लोकेशन ट्रैकिंग की पुरानी समझ को हिला देने वाला निगरानी डेटा

 (lighthousereports.com)
2 पॉइंट द्वारा GN⁺ 2025-10-15 | 2 टिप्पणियां | WhatsApp पर शेयर करें
  • लगभग अज्ञात निगरानी तकनीक कंपनी First Wap ने दुनिया भर के लोगों की लोकेशन ट्रैक करने वाला शक्तिशाली सॉफ़्टवेयर Altamides निजी कंपनियों आदि को बेचा
  • Lighthouse Reports और उसके साझेदार पत्रकारों ने 15 लाख से अधिक डेटा रिकॉर्ड के आर्काइव का विश्लेषण कर राजनेताओं, कारोबारियों और आम लोगों तक को अवैध निगरानी का निशाना बनाए जाने की हकीकत उजागर की
  • निगरानी उद्योग का दावा था कि उसके टूल केवल आपराधिक जांच के लिए इस्तेमाल होते हैं, लेकिन वास्तव में सरकार के बाहर निजी और गैर-नैतिक उद्देश्यों तक इनके उपयोग को सहन किया गया
  • First Wap ने पुराने SS7 कम्युनिकेशन प्रोटोकॉल की सुरक्षा खामियों का इस्तेमाल कर एक वैश्विक ट्रैकिंग सिस्टम बनाया, और बाद में इसे कॉल इंटरसेप्शन तथा एन्क्रिप्टेड मैसेजिंग हैकिंग तक विस्तारित किया
  • अंडरकवर रिपोर्टिंग के जरिए ऐसे संकेत मिले कि कंपनी प्रबंधन प्रतिबंधों से बचने के लिए घुमावदार बिक्री के जोखिम को जानते हुए भी सौदों पर चर्चा करता रहा

निगरानी कारोबार का असली चेहरा: Altamides की ट्रैकिंग और उसका अंतरराष्ट्रीय पैमाना

प्राग में सामने आई निगरानी उद्योग की हकीकत

  • जून 2024 में गुप्त रूप से आयोजित निगरानी तकनीक मेले ISS World में First Wap के सेल्स एग्जीक्यूटिव Günther Rudolph ने एक निजी माइनिंग कंपनी को Altamides ट्रैकिंग सॉफ़्टवेयर बेचने पर चर्चा के दौरान कहा कि “यदि सौदा कराया गया तो जेल भी हो सकती है”
  • उस समय सामने वाली पार्टी एक ऐसी कंपनी थी जिसका मालिक प्रतिबंधित व्यक्ति था और जिसका उद्देश्य पर्यावरण कार्यकर्ताओं की निगरानी करना था; Rudolph ने “यह केवल हम कर सकते हैं” कहकर अपनी विशिष्ट तकनीकी क्षमता का संकेत दिया
  • लेकिन सामने वाला पक्ष वास्तव में Lighthouse Reports का अंडरकवर पत्रकार था

विशाल लोकेशन-ट्रैकिंग आर्काइव और अंतरराष्ट्रीय संयुक्त जांच

  • इसकी शुरुआत Lighthouse के पत्रकार को डीप वेब पर मिले 15 लाख से अधिक लोकेशन-ट्रैकिंग डेटा के आर्काइव के विश्लेषण से हुई
  • 14 मीडिया संस्थानों और 70 से अधिक पत्रकारों ने मिलकर फोन नंबरों के मालिकों की पहचान की और टारगेट समूहों (क्लस्टर) के आधार पर इसकी संरचना समझी
  • डेटा में पूर्व और वर्तमान वरिष्ठ राजनेता, कारोबारी और आम नागरिक सहित 160 देशों के लोग शामिल थे
  • उदाहरण: क़तर के पूर्व प्रधानमंत्री, सीरिया के पूर्व राष्ट्रपति Bashar al-Assad की पत्नी, Netflix के प्रोड्यूसर, Blackwater के संस्थापक, 23andMe की संस्थापक, Red Bull के एग्जीक्यूटिव सहित बहुत से लोगों की व्यापक ट्रैकिंग की गई
  • इस डेटा विश्लेषण और रिपोर्टिंग प्रक्रिया के दौरान अलग-अलग देशों के पत्रकारों ने अपने-अपने देशों में निगरानी के संकेत और अतिरिक्त पीड़ितों की भी पहचान की

First Wap का पक्ष और उद्योग का आत्म-औचित्य

  • First Wap ने दावा किया कि उसका “अवैध गतिविधियों या मानवाधिकार उल्लंघन से कोई संबंध नहीं” है, और यह कहते हुए विशेष टिप्पणी से बचा कि मामला बहुत विशिष्ट है तथा ग्राहकों की पहचान उजागर होने का खतरा है
  • कंपनी ने यह सामान्य रुख दोहराया कि “इंस्टॉलेशन के बाद हम उपयोग के उद्देश्यों में दखल नहीं देते, और कानून प्रवर्तन एजेंसियां इसका इस्तेमाल ‘संगठित अपराध, आतंकवाद और भ्रष्टाचार’ से निपटने के लिए करती हैं”
  • पूरा निगरानी उद्योग यह कथा बनाए रखता रहा कि ऐसे टूल केवल आतंकवाद और अपराध-रोधी उद्देश्यों के लिए इस्तेमाल होते हैं, लेकिन इस जांच ने दिखाया कि सरकारी और गैर-सरकारी, व्यावसायिक और निजी—सभी तरह के उपयोग स्वीकार किए जाते रहे

सीमाहीन निगरानी सॉफ़्टवेयर: एक ऐसी दुनिया जहां कोई भी शिकार बन सकता है

Altamides के वास्तविक पीड़ितों के मामले

  • 2012 में भारत के गोवा बीच पर छुट्टियां मना रही “Sophia” (छद्म नाम) को एक ऐसे पुरुष ने राज्य-स्तरीय निगरानी प्रणाली से ट्रैक किया, जिसे उसके प्रति निजी जुनून था
  • इस मामले की तरह Altamides सरकारों से बाहर निजी हाथों (स्टॉकर, कंपनियां आदि) तक फैल गया, और साधारण शिक्षक, थेरेपिस्ट, टैटू आर्टिस्ट जैसे आम लोग भी इसके शिकारों में शामिल पाए गए

सॉफ़्टवेयर के वितरण और विस्तार के रास्ते

  • First Wap ने मध्यवर्ती डिस्ट्रीब्यूटर नेटवर्क के जरिए यह सॉफ़्टवेयर दुनिया भर में बेचा
  • ब्रिटेन की जांच और कंसल्टिंग कंपनी KCS Group ने उत्तर अफ्रीका और एशिया की सरकारों को Altamides बेचने की कोशिश की, और दस्तावेज़ों से पता चला कि राजनीतिक अस्थिरता (Arab Spring) को व्यावसायिक अवसर की तरह देखा गया
  • KCS ने आधिकारिक रूप से कहा कि वह “गैर-नैतिक निगरानी टूल की बिक्री या उपयोग में शामिल नहीं रही”

उद्योग पर राज करने वाला एक शांत अग्रदूत

Altamides की तकनीकी उत्पत्ति और विकास

  • Siemens से जुड़े Josef Fuchs ने 2000 के शुरुआती वर्षों में वैश्विक दूरसंचार नेटवर्क की SS7 कमजोरियों की पहचान की, और इन्हीं के आधार पर First Wap ने अपना बिजनेस मॉडल SMS मार्केटिंग से मोबाइल-ट्रैकिंग सॉफ़्टवेयर की ओर मोड़ दिया
  • BlackBerry, Nokia जैसे फीचर फोन के दौर से ही ऐसा सिस्टम बना लिया गया था जिसमें सिर्फ फोन नंबर डालकर दुनिया में कहीं भी लोकेशन पता की जा सकती थी
  • बाद में इसमें SMS इंटरसेप्शन, कॉल सुनना, WhatsApp जैसे एन्क्रिप्टेड मैसेंजर हैक करने जैसी क्षमताएं भी जोड़ दी गईं

वैश्विक बाज़ार पर पकड़ और छाया-प्रबंधन

  • First Wap ने 20 वर्षों से अधिक समय में सीमाओं और कानूनी प्रतिबंधों की परवाह किए बिना चुपचाप एक वैश्विक निगरानी साम्राज्य खड़ा किया और निगरानी के दायरे या सीमाओं पर लगभग कोई अंकुश नहीं रखा

अंडरकवर रिपोर्टिंग ने मैनुअल से बाहर की वास्तविकता उजागर की

नैतिक सीमाएं और घुमावदार सौदा-प्रथाएं

  • शुरुआती संपर्क और दस्तावेज़ विश्लेषण में ऐसे लोगों की निगरानी के मामले मिले जिनका सामान्य अपराध से कोई संबंध नहीं था, साथ ही सत्तावादी राज्यों और गैर-सरकारी समूहों द्वारा उपयोग के उदाहरण भी सामने आए
  • First Wap ने दावा किया कि वह “केवल सरकारी ग्राहकों” के साथ सख्त प्रतिबंध-अनुपालन और जांच के बाद ही अनुबंध करता है
  • अंडरकवर पत्रकार ने नकली पहचान (दक्षिण अफ्रीका की एक कंसल्टिंग कंपनी के प्रतिनिधि), प्राग ISS World में भागीदारी, और वास्तविक सेल्स प्रतिनिधियों से बैठकों के जरिए निजी कंपनियों तथा राजनीतिक उद्देश्यों वाली निगरानी परियोजनाओं की संभावना परख़ी
  • जोखिमपूर्ण मामलों पर सेल्स डायरेक्टर Rudolph ने कहा कि “यूरोपीय प्रतिबंधों के कारण यह जोखिम भरा है”, लेकिन साथ ही यह भी स्वीकार किया कि इंडोनेशिया की इकाई और पेपर कंपनियों के जरिए घुमावदार रास्ते से सौदा संभव है
  • बाद में जब Lighthouse ने अंडरकवर जांच की जानकारी दी, तो First Wap ने सफाई दी कि “असल बयान केवल तकनीकी संभावना बताने के लिए था और उसमें गलतफहमी हुई”

संबंधित पढ़ाई

2 टिप्पणियां

 
crawler 2025-10-15

क्या यह सच में हो रहा है, कोई साजिशी कहानी नहीं है?
भले ही यह protocol में मौजूद कमजोरी हो, फिर भी सैकड़ों telecom कंपनियां होंगी, तो पूरी दुनिया को ट्रैक किया जा सकता है—यह मानना मुश्किल है।
और सबसे पहले, अमेरिका के राष्ट्रपति, Jensen Huang, और मेरे पड़ोस में रहने वाले Chunsik का फोन नंबर कैसे पता होगा और उनकी पहचान कैसे तय करेंगे?
 
GN⁺ 2025-10-15
Hacker News राय

  • काश पत्रकार इस पर और गहराई से पड़ताल करें कि ऐसी निगरानी तकनीक और जानकारी साझा करना आखिर क्यों अनुमति पाता है, और कौन-सी प्रेरणाएँ ऐसी तकनीकों के अस्तित्व को संभव बनाती हैं। राष्ट्रपति ओबामा की आत्मकथा <A Promised Land> पढ़ते समय मुझे यह महसूस हुआ कि जब किसी नेता के दृष्टिकोण से जनता की सुरक्षा की सीधी ज़िम्मेदारी आपके कंधों पर आती है, तो निगरानी को लेकर आपका नज़रिया पूरी तरह बदल जाता है। जब भी मैं Flock कैमरे या स्टोर के भीतर लगे निगरानी उपकरण देखता हूँ, तो लगता है कि नेता लोग दुरुपयोग की धुंधली संभावना से ज़्यादा इस तकनीक की शक्ति से मोहित हैं। मुझे यह कुछ वैसा ही लगता है जैसे समाज में आग के ख़तरे पर रिपोर्टिंग तो हो, लेकिन आग-निरोधक क़ानून, फायर अलार्म, सामाजिक मानदंड जैसे निवारक सिस्टमों की ज़रूरत का ज़िक्र ही न किया जाए। मैं ऐसे लेख देखना चाहूँगा जो Flock कैमरे लगाने के लिए ज़िम्मेदार लोगों, उन्हें लगाने की वजहों, और नकारात्मक दुष्प्रभावों (profiling, stalking, गैर-अपराधियों की ट्रैकिंग आदि) के बिना सिर्फ़ सकारात्मक नतीजे (जैसे वाहन चोरों की गिरफ़्तारी) कैसे हासिल किए जा सकते हैं, इस पर रिपोर्ट करें

    • सत्ता मिलने पर हर कोई यही मान लेता है कि वह उसका सही इस्तेमाल करेगा। सिद्धांततः यदि एक आदर्श सरकार के पास पूरी निगरानी शक्ति हो, तो अपराध दर कम होने जैसे फ़ायदे हो सकते हैं, लेकिन व्यवहार में बड़े संगठन इतने सूक्ष्म नियंत्रण में सक्षम नहीं होते, और नेता भले नीयत से शुरू करें, समस्याएँ बीच के प्रबंधकों या ग़लत डेटा की वजह से पैदा हो जाती हैं। अच्छे नेता भी अक्सर सही उत्तराधिकारी नहीं चुन पाते, और अंततः किसी भ्रष्ट नेता के आ जाने की संभावना बढ़ जाती है। इसके अलावा, भले विकेंद्रीकरण या privacy आदर्श न भी हों, फिर भी अगर कभी केंद्रीकृत निगरानी सिस्टम बिगड़ जाए तो बैकअप के तौर पर उनका बने रहना ज़रूरी है

    • मुझे लगता है कि यह कहना कि ओबामा ने सार्वजनिक निगरानी सुधार की कोशिश की थी लेकिन राष्ट्रीय सुरक्षा की ज़िम्मेदारी मिलते ही उनका रवैया बदल गया, महज़ एक बहाना है। निगरानी सुधार के बाद कोई दुर्भाग्यपूर्ण घटना हो जाए, चाहे उसका निगरानी से कोई संबंध न हो, फिर भी उसका राजनीतिक दोष सिर पर आ जाने का जोखिम रहता है; इसलिए लोग उम्मीदवार रहते हुए जो सही मानते थे, वही रुख़ छोड़कर समस्या से बचने लगते हैं। व्यापक निगरानी के बिना भी अपराध-निरोध पूरी तरह संभव है, और ग़रीबी कम करने जैसे तरीक़ों से भी बुरे काम घटाए जा सकते हैं। कोई भी नीति चीज़ों को 0% तक नहीं ला सकती, इसलिए सिर्फ़ आलोचना के डर से सही सुधार छोड़ देना साहस की कमी है

    • मैं निगरानी का पूरी तरह विरोधी नहीं हूँ। लेकिन मैं चाहता हूँ कि यह पारदर्शी हो और केवल न्यूनतम आवश्यक दायरे तक सीमित रहे। उदाहरण के लिए, अगर पुलिस मेरे Google search records चाहती है, तो उसे वारंट लेना चाहिए, कारण साबित करना चाहिए, और कुछ समय बाद अकाउंट मालिक को इसकी सूचना भी देनी चाहिए। अगर फ़ोन तक पहुँच ज़रूरी है, तो छिपकर hack करने के बजाय औपचारिक प्रक्रिया से उसे हासिल करना चाहिए और पासवर्ड संबंधित व्यक्ति से सीधे लेना चाहिए। इससे हर समय सबकी ट्रैकिंग करने के बजाय कार्रवाई इतनी स्पष्ट दिखती है कि दुरुपयोग रोकने में मदद मिलती है। साथ ही, face recognition जैसे चोरी-रोधी उद्देश्य से इकट्ठा किए गए business data का इस्तेमाल marketing और analytics के लिए नहीं होना चाहिए, और क़ानून के ज़रिए यह अनिवार्य होना चाहिए कि उसे एक तय अवधि के बाद मिटा दिया जाए

    • यह ज़ोर देकर कहा गया कि ऐसी निगरानी तकनीकों की अनुमति का मूल कारण अंततः जनता की ‘उदासीनता’ है

    • “इस मुद्दे को न भी छेड़ें तो कोई लागत नहीं” जैसी सोच इसलिए फैली हुई है क्योंकि छोटे-छोटे, अस्पष्ट ख़र्च सब पर ज़बरदस्ती डाल दिए जाते हैं, और फिर उन्हें इस तरह पेश किया जाता है मानो वे कभी-कभार किसी की जान बचा सकते हों। दुनिया भर में बुरे इरादों वाले लोग और बेईमान commenters इसी तरक़ीब का इस्तेमाल करते हैं। समाज उन संरचनात्मक कमज़ोरियों से प्रभावी ढंग से नहीं निपट पाता जिनमें 'व्यक्तिगत रूप से नुकसान मामूली है, लेकिन कुल मिलाकर बहुत बड़ा' हो जाता है। अगर पूरे अमेरिका में एक जान बचाने के लिए हर व्यक्ति रोज़ 1 मिनट खर्च करे, तो वास्तविक नुकसान बचाई गई ज़िंदगी से भी बड़ा हो सकता है; लेकिन जब नुकसान व्यक्तिपरक लगे तो कोई सवाल ही नहीं उठाता

  • First Wap नाम की एक कंपनी लोगों को ट्रैक करना संभव बनाती है। इस कंपनी का मुख्य प्रोडक्ट ऐसा software है जो telecom network level पर काम करता है। यहाँ अहम बात यह है कि फ़ोन कंपनियाँ अब भी Signalling System 7(SS7) नाम के पुराने protocol को support करती हैं। फ़ोन नेटवर्क को location के आधार पर उपयोगकर्ताओं तक SMS या call पहुँचाने के लिए location request signals का आदान-प्रदान करना पड़ता है। मूल कमज़ोरी यह है कि नेटवर्क इन request commands को बिना यह जाँचे ही प्रोसेस कर देते हैं कि सामने वाला वास्तव में कौन है और उसका उद्देश्य क्या है। ये signals (signalling messages) उपयोगकर्ता के फ़ोन पर बिल्कुल दिखाई नहीं देते और केवल “Global Titles(GT)” नाम के network node numbers के बीच चलते हैं

    • ‘दिलचस्प बात’ यह है कि “दूसरे नेटवर्क” में सभी international roaming partner networks भी शामिल हैं। यानी SS7 की कमज़ोरी का दुरुपयोग करके पृथ्वी के दूसरे छोर से भी किसी की location track की जा सकती है

    • मेरा अनुमान है कि telecom कंपनियाँ शायद सीधे user data भी बेच रही हैं। FCC द्वारा बिना user consent ऐसी जानकारी बेचने पर जुर्माना लगाने की ख़बर भी आई थी संदर्भ लिंक

  • 2025 में भी SS7 telecom networks की कमज़ोरियाँ बनी हुई हैं। हमलावर femtocell (छोटा relay base station) या IMSI catcher (नकली base station) लगाकर SS7 traffic को intercept कर सकते हैं। GSM में डिवाइस नेटवर्क के सामने अपनी पहचान प्रमाणित करता है, लेकिन नेटवर्क डिवाइस के सामने अपनी पहचान प्रमाणित नहीं करता, इसलिए IMSI catcher के ज़रिए मोबाइल फ़ोन को उससे जुड़ने के लिए फुसलाना आसान है। यहाँ तक कि LTE में भी नकली base station के ज़रिए connection को downgrade करके security bypass की कोशिश की जाती है। हमले की विस्तृत कार्यप्रणाली देखें

  • <i>Why the US still won’t require SS7 fixes that could secure your phone</i> (2019) नाम का एक लेख है, जिसमें बताया गया है कि अमेरिकी FCC ने SS7 कमज़ोरियों को ठीक करने में टालमटोल की, Department of Homeland Security(DHS) की तकनीकी सलाह को भी नज़रअंदाज़ किया, और best practices (जैसे कई filtering systems लागू करना) के सुझाव होने के बावजूद व्यवहार में लगभग पूरी तरह स्वैच्छिक अनुपालन पर निर्भर रहा लेख लिंक

  • आजकल ऐसे ‘राज़’ का मीडिया में रिपोर्ट होना ही अजीब लगता है। लेख में स्रोतों को जानबूझकर कुछ धुंधला-सा रखा गया है। उसमें बस इतना लिखा है कि “Lighthouse found a vast archive of data on the deep web”, लेकिन क्या इसका मतलब यह नहीं कि किसी surveillance कंपनी ने हज़ारों लोगों की जानकारी लगभग किसी खुले S3 bucket की तरह बस रख छोड़ी थी? असल में इस उद्योग में अक्सर ऐसा होता है कि जो कंपनियाँ दूसरों की security flaws का फ़ायदा उठाकर जासूसी और निगरानी करती हैं, वही अपनी data को बुनियादी ग़लतियों से बाहरी दुनिया के सामने खोल देती हैं। TM_Signal leak मामले में भी अमेरिकी उच्च-स्तरीय संदेश archive files बस खुले S3 में रखे होने के कारण लीक हुई थीं। यह विडंबना ही है कि दूसरों का data चुराकर कमाने वाली security कंपनी अपनी data भी किसी के लिए खुली छोड़ दे

    • हो सकता है इस उद्योग के लोग अपने क्षेत्र में इतने specialized हों कि उन्हें cloud administration का अनुभव ही न हो। संभव है उन्होंने Stack Overflow से copy-paste करके S3 configuration की हो और गलती कर दी हो। जब कोई काम रोज़मर्रा के मुख्य काम का हिस्सा न हो, तो उसे ढीले-ढाले तरीक़े से करने पर ऐसे हादसे होना आसान है। विशेषज्ञता अलग हो तो ऐसी गलती समझी जा सकती है। शायद ये लोग आपको SMS इस्तेमाल करने के लिए ज़्यादा मूर्ख समझते हों

  • रुचि रखने वालों के लिए, Lighthouse Reports ने अपनी surveillance investigation methodology को तकनीकी रूप से विस्तार से समझाने वाला एक लेख भी प्रकाशित किया है तकनीकी विवरण लिंक

  • यह बात मुझे पुराने CCC(Chaos Communication Congress) में देखे गए ‘SS7: Locate. Track. Manipulate.’ नाम के 2014 के एक प्रस्तुतीकरण की याद दिलाती है प्रस्तुति वीडियो लिंक

    • Tobias Engel का 2008 के 25C3 में दिया गया ‘Locating Mobile Phones using SS7’ प्रस्तुतीकरण ही सबसे पहला था वीडियो लिंक

  • लेख में “15 लाख रिकॉर्ड, 14 हज़ार से अधिक यूनिक नंबर, 160 से ज़्यादा देशों में फैले निगरानी रिकॉर्ड” की बात है; अच्छा होगा अगर HIBP(Have I Been Pwned) जैसी कोई साइट हो जहाँ मैं देख सकूँ कि मेरा नंबर इसमें शामिल है या नहीं

  • Stallman एक खुरदरे और असामान्य व्यक्ति थे, लेकिन वे इस बात पर सही थे कि ऐसे उपकरण जिनमें privacy के उल्लंघन का जोखिम हो, उनका सारा code और यहाँ तक कि transistor स्तर तक सब कुछ सार्वजनिक होना चाहिए