ईमेल ऐसे काम नहीं करता, HSBC

 (danq.me)
1 पॉइंट द्वारा GN⁺ 2026-01-30 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • HSBC ने ट्रैकिंग पिक्सेल के आधार पर यह तय किया कि ग्राहकों ने ईमेल प्राप्त किया या नहीं, और इसके परिणामस्वरूप वास्तव में ईमेल सही तरह से पाने वाले ग्राहकों को भी गलत तरीके से “मेल बाउंस हो गया” की सूचना भेज दी
  • बैंक ने ग्राहकों से अपना ईमेल पता अपडेट करने को कहा, लेकिन ग्राहक के खाते में पहले से ही सही पता दर्ज था
  • विश्लेषण में पाया गया कि HSBC के ईमेल में HTTP-आधारित ट्रैकिंग पिक्सेल डाले गए थे, जिससे प्राप्ति का समय, आवृत्ति, IP पता जैसी निजी जानकारी उजागर होने का जोखिम था
  • ट्रैकिंग पिक्सेल ब्लॉक सेटिंग होने पर काम नहीं करते, इसलिए बैंक का इसके आधार पर “ईमेल प्राप्त नहीं हुआ” मान लेना तकनीकी दुरुपयोग माना गया
  • HSBC को unencrypted tracking बंद करने, privacy का सम्मान करने, और ग्राहकों से स्पष्ट संचार की ओर जाना चाहिए

HSBC की गलत ईमेल बाउंस सूचना

  • HSBC ने ग्राहकों को “ईमेल बाउंस हो गया” बताते हुए पता अपडेट करने का अनुरोध करने वाली डाक सूचना भेजी
    • ग्राहक वास्तव में HSBC के ईमेल सामान्य रूप से प्राप्त और खोल रहा था
    • ऑनलाइन खाते की जांच में दर्ज ईमेल पता सही निकला
  • कस्टमर सपोर्ट चैट में सिर्फ़ यह औपचारिक जवाब बार-बार दोहराया गया कि “अगर बैंक ने पत्र भेजा है, तो पता बदलना होगा”
    • बाद में फ़ोन पर ही यह जवाब मिला कि “अगर पता सही है, तो पत्र को अनदेखा किया जा सकता है”
  • लेखक ने HSBC को “कार्रवाई आवश्यक” की जगह “पता सत्यापन आवश्यक” जैसा वाक्य लिखने का सुझाव दिया

ईमेल ट्रैकिंग पिक्सेल की संरचना और समस्याएँ

  • HSBC के ईमेल के निचले हिस्से में 1×1 पिक्सेल आकार की दो image codes शामिल थीं
    • ये पिक्सेल प्राप्तकर्ता के ईमेल खोलते ही सर्वर से जुड़कर open हुआ या नहीं, यह दर्ज करने वाले ट्रैकिंग साधन के रूप में इस्तेमाल होते हैं
  • HSBC इन पिक्सेल को HTTP protocol पर भेज रहा था, जिससे नेटवर्क पर कोई तीसरा पक्ष भी ईमेल खोले जाने की जानकारी जान सकता था; यह एक security vulnerability है
    • public Wi‑Fi वातावरण में उसी नेटवर्क के अन्य उपयोगकर्ता इस जानकारी का पता लगा सकते हैं
  • साथ ही यह भी कहा गया कि हमलावर ईमेल के निचले हिस्से में image जोड़कर उसे phishing message की तरह नकली बना सकता है

ट्रैकिंग पिक्सेल की अविश्वसनीयता और दुरुपयोग

  • लेखक ट्रैकिंग पिक्सेल ब्लॉक सेटिंग का उपयोग करता है, इसलिए ईमेल open होने की जानकारी नहीं भेजी जाती
    • यही ईमेल के मूल डिज़ाइन के अनुरूप है, जिसमें प्राप्तकर्ता यह चुन सकता है कि open status साझा करना है या नहीं
  • लगता है HSBC ने पिक्सेल से कोई signal न मिलने पर इसे “ईमेल प्राप्त नहीं हुआ” समझ लिया और बाउंस मान लिया
    • यह ट्रैकिंग पिक्सेल को सांख्यिकीय विश्लेषण की जगह व्यक्तिगत ग्राहक की पहचान के साधन के रूप में दुरुपयोग करने का मामला है
  • नतीजतन HSBC ने “मेल बाउंस हो गया” जैसी झूठी सूचना भेज दी

HSBC को दिए गए सुधार सुझाव

  • unencrypted (HTTP) tracking बंद करें: ईमेल open होने पर नेटवर्क exposure रोकने के लिए HTTPS का उपयोग ज़रूरी है
  • tracking block को प्राप्ति-विफलता न मानें: पिक्सेल के काम न करने के कई तकनीकी कारण हो सकते हैं
  • ग्राहकों की ईमेल आदतों की निगरानी बंद करें: बैंक के पास पहले से पर्याप्त निजी जानकारी है; अतिरिक्त निगरानी की आवश्यकता नहीं
  • ईमेल वैधता जांच सीधे पुष्टि के तरीके से करें: “confirmation link पर click” जैसी स्पष्ट सहमति-आधारित प्रक्रिया बेहतर है
  • data ethics सिद्धांतों का पालन करें: HSBC के घोषित ‘data और AI के ethical use principles’ के अनुसार purpose suitability और transparency सुनिश्चित करनी चाहिए

निष्कर्ष

  • HSBC ने ट्रैकिंग पिक्सेल की विश्वसनीयता की सीमाओं को गलत समझकर ग्राहक ईमेल की गलत व्याख्या की
  • यह मामला दिखाता है कि surveillance capitalism जैसी data collection practices वित्तीय संस्थानों के संचालन तक पहुँच चुकी हैं
  • लेखक ने ज़ोर दिया कि HSBC को तकनीकी गलती स्वीकार कर पारदर्शी data use और ग्राहक privacy protection को मज़बूत करना चाहिए

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-01-30
Hacker News की राय

  • यह बात ध्यान खींचने वाली थी कि 2026 में भी कंटेंट HTTP पर सर्व किया गया
    अगर ढंग से security review हुआ होता तो यह पकड़ में आ जाता, लेकिन लगता है वह चरण ही छोड़ दिया गया
    मैं बैंकिंग डेटा के साथ काम करता हूँ, और अंदरूनी सिस्टम भी उतने ही बदहाल हैं
    एक ही बैंक के भीतर CSV date format अलग-अलग होते हैं, और transaction descriptions कटे-फटे strings में होते हैं, यानी कोई standardization नहीं
    इतनी regulatory pressure के बावजूद हालत ऐसी है, क्योंकि ज़्यादातर बैंक digital infrastructure को अब भी पुरानी plumbing की तरह ट्रीट करते हैं

    • मैंने भी banking data के साथ काम किया है, और वास्तव में OFX नाम का एक standard format मौजूद है
      लेकिन हर बैंक memo length अलग तरह से truncate करता है, या AMEX की तरह NAME और MEMO fields को उलट देता है, यानी पूरी अव्यवस्था है
      फिर भी कम-से-कम एक बुनियादी standard तो मौजूद है
      संबंधित दस्तावेज़: Open Financial Exchange, Financial Data Exchange
    • बैंक online banking UI पर उतना ध्यान नहीं देते
      ATM screens भी उसी तरह पुराने लगते हैं
    • असल में कई बार HTTP का इस्तेमाल जानबूझकर भी किया जाता है
      उदाहरण के लिए ACME HTTP-01 challenge, certificate issuance, और CRL/OCSP responses अब भी HTTP इस्तेमाल करते हैं
      RFC8555, Let's Encrypt docs देखें
      इसलिए “HTTP अब बेकार है” जैसी सामान्य बात कहना गलत है
    • इस मामले में मुझे नहीं पता कि HTTP सच में समस्या है या नहीं
      HTTPS भी SNI एक्सचेंज करता है, इसलिए यह पता चल सकता है कि कौन HSBC से communicate कर रहा है
      URL का बाकी हिस्सा बस anonymized tracking ID है, इसलिए असली खतरा बहुत बड़ा नहीं लगता
    • संभवतः email tracking संभालने वाली किसी third-party service ने HTTP पर content serve किया होगा
      क्योंकि HTTPS इस्तेमाल करने पर setup और certificate management ज़्यादा जटिल हो जाते हैं

  • मैं सोच रहा था कि यह हुआ क्यों
    banking IT में ऐसी email tracking feature जैसी चीज़ लाने में भी दर्जनों लोग शामिल होते हैं और एक साल लग जाता है
    उस प्रक्रिया में किसी developer ने ज़रूर कहा होगा कि “2026 में HTTP unsafe है”, लेकिन संभवतः middle managers ने उसे नज़रअंदाज़ कर दिया

    • मैंने भी FAANG में email content creation team को support किया था, और न जाने कितनी बार समझाया कि “open tracking भरोसेमंद नहीं है”, फिर भी किसी ने नहीं सुना
      executives बार-बार पूछते थे कि किसी ने mail खोली फिर भी record क्यों नहीं है, और किसी ने नहीं खोली फिर भी record क्यों है
      authors click-through rate से ज़्यादा open rate देखकर उसे performance metric बना लेते हैं
      आखिर में हर कोई अपने आपको अच्छा महसूस कराने के लिए inaccurate metrics का इस्तेमाल करता है
    • काबिल लोग होंगे भी, लेकिन बड़े बैंकों में tech roles में ज़्यादातर लोग पूरी तरह demotivated रहते हैं
      management सारे फैसले लेता है, और developers बस बताए गए काम करते हैं
      मैंने भी पहले एक बड़े बैंक में काम किया था; जो लोग कुछ साल में निकल नहीं जाते, वे बस “button दबाओ और salary लो” वाले बनकर रह जाते हैं
    • फिर भी कम-से-कम email से notification भेजना बेहतर है
      “एक महत्वपूर्ण संदेश है, login करें” जैसे mail से तो यह कहीं बेहतर है
    • मुझे लगता है यह ‘state of the practice’ जैसा ही है
      apartment apps की तरह convenience features धीरे-धीरे अनिवार्य बन जाते हैं, और अंत में हर user को उसी के हिसाब से चलना पड़ता है
      इस प्रक्रिया में व्यक्ति का नियंत्रण कम होता जाता है
    • सच कहूँ तो ऐसी परिस्थितियों में किसी काबिल developer के बैंक में टिके रहने की कोई वजह नहीं होती
      न salary खास होती है, न environment, और innovation की गुंजाइश भी लगभग नहीं होती

  • NAB Australia भी बिल्कुल ऐसा ही करता है
    अगर email में remote images लोड न हों, तो वे डाक से लिख भेजते हैं कि “email deliver नहीं हो रही”, और paper statements पर switch कर देते हैं
    जबकि email तो ठीक से आ रही होती है

    • मेरे साथ भी Capital One में ऐसा हुआ था
      उन्होंने यह मानकर balance alerts अपने-आप disable कर दिए कि मैं emails पढ़ नहीं रहा
      जबकि मैंने सिर्फ read receipts बंद किए थे और remote resources block किए थे
      आख़िरकार मैंने बैंक बदल दिया
    • बैंक को यह verify करने की ज़रूरत हो सकती है कि customer को email मिली या नहीं, लेकिन paper mail उससे भी ज़्यादा अविश्वसनीय है
      apartment mailboxes में चिट्ठियाँ अक्सर गलत जगह पहुँच जाती हैं, चोरी हो जाती हैं, या कभी-कभी जल भी जाती हैं

  • पहले मुझे Bank of America से marketing spam मिलता था, और उसमें unsubscribe option नहीं था
    इसलिए मैंने वह email address disable कर दिया, तो उन्होंने डाक से लिखा कि “email bounce हो रही है”, इसे ठीक करें
    अंततः मैंने उसे कई साल disabled ही रहने दिया, और बाद में जाकर email preferences वाला फीचर आया
    मेरी पत्नी को अब भी Citi से spam mail आता है, और वहाँ भी unsubscribe का तरीका नहीं है
    यह सब देखकर HSBC IT team का tracking pixel के आधार पर यह निष्कर्ष निकालना कि “mail पढ़ी नहीं गई”, सचमुच बेहद मूर्खतापूर्ण है
    आजकल ज़्यादातर email clients default रूप से images block करते हैं

  • HSBC की तकनीकी क्षमता वाकई बहुत खराब है
    online banking app 2000s के शुरुआती दौर जैसी लगती है, और मेरे परिवार में एक व्यक्ति अब भी इसका इस्तेमाल करता है और उसे लगातार errors मिलते रहते हैं
    यह user mistake नहीं, system की समस्या है

  • अगर बैंक से अपनी बात मनवानी हो तो account बंद करना सबसे असरदार तरीका है
    बेशक, उसके लिए सचमुच बैंक बदलने की तैयारी होनी चाहिए

    • लेकिन आजकल बैंक account से पैसा कमाने वाले ढाँचे पर नहीं चलते, इसलिए account बंद करने से उन्हें ज़्यादा चोट नहीं लगती
    • इसकी जगह regulator के पास शिकायत दर्ज करना कहीं ज़्यादा असरदार है
      अगर समस्या आधिकारिक रूप से दर्ज हो जाए, तो बार-बार होने पर कार्रवाई संभव होती है
    • असल में HSBC ने खुद सामान्य accounts बंद किए होने के मामले भी हैं
      The Guardian article देखें
      मैं भी उस समय प्रभावित हुआ था, और उसके बाद Wise पर चला गया

  • Capital One भी ऐसा ही करता है
    हाँ, वे कम-से-कम साफ़ तौर पर बताते हैं कि “आपने हाल में email नहीं खोली”, इसलिए उनका मतलब समझ में आ जाता है
    वास्तव में मैंने email खोली थी, बस tracking pixel block किया था

    • अगर मुझे वही पंक्ति दिखती है, तो मैं Gmail rule से उसे अपने-आप delete करवा देता हूँ
      उनकी समस्या मुझे क्यों हल करनी चाहिए

  • Gmail images को पहले से download कर लेता है, इसलिए user वास्तव में mail न भी खोले, तो भी tracking pixel hit हो जाता है

    • मैंने high school students के लिए tech ethics class में Gmail account से इसका demo दिया था, और यह सच में काम करता देखकर मैं भी चौंक गया
    • Apple Mail या ज़्यादातर webmail भी ऐसे ही हैं, इसलिए open signal लगभग बेकार है
    • मैंने सुना है कि Gmail वही image कई लोगों को भेजी जाए तो heuristic filtering लागू करता है
      मैंने खुद test नहीं किया, लेकिन शायद दूसरी mail services भी ऐसा करती होंगी
    • जब Gmail images download करता है, तो उसे GoogleImageProxy के रूप में पहचाना जा सकता है, और request GCP ASN से आती है
      ज़्यादातर email services malware scanning के लिए server side पर images पहले से fetch करती हैं
      इसलिए व्यवहार में pixel tracking लगभग हमेशा external email service provider द्वारा ही handle की जाती है

  • मेरे साथ भी HSBC में बिल्कुल यही हुआ था
    digital ID से 10 मिनट में account खुल गया, और एक दिन में Apple Pay card भी मिल गया, इसलिए process शानदार लगी
    लेकिन मैंने marketing emails से opt out किया, फिर उन्होंने “welcome upsell” mail भेजी, वह bounce हो गई, और account block कर दिया
    आखिर में मेरे साथ भी OP जैसी ही स्थिति हुई

  • Charles Schwab भी ऐसा ही है
    email ठीक से आती है, फिर भी वे कहते हैं “deliver नहीं हो रही” और paper statements पर switch कर देते हैं
    असली समस्या tracking pixel block होना है

    • लगता है मेरे साथ Fidelity में भी यही समस्या है
      custom domain email पर error आती है, लेकिन ProtonMail address ठीक काम करता है
      शायद इसलिए कि ProtonMail tracking pixels को block नहीं करता
    • Capital One भी बिल्कुल ऐसा ही है
      अब मैंने बस इसकी परवाह करना छोड़ दिया है
      paper mail पर उनका पैसा खर्च होता है, तो शायद कभी न कभी उन्हें खुद समझ आ जाएगा