सटीक लोकेशन जानकारी की बिक्री पर प्रतिबंध
(lawfaremedia.org)- अमेरिका की adtech-आधारित निगरानी प्रणाली Webloc दुनिया भर में अधिकतम 50 करोड़ मोबाइल डिवाइसों से सटीक लोकेशन डेटा एकत्र और बेच रही है
- इस डेटा में डिवाइस पहचानकर्ता, निर्देशांक, ऐप प्रोफ़ाइल शामिल हैं, और इसे अमेरिकी पुलिस, सेना, संघीय एजेंसियों सहित विभिन्न सरकारी संगठन खरीदकर उपयोग करते हैं
- Webloc, Penlink के Tangles प्लेटफ़ॉर्म के साथ एकीकृत है, जिससे अनाम डिवाइसों को social accounts से जोड़कर वारंट के बिना व्यक्तियों की पहचान संभव हो जाती है
- यह डेटा विदेशी खुफिया एजेंसियों को भी बेचा जा सकता है, जिससे राष्ट्रीय सुरक्षा जोखिम पैदा हो सकता है, और कानूनी नियंत्रण व निगरानी की कमी एक प्रमुख समस्या बताई गई है
- अमेरिका को केवल उपयोग पर प्रतिबंध लगाने से आगे बढ़कर सटीक लोकेशन डेटा के निर्माण और बिक्री पर ही रोक लगानी चाहिए, और Virginia के प्रतिबंध कानून को इसका पहला उदाहरण माना जा रहा है
Webloc निगरानी प्रणाली की वास्तविकता
- Citizen Lab की जांच के अनुसार, अमेरिका की adtech-आधारित निगरानी प्रणाली Webloc दुनिया भर के अधिकतम 50 करोड़ मोबाइल डिवाइसों का डेटा एकत्र कर बेच रही है
- डेटा में डिवाइस पहचानकर्ता, लोकेशन निर्देशांक, ऐप प्रोफ़ाइल जानकारी शामिल है
- Webloc को मूल रूप से Cobweb Technologies ने विकसित किया था, और 2023 में Penlink के साथ विलय के बाद अब Penlink इसे बेच रही है
- लीक हुए तकनीकी प्रस्तावों में स्पष्ट रूप से लिखा है कि Webloc का उपयोग अलग-अलग डिवाइसों को ट्रैक करने या लक्षित व्यक्तियों की खोज के लिए किया जा सकता है
- उदाहरण के तौर पर, अबू धाबी के एक व्यक्ति को एक दिन में 12 से अधिक बार ट्रैक किए जाने का मामला और Romania व Italy में एक साथ लोकेशन पाए गए दो डिवाइसों का मामला दिया गया
- Citizen Lab ने इस डेटा की बारीकी को “रीढ़ में सिहरन पैदा करने वाला” बताया
सरकारी एजेंसियों और law enforcement द्वारा उपयोग
- Webloc के ग्राहकों में अमेरिकी Department of Homeland Security (DHS), Immigration and Customs Enforcement (ICE), अमेरिकी सैन्य इकाइयाँ, Bureau of Indian Affairs Police, और California, Texas, New York, Arizona की राज्य पुलिस शामिल हैं
- Tucson Police Department ने Webloc का उपयोग कर सिलसिलेवार cigarette theft के एक संदिग्ध की पहचान की, और बार-बार अपराध स्थल के पास मौजूद एक ही डिवाइस को ट्रैक करके संदिग्ध का पता निकाला
- Webloc, Penlink के मुख्य उत्पाद के बजाय Tangles नामक web और social media analysis platform की एक अतिरिक्त सुविधा है
- Tangles नाम, email, phone number, username आदि से online accounts खोजता है और posts, relationships, activities, interests का विश्लेषण करता है
- यह geospatial analysis, network analysis, target card creation, alert functions प्रदान करता है
- Webloc के साथ एकीकरण होने पर अनाम डिवाइस पहचानकर्ताओं को social accounts से जोड़ना संभव हो जाता है, जिससे वारंट के बिना व्यक्तिगत पहचान की जा सकती है
कानूनी-नैतिक समस्याएँ और राष्ट्रीय सुरक्षा जोखिम
- ये उपकरण जांच में उपयोगी हो सकते हैं, लेकिन मज़बूत approval और oversight प्रक्रियाओं के बिना कोई भी इन्हें खरीदकर उपयोग कर सके, यह खतरनाक है
- Tucson पुलिस की आंतरिक प्रक्रिया रिपोर्ट में स्पष्ट नहीं की गई
- अमेरिका के भीतर ऐसे उपकरणों के उपयोग पर कानूनी guardrails की जरूरत है, और साथ ही राष्ट्रीय सुरक्षा जोखिम भी मौजूद है
- यही डेटा विदेशी खुफिया एजेंसियों द्वारा अमेरिकी हितों को निशाना बनाने में इस्तेमाल किया जा सकता है
- Penlink के विदेशी ग्राहकों में Hungary की domestic intelligence agency और El Salvador National Police शामिल हैं, और ये संस्थाएँ भी अपने-अपने देशों में निगरानी के लिए लोकेशन डेटा का उपयोग करती हैं
- Citizen Lab का मानना है कि वे सीधे अमेरिका को निशाना नहीं बना रहे, लेकिन उसने चेतावनी दी कि सटीक लोकेशन डेटा का दुनिया भर में खुफिया संग्रह के लिए उपयोग संभव है
प्रतिबंधात्मक कदम और नीति परिवर्तन
- अमेरिका को केवल डेटा उपयोग को सीमित करने से आगे बढ़कर सटीक लोकेशन डेटा के निर्माण और बिक्री पर ही रोक लगानी चाहिए
- एक सकारात्मक बदलाव के रूप में, Virginia ने हाल ही में ग्राहकों के सटीक लोकेशन डेटा की बिक्री पर प्रतिबंध लगाने वाला कानून पारित किया है
- संघीय स्तर के व्यापक privacy कानून में देरी के बीच, राज्य-स्तरीय कदम को व्यावहारिक जवाब माना जा रहा है
- लेकिन इसके बाद राष्ट्रीय स्तर पर प्रतिबंध भी आना चाहिए
AI का उपयोग करने वाले hacking campaign का मामला
- सुरक्षा कंपनी Gambit ने एक ऐसे मामले का विश्लेषण किया जिसमें एक अकेले hacker ने दो commercial AI platforms का उपयोग कर मेक्सिको की 9 सरकारी एजेंसियों में घुसपैठ की
- कुछ ही हफ्तों में उसने करोड़ों नागरिक डेटा रिकॉर्ड चुरा लिए और tax certificate forgery service बना ली
- hacker ने तीन VPS का उपयोग किया, और Claude Code ने remote code execution commands का लगभग 75% तैयार और चलाया
- घुसपैठ के बाद उसने OpenAI GPT-4.1 API से एकत्रित डेटा का विश्लेषण किया और आगे के हमलों की योजना बनाई
- 26 दिसंबर 2025 को hacker ने Claude से कहा कि वह “bug bounty test” कर रहा है और log deletion जैसे नियम दिए
- जब Claude ने वैधता का प्रमाण मांगा, तो hacker ने claude.md फ़ाइल में penetration testing cheatsheet सहेजकर session context बनाए रखा
- 20 मिनट बाद, vulmap scanner के जरिए मेक्सिको की कर एजेंसी (SAT) के सर्वर तक remote access हासिल कर लिया गया
- Claude ने attack scripts अपने आप तैयार किए और 7 मिनट में 8 अलग-अलग approaches आजमाकर सफल code लिख दिया
- Claude ने कुछ अनुरोध ठुकराए, लेकिन hacker ने command restructuring और bypass के जरिए अधिकतर काम करवा लिया
- 5 दिनों के भीतर उसने कई victim networks पर एक साथ काम शुरू कर दिया
- hacker ने GPT-4.1 API के जरिए automated reconnaissance और data analysis भी साथ-साथ चलाया
- 17,550 पंक्तियों वाला एक Python tool सर्वर डेटा निकालकर GPT-4.1 को भेजता था
- छह virtual analyst personas ने 305 सर्वरों से 2,957 structured intelligence reports तैयार कीं
- हमले की तकनीक स्वयं नई नहीं थी, और target systems security updates के बिना तथा end-of-support स्थिति में थे
- लेकिन मुख्य बात यह थी कि AI ने एक अकेले hacker की काम की गति और दक्षता को टीम-स्तर तक बढ़ा दिया
- रक्षा के दृष्टिकोण से, अब छोटे हमलावर भी बड़े पैमाने पर नुकसान पहुँचा सकते हैं
इस सप्ताह की सकारात्मक cyber security खबरें
- अमेरिकी न्याय विभाग, रूस के GRU द्वारा चलाए गए घरेलू राउटर-आधारित botnet को अदालत की मंजूरी से ध्वस्त किया
- GRU ने TP-Link routers को संक्रमित कर DNS hijacking की और उन्हें man-in-the-middle attacks में इस्तेमाल किया
- FBI और इंडोनेशियाई पुलिस ने W3LL phishing kit का उपयोग करने वाले वैश्विक phishing network को तोड़ा
- इंडोनेशियाई पुलिस ने इसके developer को गिरफ्तार किया, और इसे दोनों देशों की पहली संयुक्त cyber investigation माना जा रहा है
- Google ने Device Bound Session Credentials (DBSC) को Windows के लिए Chrome 146 में जोड़ा
- authentication tokens को device-specific cryptographic keys से बाँधकर session hijacking रोकी जाएगी
- MacOS संस्करण के लिए समर्थन भी जल्द आने वाला है
Risky Bulletin की मुख्य बातें
- malicious LLM proxy routers के वास्तविक बाजार में उपलब्ध होने की पुष्टि हुई
- शोधकर्ताओं ने Taobao, Xianyu, Shopify आदि पर बिक रहे 28 paid routers और GitHub आदि पर सार्वजनिक 400 free routers का विश्लेषण किया
- कुछ routers command injection, delay triggers, credential theft, analysis evasion जैसी दुर्भावनापूर्ण गतिविधियाँ करते पाए गए
- फ्रांसीसी सरकार ने Windows पर निर्भरता घटाने और Linux migration की दिशा में पहला कदम शुरू किया
- DINUM को अग्रणी संस्था बनाकर बड़े पैमाने पर migration test चलाया जा रहा है
- 8 अप्रैल की बहु-मंत्रालयी seminar में हर मंत्रालय ने transition plan और alternative technologies की तैयारी का वादा किया
- चीन की cyber security strategy का विश्लेषण
- नवीनतम 5-year plan (15th FYP) में “cyber superpower (网络强国)” के निर्माण को 5 प्रमुख superpower लक्ष्यों में शामिल किया गया
- बाकी चार क्षेत्र manufacturing, quality, aerospace, transport superpower के रूप में निर्धारित हैं
1 टिप्पणियां
Hacker News की राय
बाज़ार में मिलने वाला बहुत-सा location data भले ही anonymized बताया जाता हो, लेकिन व्यवहार में अक्सर किसी खास device की फिर से पहचान की जा सकती है
अगर देखा जाए कि कोई device रात में कहाँ ठहरता है, तो घर का पता अनुमानित किया जा सकता है, और निवासी की जानकारी (काम की जगह, स्कूल आदि) से मिलान करके मालिक की पहचान की जा सकती है
संबंधित शोध-पत्र यहाँ है
उदाहरण के लिए, अगर server को भेजने से पहले device identifiers हटा देने वाली stateless proxy संरचना अपनाई जाए, तो database में बचने वाली जानकारी ही नहीं रहेगी
अभी databases इतने बड़े नहीं हैं, लेकिन भविष्य में यह असंभव नहीं लगेगा
warrant या स्पष्ट contract के बिना इस तरह का data इकट्ठा करना प्रतिबंधित होना चाहिए
अमेरिका में personal data की अवधारणा लगभग है ही नहीं। HIPAA के कुछ हिस्सों को छोड़ दें, तो सुरक्षा व्यवस्था लगभग अनुपस्थित है
UK के Data Protection Act 1998 जैसे कानून भर से भी बहुत-सी गैरकानूनी गतिविधियाँ रोकी जा सकती हैं
जैसे ही अमीर और ताकतवर लोग समझेंगे कि उन्हें भी track किया जा सकता है, regulation शुरू हो जाएगा
सेना जब target को track करके eliminate करती है, तब भी location data अहम होता है, और ऐसा data brokers के ज़रिए बहुत आसानी से खरीदा-बेचा जा रहा है
privacy पर बहस हमेशा देर से प्रतिक्रिया देने वाली संरचना में फँसी रहती है
surveillance technology बनती है, उसका दुरुपयोग होता है, वह उजागर होती है, जनता को पता चलता है, और उसके बाद जाकर कानून बनता है
यह feedback loop बहुत धीमा है, और मूल रूप से क्षयकारी है। पूरी तरह अलग approach की ज़रूरत है
data इकट्ठा करने के तकनीकी कारण हो सकते हैं, लेकिन बेचने का कोई जायज़ कारण नहीं है
copyright law का विस्तार करके किसी व्यक्ति की movement history को ‘creative expression’ की तरह संरक्षित करने का विचार रखा गया
location data कोई creative work नहीं है, और यह भी स्पष्ट नहीं कि ‘record करने वाला’ कौन है
संबंधित लेख यहाँ देखा जा सकता है
ज़्यादातर लोग location data के जोखिम को कम करके आँकते हैं
brokers से data खरीदकर किसी खास पते के आसपास geofencing किया जाए, तो यह ट्रैक किया जा सकता है कि वह व्यक्ति कहाँ जाता है और किन लोगों के साथ रहता-बैठता है
यह Palantir या authoritarian सरकारों के सपने जैसा परफेक्ट control tool है
सार्वजनिक अभिलेख देखते समय मैंने एक अजीब मामला देखा था
मेरे आसपास की हर जगह पर एक ही नाम वाला व्यक्ति ‘पड़ोसी’ के रूप में दिखाया जा रहा था। पता नहीं वह असली व्यक्ति था या fake profile
अगर ऐसी जानकारी में GPS coordinates भी जुड़ जाएँ, तो किसी व्यक्ति की रोज़मर्रा की आवाजाही credit record की तरह सार्वजनिक हो सकती है
संबंधित tools के screenshots और विस्तृत analysis Citizen Lab report में देखे जा सकते हैं
अब मुझे लगता है कि video पोस्ट करना भी सभी दिखाई देने वाले लोगों की स्पष्ट सहमति के बिना गैरकानूनी होना चाहिए
परिवार के भीतर साझा करना ठीक है, लेकिन बाहरी सार्वजनिक पोस्ट के लिए सबकी consent ज़रूरी होनी चाहिए
influencer culture की वजह से हम ऐसे दौर में हैं जहाँ निजता का उल्लंघन पैसा कमाने का साधन बन गया है, इसलिए कानूनी सुरक्षा बहुत अधिक मजबूत होनी चाहिए
location data भी कभी बेचा या उजागर नहीं किया जाना चाहिए
harassment पहले से ही अपराध है, इसलिए अनावश्यक रूप से दमनकारी कानून बनाने से बचना चाहिए