17 अप्रैल 2018 को पुणे पुलिस ने प्रसिद्ध बंदी अधिकार कार्यकर्ता रोना विल्सन के दिल्ली स्थित घर पर छापा मारा और उस वर्ष जनवरी में भीमा कोरेगांव स्मारक पर हुई हिंसा में उनकी कथित भूमिका के लिए उन्हें गिरफ्तार कर लिया. कुछ महीने बाद पुलिस ने दावा किया कि उसे विल्सन के कंप्यूटर की हार्ड डिस्क से एक पत्र मिला था जिसमें प्रधानमंत्री नरेंद्र मोदी की हत्या और "सरकार को उखाड़ फेंकने" के लिए "नक्सल" साजिश का विवरण था. कारवां ने विल्सन की उस हार्ड डिस्क की सामग्री की साइबर-फोरेंसिक जांच की, जिसकी एक प्रति पुणे पुलिस ने अदालत में पेश की और सभी आरोपियों को उपलब्ध कराई थी. हमारी जांच से पता चला कि डिस्क में मैलवेयर थे जिनका उपयोग दूर से ही कंप्यूटर और प्लांट फाइलों तक पहुंच पाने के लिए किया जा सकता है. हमने कई अन्य विसंगतियां भी पाईं, जो मामले में सबूतों के हेरफेर की ओर इशारा करती हैं.
पुणे पुलिस ने डिस्क पर पाए गए पत्रों और साथ ही मानवाधिकार वकील सुरेंद्र गडलिंग से जब्त हार्ड डिस्क का इस्तेमाल भीमा कोरेगांव मामले में दायर की गई चार्जशीट में प्राथमिक सबूत के रूप में किया था. गडलिंग को जून में गिरफ्तार कर लिया गया था. पुलिस अब तक नौ प्रमुख कार्यकर्ताओं और विद्वानों को गिरफ्तार कर चुकी है, जिनके बारे में आरोप है कि या तो इन्होंने इन पत्रों को लिखा था या पत्रों में उनका उल्लेख है, जिसमें विल्सन और गडलिंग भी शामिल हैं. 14 दिसंबर 2019 को हमने गडलिंग की डिस्क की इसी तरह की गई जांच के दौरान पाई गई कई विसंगतियों की रिपोर्ट की थी, जिसमें यह भी संकेत दिया गया था कि पत्रों को बाद में डिस्क में डाला जा सकता था. विल्सन के मामले में, पुलिस ने कोर्ट को उनकी हार्ड डिस्क की एक असली क्लोन कॉपी दी, गडलिंग के मामले में, पुलिस ने उनकी डिस्क में पाई गई केवल दोषी ठहराने वाली फाइलों को ही प्रस्तुत किया. जब तक पुलिस गडलिंग की हार्ड डिस्क का क्लोन उपलब्ध नहीं कराती है, तब तक यह बताना असंभव है कि यह भी किसी मैलवेयर के चलते किया गया था या नहीं.
विल्सन की डिस्क की सामग्री की जांच करते समय, हमें विन32 से संक्रमित एक एक्सक्यूटेबल फाइल मिली. विन32 ट्रोजन-जेन मैलवेयर है जो उपयोगकर्ता का नाम और पासवर्ड जैसी जानकारी की चोरी करने की अनुमति दे सकता है और इससे भी ज्यादा जरूरी यह कि कंप्यूटर तक दूरस्थ पहुंच की अनुमति देता है, जिससे किसी कंप्यूटर में दूर से ही किसी फाइल को प्लांट किया जा सकता है. हमने पाया कि जैसे ही कंप्यूटर चालू होता है एक्सक्यूटेबल फाइलें खुद ही लांच होनी शुरू हो जाती हैं जिससे इस बात पर कोई शक नहीं रह गया कि पुणे पुलिस द्वारा जब्त करने से पहले विल्सन के कंप्यूटर पर मैलवेयर काम कर रहा था. मैलवेयर को प्लांट करने के कई तरीके हैं, ईमेल या त्वरित संदेशों के माध्यम से भेजे गए लिंक पर क्लिक कर देने भर से मैलवेयर प्लांट किया जा सकता है.
पिछले साल दिसंबर में, द वायर ने बताया कि भीमा कोरेगांव मामले से जुड़े कई वकीलों और कार्यकर्ताओं, जिनमें दलित-अधिकार कार्यकर्ता डिग्री प्रसाद चौहान और मानवाधिकार वकील निहालसिंह राठौड़ शामिल हैं को ऐसे ईमेल और संदेश मिले हैं, जिनमें मैलवेयर हैं और संभवत: जो उनके कंप्यूटर की जासूसी करते थे. रिपोर्ट में कहा गया कि मानव अधिकार समूह एमनेस्टी इंटरनेशनल की डिजिटल-सुरक्षा टीम एमनेस्टी टेक ने ईमेल का विश्लेषण किया और पाया कि मैलवेयर को एक लिंक के माध्यम से भेजा गया था जिसे प्राप्तकर्ता को खोलना था. रिपोर्ट में कहा गया है, "इन ईमेलों को विशेष रूप से पत्रकारों या कार्यकर्ताओं को फंसाने के लिए तैयार किया गया था." उदाहरण के लिए, 6 अक्टूबर को, राठौड़ को किसी मुसकान सिन्हा का ईमेल मिला. ईमेल का विषय था "केस नं 1621/18 समन्स इन एआरसन केस जगदलपुर." द वायर की रिपोर्ट के अनुसार, एमनेस्टी टेक बताती है, "एक बार आपके डिवाइस पर मैलवेयर इंस्टॉल हो जाने के बाद, हमलावर के पास आपके कंप्यूटर की पूरी पहुंच और नियंत्रण होता है: आपकी सभी फाइलों और आपके कैमरे तक पहुंच होती है, यह स्क्रीनशॉट ले सकता है, और आपके द्वारा अपने कीबोर्ड पर टाइप की गई हर चीज को रिकॉर्ड कर सकता है.”
कारवां ने विल्सन की डिस्क पर अन्य साइबर फोरेंसिक जांचें की जिससे और भी गंभीर विसंगतियों का पता चला. इंटरनल हार्ड डिस्क में छेड़छाड़ की गई है या नहीं इसे बताने वाला एक महत्वपूर्ण संकेतक है शेलबैग इंनफॉरमेशन, जो कंप्यूटर द्वारा स्वचालित रूप से रिकॉर्ड किया जाता है और विंडोज एक्सप्लोरर पर किसी भी फोल्डर पर जाते समय किए गए किसी भी कार्य को ट्रैक करता है. इस जानकारी का उपयोग यह देखने के लिए किया जा सकता था कि विल्सन ने उन फोल्डरों को कब खोला और कितने समयंतराल पर उन्हें खोला जाता था, जिनमें दोष साबित करने वाली फाइलें थी और जिन पर पुणे पुलिस निर्भर थी. यह जानकारी डिस्क से हटा दी गई थी. यह संभावना नहीं है कि विल्सन ने खुद इस जानकारी को हटा दिया होगा, यह देखते हुए कि उन्होंने उन फाइलों को नहीं हटाया जो उन्हें दोषी साबित करती हैं. गायब हो चुकी इस जानकारी से यह पता लगाने में मदद मिल सकती थी कि विल्सन ने दोष साबित करने वाली फाइलों के फोल्डर को कब खोला और इस तरह यह पुष्टि करने में मदद मिल सकती थी कि क्या फाइलें खुद विल्सन द्वारा बनाई गई थीं या किसी बाहरी पक्ष द्वारा प्लांट की गई थीं.
हमने पाया कि इस तरह की कई जानकारी जो एक जांच एजेंसी द्वारा संभावित शरारत को उजागर कर सकती है, को मिटा दिया गया था. उदाहरण के लिए, विंडोज सिस्टम में रन कमांड उपयोगकर्ता को आवश्यक कमांड के साथ प्रोग्राम का नाम लिखकर किसी भी प्रोग्राम को चलाने की अनुमति देता है. किसी विशेष सिस्टम में दर्ज सभी रन कमांड का लॉग कंप्यूटर रजिस्ट्री में संग्रहीत किया जाता है. हालांकि यह जानकारी भी हटा दी गई थी. यह जानकारी कंप्यूटर के उपयोग को ट्रैक करने और संभावित रूप से पहचानने में उपयोगी हो सकती है कि क्या उस पर द्वेषपूर्ण प्रोग्राम चलाए गए थे.
यह जानकारी अपने आप नहीं हटाई जा सकती. यह सचेत रूप से किसी उपयोगकर्ता द्वारा की जा सकती है और केवल तकनीक-प्रेमी और अनुभवी उपयोगकर्ता सुरक्षित रूप से ऐसी जानकारी को हटा सकते हैं. रजिस्ट्री, जहां से रन लॉग को हटाया जा सकता है, कंप्यूटर सिस्टम को प्रभावित करने वाली अन्य प्रविष्टियों को भी संग्रहीत करता है. नतीजतन, यदि रजिस्ट्री से किसी भी जानकारी को हटाने के दौरान कोई महत्वपूर्ण प्रविष्टि बदल जाती है, तो यह सिस्टम से मेल कर सकता है. यह तथ्य कि यह जानकारी सिस्टम से गायब हो गई है, जानकारी ट्रैक न हो सके इसकी संभावित कोशिश की तरफ इशारा करता है.
अन्य उपयोगी जानकारी जो गायब हो गई है, उसमें स्टार्ट बटन में उपलब्ध सर्च सुविधा से रिसेंट डॉक्यूमेंट ओपंड और ऑपरेटिंग सिस्टम पर लास्ट सर्च की गई फाइलें शामिल हैं. यह जानकारी भी विल्सन के अपने कंप्यूटर के उपयोग को ट्रेस करने के लिए उपयोगी होतीं, ताकि यह पहचान की जा सकती कि अगर दोष साबित करने वाली फाइलें उनकी ही हैं तो उन्होंने उन फाइलों को कब सर्च किया और उन्हें खोला. एक बार फिर, यह देखते हुए कि विल्सन ने उन फाइलों को नहीं हटाया, जो उन्हें दोषी बनाती हैं, उनके लिए यह अत्यधिक अतार्किक होगा कि वे केवल उन सूचनाओं को हटा दें जिनका उपयोग उन्हें और अन्य आरोपियों को दोषमुक्त साबित करने के लिए किया जा सकता है.
विल्सन की डिस्क पर पाए गए कई पत्र पीडीएफ के रूप में थे. एडोब एक्रोबेट रीडर, जो पीडीएफ डॉक्यूमेंट्स को पढ़ता है, का उपयोग उन मूल सॉफ्टवेयर का पता लगाने के लिए भी किया जा सकता है जिसमें वे बनाए गए थे. बरामद की गई फाइलों का विश्लेषण करने पर पता चला कि पत्र, जिनमें से कुछ कथित तौर पर विल्सन द्वारा लिखे गए थे, मूल रूप से माइक्रोसॉफ्ट वर्ड के 2010 संस्करण पर की गई थी. विल्सन के एकमात्र कंप्यूटर में सॉफ्टवेयर का 2007 का संस्करण है. कंप्यूटर हिस्ट्री यह नहीं बताती है कि 2010 का संस्करण कभी इस पर इंस्टॉल किया गया था.
अपनी दिसंबर की रिपोर्ट में हमने लिखा था कि पुलिस ने विल्सन और गडलिंग के उपकरणों को जब्त करते हुए प्रोटोकॉल का पालन नहीं किया था. सूचना प्रौद्योगिकी अधिनियम, 2000 कहता है कि सभी डिजिटल सबूतों को सुरक्षित और पारदर्शी तरीके से जब्त किया जाना चाहिए - ताकि सबूतों के साथ छेड़छाड़ की किसी भी संभावना का पता लगाया जा सके. इसके लिए पुलिस को उपकरण प्रदान किए गए हैं जो जब्ती की जगह पर इलेक्ट्रॉनिक उपकरणों की क्लोनिंग की अनुमति देता है. जब्ती के समय, पुलिस को आरोपी व्यक्तियों को जब्त डिवाइस का "हैश मूल्य" प्रदान करना होता है. हैश मूल्य एक संख्यात्मक मान है जो विशिष्ट रूप से डेटा की पहचान करता है, जो डिजिटल उपकरणों पर इलेक्ट्रॉनिक मुहर के रूप में कार्य करता है. यदि उपकरण का उपयोग किया जाता है या जब्ती के बाद किसी भी तरह से छेड़छाड़ की जाती है, तो हैश मूल्य बदल जाएगा और आरोपी को प्रदान किए गए मूल्य के साथ मेल नहीं खाएगा. हैश मूल्य की पहचान एक ऐसी प्रक्रिया है जिसमें एक घंटे से भी कम समय की आवश्यकता होती है, और अभियुक्तों को प्रदान किए गए एक वीडियो के अनुसार, पुलिस ने 17 अप्रैल को सुबह 6 बजे से दोपहर 2.02 बजे तक विल्सन के घर पर छापा मारा. फिर भी, पुलिस ने उस दिन विल्सन को हैश मूल्य प्रदान नहीं किया. पुलिस द्वारा हार्ड डिस्क को जब्त करने के पांच महीने बाद ही उन्हें अक्टूबर में हैश मूल्य दिया गया.
डिस्क के बारे में क्षेत्रीय फोरेंसिक विज्ञान प्रयोगशाला, पुणे की एक रिपोर्ट में हैश मूल्य का खुलासा किया गया था. रिपोर्ट में कारवां द्वारा खोजे गए मैलवेयर का उल्लेख नहीं किया गया था, न ही इसमें नष्ट की गई जानकारी का ही उल्लेख किया गया था. कारवां ने पुणे पुलिस और क्षेत्रीय फोरेंसिक विज्ञान प्रयोगशाला के शीर्ष अधिकारियों को इस बारे में सवाल भेजे, लेकिन उन्होंने कोई जवाब नहीं दिया.
भीमा कोरेगांव के मामले में हुई गिरफ्तारियों के समय, महाराष्ट्र और केंद्र में भारतीय जनता पार्टी की सरकार थीं. कई कार्यकर्ताओं और राजनेताओं ने आरोप लगाया कि बीजेपी सरकारों ने इन कार्यकर्ताओं को हिंदुत्व के नेताओं मिलिंद एकबोटे और संभाजी भिडे को बचाने के लिए फंसाया था, जिन्हें जनवरी 2018 की हिंसा के बाद दर्ज मामलों में नामित किया गया था. महाराष्ट्र के दोनों शक्तिशाली नेताओं एकबोटे और भिडे पर भीमा कोरेगांव स्मारक कार्यक्रम में उपस्थित लोगों पर हमला करने के लिए भीड़ भेजने का आरोप लगाया गया था. भीमा कोरेगांव में हर साल 1 जनवरी को बड़ी संख्या में दलित समुदाय के लोग इकट्ठा होते हैं.
अक्टूबर 2019 में, महाराष्ट्र में विधानसभा चुनाव हुए, जिसमें किसी भी पार्टी को स्पष्ट बहुमत नहीं मिल सका. बीजेपी द्वारा सरकार बनाने के कई प्रयासों के बाद, पार्टी अंततः राज्य में सत्ता से बेदखल हो गई और शिवसेना, राष्ट्रवादी कांग्रेस पार्टी तथा कांग्रेस का एक नया गठबंधन सत्ता में आया. नतीजतन, बीजेपी ने पुणे पुलिस का नियंत्रण खो दिया. 21 दिसंबर को, कारवां के गडलिंग की डिस्क के साथ संभावित छेड़छाड़ पर रिपोर्ट प्रकाशित करने के छह दिन बाद , एनसीपी प्रमुख शरद पवार ने भीमा कोरेगांव की गिरफ्तारी को "गलत" और "प्रतिशोधी" करार दिया. पवार ने "पुलिस कार्रवाई की जांच करने के लिए" एक विशेष जांच दल के गठन की मांग की.
हालांकि, एक महीने बाद, 24 जनवरी को, बीजेपी के नेतृत्व वाली केंद्र सरकार ने इस मामले को राष्ट्रीय जांच एजेंसी को स्थानांतरित कर दिया, जो अमित शाह के नेतृत्व वाले केंद्रीय गृह मंत्रालय द्वारा शासित है. इसके तुरंत बाद, महाराष्ट्र के गृह मंत्री और राकांपा के सदस्य अनिल देशमुख ने केंद्र पर एकतरफा निर्णय लेने का आरोप लगाया. देशमुख ने मीडिया को बताया, "भीमा कोरेगांव हिंसा मामले को राज्य की सहमति के बिना एनआईए को सौंप दिया गया था." लेकिन बाद की मीडिया रिपोर्टों में इस मुद्दे पर शिवसेना और एनसीपी के बीच मतभेद होने के संकेत दिए गए हैं, मुख्यमंत्री, शिवसेना के उद्धव ठाकरे ने मामले के हस्तांतरण को मंजूरी दे दी है. 14 फरवरी को, पुणे सत्र अदालत, जो भीमा कोरेगांव मामले की सुनवाई कर रही थी, ने औपचारिक रूप से इसे मुंबई की एक विशेष एनआईए अदालत में स्थानांतरित कर दिया. उसी दिन पवार ने मामले को स्थानांतरित करने के केंद्र के फैसले और महाराष्ट्र सरकार के फैसले के समर्थन में अपना विरोध दोहराया.
इस बीच, पवार एसआईटी की अपनी मांग पर अड़े रहे. पुणे अदालत द्वारा मामले को स्थानांतरित करने के तीन दिन बाद, यह देखते हुए कि एनआईए अधिनियम राज्य सरकार को समानांतर जांच करने की अनुमति देता है, एनसीपी प्रमुख ने पार्टी के मंत्रियों के साथ एक बैठक की और जोर दिया कि एक एसआईटी स्थापित की जानी चाहिए. बैठक के बाद, देशमुख ने मीडिया को बताया कि पार्टी राज्य के महाधिवक्ता द्वारा कानूनी राय के साथ ठाकरे से संपर्क करेगी. "महाधिवक्ता की राय आ जाने के बाद हम एक बार फिर मुख्यमंत्री से बात करेंगे और इस एसआईटी के लिए मंजूरी लेंगे," उन्होंने कहा. "हम एसआईटी की स्थापना के लिए प्रतिबद्ध हैं और हमारे अधिकांश नेता इस बात से सहमत हैं कि यह किया जाना चाहिए."