Microsoft ने FBI को BitLocker recovery key देकर संदिग्धों के laptops unlock करने में मदद की

 (techcrunch.com)
1 पॉइंट द्वारा GN⁺ 2026-01-24 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • अमेरिकी Federal Bureau of Investigation (FBI) ने BitLocker से encrypted 3 laptops की hard drives unlock करने के लिए recovery keys मांगीं, और Microsoft ने उन्हें उपलब्ध कराया
  • BitLocker, Windows devices पर डिफ़ॉल्ट रूप से enabled full-disk encryption feature है, जिसका मूल उद्देश्य मालिक के अलावा किसी और की access रोकना है
  • लेकिन recovery keys डिफ़ॉल्ट रूप से Microsoft cloud पर upload हो जाती हैं, जिससे law enforcement agencies इनके ज़रिए encrypted drives decrypt कर सकती हैं
  • यह मामला Guam में pandemic unemployment assistance (PUA) fraud के आरोपियों से जुड़ी federal investigation के दौरान सामने आया
  • encryption experts ने cloud में stored recovery keys के hack होने के जोखिम की ओर इशारा करते हुए, Microsoft की security management क्षमता पर चिंता जताई

FBI की BitLocker recovery key मांग और उसकी आपूर्ति

  • Guam में pandemic unemployment assistance (PUA) fraud case की जांच के दौरान, FBI ने संदिग्धों के 3 laptops का encryption हटाने के लिए Microsoft को recovery keys देने का warrant जारी किया
    • इस मामले की पहली रिपोर्ट Forbes ने की थी, जिसे TechCrunch ने उद्धृत किया
    • Guam के स्थानीय मीडिया Pacific Daily News और Kandit News ने भी संबंधित warrants जारी होने की जानकारी दी
  • Microsoft ने FBI के अनुरोध के अनुसार BitLocker recovery keys उपलब्ध कराईं, जिससे उन laptops के encrypted data को unlock किया जा सका
  • Microsoft ने Forbes को बताया कि उसे हर साल जांच एजेंसियों से औसतन लगभग 20 recovery key requests मिलती हैं

BitLocker की डिफ़ॉल्ट कार्यप्रणाली और access की संभावना

  • BitLocker आधुनिक Windows computers में डिफ़ॉल्ट रूप से enabled full-disk encryption feature है, जो device के बंद या locked होने पर data access को रोकता है
  • लेकिन डिफ़ॉल्ट settings में recovery key अपने-आप Microsoft cloud पर upload हो जाती है, और इसी वजह से company तथा law enforcement agencies उस key के जरिए encrypted drive को decrypt कर सकती हैं
  • यह संरचना एक ओर user data protection को मजबूत करती है, वहीं दूसरी ओर companies और governments के लिए recovery key के माध्यम से access का रास्ता भी छोड़ती है

security experts की चिंता

  • Johns Hopkins University के cryptographer Matthew Green ने चेतावनी दी कि अगर Microsoft की cloud infrastructure hack हो जाए, तो recovery keys बाहरी attackers के सामने उजागर हो सकती हैं
    • उन्होंने कहा कि अतीत में Microsoft के यहां government hacking incidents समेत कई मामलों में keys लीक होने की घटनाएं हो चुकी हैं
    • हालांकि, किसी hacker को recovery key का उपयोग करने के लिए physical hard drive access भी चाहिए होगा
  • Green ने Bluesky पर लिखा, “अब 2026 आ चुका है, लेकिन इस तरह की चिंताएं बहुत पहले से उठती रही हैं,” और कहा कि customer key security में Microsoft की विफलता industry में असाधारण स्तर की है

Microsoft का रुख

  • TechCrunch की टिप्पणी के अनुरोध पर Microsoft ने तुरंत कोई जवाब नहीं दिया
  • Forbes से उसने केवल इतना कहा कि “company कभी-कभी law enforcement agencies को BitLocker recovery keys उपलब्ध कराती है”
  • अतिरिक्त internal policies या procedures के बारे में कोई जानकारी नहीं दी गई

privacy और industry implications

  • recovery keys को company के पास रखने वाली संरचना में user privacy के उल्लंघन की संभावना निहित है
  • experts ने चेतावनी दी कि इस तरह की व्यवस्था cloud security breach की स्थिति में बड़े पैमाने पर data exposure risk में बदल सकती है
  • यह मामला एक बार फिर encryption technology पर भरोसे और law enforcement cooperation के बीच संतुलन के सवाल को सामने लाता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-01-24
Hacker News की राय

  • Windows 11 में BitLocker डिफ़ॉल्ट रूप से सक्षम होता है, और अगर Microsoft account जुड़ा हो तो recovery key अपने-आप अपलोड हो जाती है
    इसलिए FBI वारंट के ज़रिए Microsoft से key देने की मांग कर सकती है
    ज़्यादातर users को शायद यह भी पता न हो कि वे encrypted laptop इस्तेमाल कर रहे हैं
    मीडिया इसे “Microsoft ने key दे दी” कहता है, लेकिन असल में यह कानूनी बाध्यता के तहत होता है
    आम users के लिए यह चोरी से सुरक्षा और data recovery के लिहाज़ से एक उचित डिफ़ॉल्ट लगता है
    advanced users चाहें तो settings बदलकर key खुद manage कर सकते हैं

    • लेकिन वह setting बदलने के लिए BitLocker बंद करना पड़ता है, local account नया बनाना पड़ता है, OneDrive से पुरानी key हटानी पड़ती है, और फिर दोबारा encrypt करना पड़ता है
      Apple की तरह शुरुआती setup में ही “recovery key को iCloud में store करना है या नहीं” पूछना कहीं ज़्यादा उचित लगता है
    • जब तक यह फीचर मौजूद है, गलती, bug, या यहाँ तक कि एक cosmic ray की वजह से भी key अपलोड हो सकती है
      ऐसे मामलों में user को कोई संकेत नहीं मिलता, इसलिए security properties चुपचाप बदल जाने वाली silent failure की स्थिति बनती है
    • बड़ी कंपनियों का बचाव करने वाले लोग हमेशा होते हैं
      लेकिन यह सोचकर बेचैनी होती है कि Microsoft समय-समय पर screen screenshots लेता है
    • Microsoft ने जानबूझकर key को plain text में cloud पर store करने का डिज़ाइन चुना
      password manager की तरह end-to-end encryption लागू की जा सकती थी, लेकिन ऐसा नहीं किया गया
      इसी फैसले ने law enforcement access को संभव बनाया
    • अगर user अपलोड से मना भी करे, तब भी वास्तव में key अपलोड नहीं हुई है यह पक्का जानने का कोई तरीका नहीं है
      अब Microsoft अगर भरोसा वापस पाना चाहता है, तो Windows को open source करना ही एकमात्र रास्ता है

  • पहले ऐसी ख़बरों पर कहीं ज़्यादा विरोधी माहौल होता था, लेकिन आजकल “यह तो होना ही था” जैसी प्रतिक्रिया बढ़ गई है
    लगता है tech लोग सरकार की मांगों के आगे झुकते गए और यह स्थिति बन गई
    यह क़ानून की नहीं बल्कि security system design की समस्या है

    • ज़्यादातर comments अब भी विरोधी हैं, लेकिन कई बार लोग clickbait article की मूल धारणा को ही मान लेते हैं
      हक़ीक़त में law enforcement अगर data मांगे, तो company मना नहीं कर सकती और आखिरकार क़ानून के दबाव में आ जाती है
    • बहुत से tech लोग सरकार से सहयोग इसलिए करते हैं क्योंकि उन पर RSU, KPI और रोज़गार का दबाव होता है
      लोग आम तौर पर तभी तक प्रतिक्रिया देते हैं जब तक उनकी सुविधा पर सीधा असर न पड़े
    • “यह security design की समस्या है” वाले दावे का भी विरोध है
      असल में राज्य कभी-कभी end-to-end encryption को ही प्रतिबंधित कर देता है
      उदाहरण के लिए Apple ने UK में E2E encryption क्यों बंद किया देखा जा सकता है
    • सरकार कभी भी terrorist की परिभाषा बदल सकती है
      आज का नागरिक कल का “खतरा” बन सकता है, यह नहीं भूलना चाहिए
    • असली समस्या individual developers नहीं बल्कि corporations हैं

  • मैं Linux drive को full encryption के साथ इस्तेमाल करता हूँ
    key भूल जाऊँ तो? बस नया drive बनाकर backup से restore कर लूँगा
    Microsoft या अमेरिकी सरकार मेरे files तक नहीं पहुँच सकती
    Windows user security के लिए नहीं बल्कि authoritarian government की security के लिए बना system है

    • लेकिन सिर्फ full disk encryption (FDE) काफ़ी नहीं है
      camera, keylogger, bootloader tampering, cold boot attack जैसी चीज़ों से फिर भी कमज़ोरी बनी रहती है
    • “अगर backup key भूल जाएँ तो?” जैसा सवाल भी उठता है
      आख़िरकार backup management भी encryption जितना ही महत्वपूर्ण है
    • अगर बाहर से कोई मेरी अनुमति के बिना मेरे drive को encrypt कर सकता है, तो वह असली encryption नहीं है
      वह बस CPU cycles की बर्बादी है
    • इससे जुड़ा मशहूर comic XKCD 538 याद आता है
    • Privacy कोई अपराध नहीं है” वाली बात से सहमति है

  • Microsoft ने Forbes को बताया कि उसे हर साल लगभग 20 BitLocker recovery key disclosure requests मिलती हैं
    ईमानदार बात है, लेकिन इसी वजह से Linux पर switch करना बेहतर लगता है
    ख़ासकर अगर विदेश यात्रा ज़्यादा करते हों तो और भी
    अगर अमेरिकी सरकार को दिया है, तो संभव है दूसरी सरकारों को भी दिया हो

    • लेकिन company के पास कानूनी आदेश मिलने पर इंकार करने का विकल्प नहीं होता
    • यह पक्का नहीं कहा जा सकता कि सभी सरकारों को दिया गया, लेकिन दूसरी सरकारों को भी दिया गया होने की संभावना ज़्यादा है
    • कुछ लोगों का मानना है कि Linux पर जाए बिना भी key upload feature बंद करना काफ़ी है

  • ज़्यादातर users के लिए BitLocker की default setting उचित सुरक्षा स्तर देती है
    सरकारी निगरानी की तुलना में laptop चोरी कहीं ज़्यादा वास्तविक ख़तरा है
    enterprise users के लिए key upload डिफ़ॉल्ट नहीं है, और private users भी चाहें तो इसे बंद कर सकते हैं

    • असल में सरकार की तुलना में चोरी या गुम होना कहीं ज़्यादा आम है
      अगर Microsoft ने ऐसा डिज़ाइन किया होता कि वह खुद key तक पहुँच ही न सके, तो बेहतर होता, लेकिन अभी भी यह कुछ न होने से अच्छा है
    • लेकिन जब शत्रुतापूर्ण सरकार का ख़तरा नज़दीक आता दिख रहा हो, तब यह लापरवाह रवैया ख़तरनाक हो सकता है
      इससे पुराना सवाल “अगर नाज़ी फिर लौट आएँ तो?” फिर याद आता है

  • UEFI और firmware अब भी user द्वारा बदली गई security keys के बजाय Microsoft keys को स्वीकार कर सकते हैं
    TPM भी Intel या AMD द्वारा दी गई keys से सुरक्षित होता है, इसलिए सिद्धांततः third-party access की संभावना मौजूद है
    Yubikey या smart card भी closed hardware हैं, इसलिए उनके अंदरूनी कामकाज की पुष्टि नहीं की जा सकती

  • मैं privacy को महत्व देता हूँ, लेकिन इस मामले में valid warrant के तहत सीमित data दिया गया था
    access तभी संभव था जब physical hard drive पहले से उनके कब्ज़े में हो
    EU के Chat Control की तरह हर message को searchable बनाने की कोशिश की तुलना में यह कहीं ज़्यादा उचित है

  • एक उदाहरण है जो दिखाता है कि जब FBI laptop unlock नहीं कर पाती तो क्या हो सकता है
    वह मामला जिसमें FBI ने 345 million dollar के Bitcoin वाला hard drive मिटा दिया
    अगली बार वे data copy करके “decrypt नहीं हुआ” कहकर मिटा भी सकते हैं
    पहले एजेंटों द्वारा Bitcoin गबन करने के मामले भी रहे हैं, अब तो शायद ऊपर बैठे लोग सीधे हिस्सा माँगें

  • privacy के नज़रिए से Microsoft का key upload चिंताजनक डिज़ाइन है
    लेकिन हज़ारों users ने शायद recovery key की वजह से data recover भी किया होगा
    installation wizard में “क्या आप data encrypt करना चाहते हैं?” “क्या आप recovery सक्षम रखना चाहते हैं?” जैसे स्पष्ट विकल्प वाले स्क्रीन होते तो बेहतर होता

  • अब फिर वही बात सुनाई दे रही है कि Linux desktop का साल सचमुच आ गया
    Windows छोड़ने का यही सही समय है

    • मैंने अपने माता-पिता को Linux पर लाने की कोशिश की, लेकिन MS Office desktop version न होने की वजह से उन्होंने मना कर दिया
      web version, LibreOffice, OnlyOffice, यहाँ तक कि LaTeX भी आज़माया, लेकिन बात नहीं बनी
      macOS पर जाने को भी वे तैयार नहीं हैं
      मुझे Office पसंद नहीं, लेकिन मेरे माता-पिता “असल Microsoft Office” ही चाहते हैं
    • अगर Linux इस्तेमाल करना है, तो Debian-based (Ubuntu/Mint) से बचना चाहिए
      “Stable” का मतलब अक्सर बस पुराना होता है
      Fedora की सिफारिश है — consumer use के लिए अच्छी तरह तैयार है, और Arch जितना जटिल भी नहीं