मार्च को कंपनी ने फिर से एक बयान जारी किया और कहा कि वह "इस मामले पर अपेक्षित अधिकारियों के साथ मिलकर काम कर रहे हैं और आरोपों की गंभीरता को देखते हुए तीसरे पक्ष द्वारा एक फोरेंसिक डेटा सुरक्षा ऑडिट का संचालन करेंगे." लेकिन इसी के साथ, फर्म ने ग्राहकों पर इसका दायित्व डालते हुए कहा "यह पूरी तरह से संभव है कि कोई भी उपयोगकर्ता कई प्लेटफार्मों पर अपनी जानकारी अपलोड कर सकता है. इसलिए यह सुझाव देना गलत है कि डार्क वेब पर उपलब्ध डेटा को मोबिक्विक से प्राप्त किया गया है.” समाचार रिपोर्टों के अनुसार 31 मार्च को भारतीय रिजर्व बैंक ने मोबिक्विक को डेटा उल्लंघन का फॉरेंसिक ऑडिट करने का आदेश दिया.
31 मार्च की शाम लगभग 4 बजे ट्विटर ने फिर से एक ट्वीट के लिए राजाहरिया के अकाउंट को लॉक कर दिया, जिसमें बताया गया था कि कैसे पहले उन्होंने उसी महीने मोबीक्विक को बग की सूचना दी थी. राजाहरिया ने मुझे बताया कि उन्होंने ट्वीट को डिलीट कर दिया और ट्विटर ने कुछ घंटों के भीतर उनका अकाउंट बहाल कर दिया. राजाहरिया ने उस दिन मुझे बताया, "जिन्होंने भी मोबिक्विक के बारे में वायरल ट्वीट पोस्ट किए हैं, उनके खिलाफ शिकायतें दर्ज की जा रही हैं." ऐसा नहीं लगता कि उनके दावे में दम नहीं है. एक दिन पहले 30 मार्च को ट्विटर ने बैपटिस्ट के खिलाफ इसी तरह की कार्रवाई की थी. 29 मार्च को बैपटिस्ट ने ट्वीट किया था, “संभवतः इतिहास का सबसे बड़ा केवाईसी डेटा लीक. मोबिक्विक को बधाई… ” बैप्टिस्ट ने बाद में पोस्ट किया कि उन्होंने उक्त ट्वीट को डिलीट कर दिया.
एफएसएमआई, राजाहरिया और बैपटिस्ट द्वारा हाल के हफ्तों में ट्विटर पर साझा किए गए स्क्रीनशॉट से पता चला है कि उन पर कुछ अन्य जानकारी पोस्ट पर ट्विटर के नियमों का उल्लंघन करने का आरोप लगाया गया था. मैंने राजाहरिया से पूछा कि क्या यह संभव है कि जो कोई भी डेटा लीक होने की बात कर रहा है, उसे निजी डेटा साझा करना माना जाए. "नहीं, मुझे नहीं लगता कि यह संभव है," उन्होंने जवाब दिया. "मेरा पूरा ट्विटर इससे भरा हुआ है. मेरा कोई भी ट्वीट बिना डेटा लीक का उल्लेख किए नहीं है." उन्होंने कहा, "लेकिन केवल मोबिक्विक ने मेरे खिलाफ शिकायत की है, इससे पहले किसी कंपनी ने ऐसा नहीं किया है." हमने मोबिक्विक से संपर्क करने के कई प्रयास किए जिसका कोई जवाब नहीं मिला. राजाहरिया और बैपटिस्ट के अकाउंटों के खिलाफ कार्रवाई के बारे में पूछे जाने वाले सवालों पर ट्विटर ने टिप्पणी करने से इनकार कर दिया.
दिलचस्प बात यह है कि 3 अप्रैल को एक अनाम निजता अधिकार कार्यकर्ता "DissentDoe, PHD," नामक ट्विटर अकाउंट ने पोस्ट किया था कि एक अनाम उपयोगकर्ता ने मोबिक्विक के बारे में ब्लॉग पोस्ट को हटाने कोशिश की थी. 2019 में जब उन्होंने रिपोर्ट दी कि उनके कॉरपोरेट क्लाइंट्स के तीन लाख कर्मचारियों के काउंसलिंग संबंधी डेटा लीक हो गए हैं तो उन पर काउंसलिंग और वेलनेस सर्विसेस फर्म 1 टू 1 हैल्प ने मुकदमा दायर कर दिया.
साइबर सुरक्षा शोधकर्ताओं के खिलाफ कार्रवाई सोशल मीडिया अकाउंटों की रिपोर्ट करके आलोचना पर अंकुश लगाने वाले भारतीय कॉरपोरेट्स के एक नए उभरते हुए स्वरूप को दर्शाती है. इसका सबसे जाना-माना उदाहरण शिक्षा प्रौद्योगिकी फर्म व्हाइटहेट जूनियर का जान पड़ता है. इंजीनियर प्रदीप पूनिया और आईवीएफ विशेषज्ञ अनिरुद्ध मालपानी ने पिछले साल विभिन्न प्लेटफार्मों पर कई पोस्टों के माध्यम से व्हाइटहेट जूनियर के संचालन की आलोचना की थी. उनके कई पोस्टों को प्लेटफॉर्म द्वारा हटा दिया गया था. अंततः व्हाइटहेट जूनियर उन्हें अन्य आरोपों के साथ मानहानि, कॉपीराइट उल्लंघन के लिए अदालत में ले गया. पूनिया का ट्विटर अकाउंट बंद कर दिया गया था जबकि मालपानी को लिंक्डइन से स्थायी रूप से प्रतिबंधित कर दिया गया. मामला फिलहाल अदालत में है.
मैंने मालपानी से पूछा कि क्या उन्हें व्हाइटहेट जूनियर मामले और हाल के तीन मामलों में कोई समानता नजर आती है. “मुझे लगता है कि यह एक प्रवृत्ति बन गई है. सबसे बुरी बात यह है कि इस तरह आप असहमति को खामोश करते हैं,” उन्होंने कहा. शोधकर्ता कोदली ने कहा, "मेरी समझ से निजी कंपनियों ने यह पता लगा लिया है कि वह अपने ग्राहक के खिलाफ किसी भी असंतोष को कैसे रोक सकते हैं." उन्होंने कहा, "यदि डेटा उल्लंघन होता है, तो निजता को लेकर सतर्क रहने वाले लोगों के लिए ब्रांड का मूल्य कम हो जाता है. वह प्लेटफार्मों का उपयोग करना बंद कर सकते हैं.”
आईएफएफ के गुप्ता ने अकाउंटों के खिलाफ ट्विटर की कार्रवाई की प्रकिया को दोषपूर्ण और मनमाना बताया है. "निजी कंपनियां इस दोषपूर्ण और क्षत-विक्षत प्रणाली का उपयोग ऐसे दावे ठोकने के लिए कह रही हैं जो पहले बौद्धिक संपदा के दावे थे," उन्होंने कहा. उन्होंने टाटा बनाम टर्टल का उदाहरण दिया. टर्टल गेम को 2010 में ओडिशा में टाटा के काम के प्रभाव को प्रदर्शित करने के लिए पर्यावरण की पैरवी करने वाले संगठन ग्रीनपीस द्वारा बनाया गया था. ओडिशा ओलिव रिडले कछुओं के वास स्थलों के लिए जाना जाता है. गेम में टाटा के लोगो का इस्तेमाल किया गया था. कंपनी ने मानहानि का मुकदमा दायर किया और गेम को हटाने के लिए बौद्धिक संपदा अधिकारों का दावा किया.
गुप्ता ने कहा कि हाल के तीन उदाहरणों में से कोई भी ऐसी किसी भी श्रेणी में नहीं आता है जिसे ट्विटर निजी जानकारी के उल्लंघन के रूप में सूचीबद्ध करता है. उन्होंने ट्विटर नियमों में एक वाक्य का उल्लेख किया : "हम दूसरों की निजी जानकारी को उजागर करने की धमकी देने या ऐसा करने के लिए दूसरों प्रोत्साहित करने पर रोक लगाते हैं." गुप्ता ने कहा, “तीनों अकाउंटों में से कोई भी ऐसा नहीं करता है. उनका उद्देश्य इसके विपरीत है यानी वे चाहते हैं कि निजी जानकारी आगे और अधिक उजागर न हो और वे लाखों भारतीयों को यह बताते हैं कि उनके डेटा लीक हो चुके हैं. सच्चाई यह है कि इन तीन ट्विटर अकाउंटों के बिना, यह मुद्दा एक सार्वजनिक मुद्दा नहीं बन पाता."
कोदली, जो एफएसएमआई में एक वॉलेंटियर भी हैं, ने कहा कि सुरक्षा शोधकर्ता डेटा उल्लंघनों जैसे मुद्दों को उजागर करने में बड़ी भूमिका निभा रहे थे. "अगर सीईआरटी को कोई शिकायत है, तो उन्हें कार्रवाई करनी चाहिए," उन्होंने कहा. "लोगों को बताकर, उन्हें इसे समझने और अदालतों से संपर्क करने की अनुमति देकर भला सुरक्षा शोधकर्ता क्या गलत कर रहा है."
चंद्रा ने बताया कि सीईआरटी ने बिग बास्केट के बारे में उनकी शिकायत का जवाब नहीं दिया था, हालांकि इसका खुद का चार्टर कहता है कि वह दो दिनों में जवाब देगा. "आप जवाबदेही से बच नहीं सकते. यह रवैया वास्तव में भारतीय लोकतंत्र के लिए खतरनाक है.” 30 मार्च को एफएसएमआई ने मोबिक्विक डेटा लीक के बारे में सीईआरटी को शिकायत दर्ज की थी.
गुप्ता ने यह भी बताया कि वर्तमान में एक संयुक्त संसदीय समिति द्वारा विचार किए जा रहे डेटा संरक्षण विधेयक के मसौदे में उन कंपनियों पर स्पष्ट दायित्व नहीं डाला गया है जो डेटा उल्लंघन करती हैं या ऐसा कोई मानदंड नहीं बनाया गया है जहां उन्हें उपयोगकर्ताओं को सूचित करने की आवश्यकता हो. राजाहरिया ने मुझे बताया कि वास्तव में कंपनियां डेटा उल्लंघनों पर पर्दा डालने के लिए अपने बग बाउंटी का उपयोग करती हैं. “वह जो बाउंटी देते हैं, उसे अपने नियम और शर्तों में लिखते हैं, कि आप जो भी यहां पोस्ट कर रहे हैं, आप उसके बारे में किसी को भी सूचित नहीं करेंगे. आपको अपने सबूत मिटाने होंगे.” उन्होंने कहा, "इसलिए, उनका अंतिम लक्ष्य सभी सूचनाओं को हटाना और उपयोगकर्ताओं कुछ भी पता न चले होता है."