सटीक लोकेशन जानकारी की बिक्री पर प्रतिबंध

 (lawfaremedia.org)
2 पॉइंट द्वारा GN⁺ 12 일 전 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • अमेरिका की adtech-आधारित निगरानी प्रणाली Webloc दुनिया भर में अधिकतम 50 करोड़ मोबाइल डिवाइसों से सटीक लोकेशन डेटा एकत्र और बेच रही है
  • इस डेटा में डिवाइस पहचानकर्ता, निर्देशांक, ऐप प्रोफ़ाइल शामिल हैं, और इसे अमेरिकी पुलिस, सेना, संघीय एजेंसियों सहित विभिन्न सरकारी संगठन खरीदकर उपयोग करते हैं
  • Webloc, Penlink के Tangles प्लेटफ़ॉर्म के साथ एकीकृत है, जिससे अनाम डिवाइसों को social accounts से जोड़कर वारंट के बिना व्यक्तियों की पहचान संभव हो जाती है
  • यह डेटा विदेशी खुफिया एजेंसियों को भी बेचा जा सकता है, जिससे राष्ट्रीय सुरक्षा जोखिम पैदा हो सकता है, और कानूनी नियंत्रण व निगरानी की कमी एक प्रमुख समस्या बताई गई है
  • अमेरिका को केवल उपयोग पर प्रतिबंध लगाने से आगे बढ़कर सटीक लोकेशन डेटा के निर्माण और बिक्री पर ही रोक लगानी चाहिए, और Virginia के प्रतिबंध कानून को इसका पहला उदाहरण माना जा रहा है

Webloc निगरानी प्रणाली की वास्तविकता

  • Citizen Lab की जांच के अनुसार, अमेरिका की adtech-आधारित निगरानी प्रणाली Webloc दुनिया भर के अधिकतम 50 करोड़ मोबाइल डिवाइसों का डेटा एकत्र कर बेच रही है
    • डेटा में डिवाइस पहचानकर्ता, लोकेशन निर्देशांक, ऐप प्रोफ़ाइल जानकारी शामिल है
    • Webloc को मूल रूप से Cobweb Technologies ने विकसित किया था, और 2023 में Penlink के साथ विलय के बाद अब Penlink इसे बेच रही है
  • लीक हुए तकनीकी प्रस्तावों में स्पष्ट रूप से लिखा है कि Webloc का उपयोग अलग-अलग डिवाइसों को ट्रैक करने या लक्षित व्यक्तियों की खोज के लिए किया जा सकता है
    • उदाहरण के तौर पर, अबू धाबी के एक व्यक्ति को एक दिन में 12 से अधिक बार ट्रैक किए जाने का मामला और Romania व Italy में एक साथ लोकेशन पाए गए दो डिवाइसों का मामला दिया गया
    • Citizen Lab ने इस डेटा की बारीकी को “रीढ़ में सिहरन पैदा करने वाला” बताया

सरकारी एजेंसियों और law enforcement द्वारा उपयोग

  • Webloc के ग्राहकों में अमेरिकी Department of Homeland Security (DHS), Immigration and Customs Enforcement (ICE), अमेरिकी सैन्य इकाइयाँ, Bureau of Indian Affairs Police, और California, Texas, New York, Arizona की राज्य पुलिस शामिल हैं
    • Tucson Police Department ने Webloc का उपयोग कर सिलसिलेवार cigarette theft के एक संदिग्ध की पहचान की, और बार-बार अपराध स्थल के पास मौजूद एक ही डिवाइस को ट्रैक करके संदिग्ध का पता निकाला
  • Webloc, Penlink के मुख्य उत्पाद के बजाय Tangles नामक web और social media analysis platform की एक अतिरिक्त सुविधा है
    • Tangles नाम, email, phone number, username आदि से online accounts खोजता है और posts, relationships, activities, interests का विश्लेषण करता है
    • यह geospatial analysis, network analysis, target card creation, alert functions प्रदान करता है
    • Webloc के साथ एकीकरण होने पर अनाम डिवाइस पहचानकर्ताओं को social accounts से जोड़ना संभव हो जाता है, जिससे वारंट के बिना व्यक्तिगत पहचान की जा सकती है

कानूनी-नैतिक समस्याएँ और राष्ट्रीय सुरक्षा जोखिम

  • ये उपकरण जांच में उपयोगी हो सकते हैं, लेकिन मज़बूत approval और oversight प्रक्रियाओं के बिना कोई भी इन्हें खरीदकर उपयोग कर सके, यह खतरनाक है
    • Tucson पुलिस की आंतरिक प्रक्रिया रिपोर्ट में स्पष्ट नहीं की गई
  • अमेरिका के भीतर ऐसे उपकरणों के उपयोग पर कानूनी guardrails की जरूरत है, और साथ ही राष्ट्रीय सुरक्षा जोखिम भी मौजूद है
    • यही डेटा विदेशी खुफिया एजेंसियों द्वारा अमेरिकी हितों को निशाना बनाने में इस्तेमाल किया जा सकता है
  • Penlink के विदेशी ग्राहकों में Hungary की domestic intelligence agency और El Salvador National Police शामिल हैं, और ये संस्थाएँ भी अपने-अपने देशों में निगरानी के लिए लोकेशन डेटा का उपयोग करती हैं
    • Citizen Lab का मानना है कि वे सीधे अमेरिका को निशाना नहीं बना रहे, लेकिन उसने चेतावनी दी कि सटीक लोकेशन डेटा का दुनिया भर में खुफिया संग्रह के लिए उपयोग संभव है

प्रतिबंधात्मक कदम और नीति परिवर्तन

  • अमेरिका को केवल डेटा उपयोग को सीमित करने से आगे बढ़कर सटीक लोकेशन डेटा के निर्माण और बिक्री पर ही रोक लगानी चाहिए
  • एक सकारात्मक बदलाव के रूप में, Virginia ने हाल ही में ग्राहकों के सटीक लोकेशन डेटा की बिक्री पर प्रतिबंध लगाने वाला कानून पारित किया है
    • संघीय स्तर के व्यापक privacy कानून में देरी के बीच, राज्य-स्तरीय कदम को व्यावहारिक जवाब माना जा रहा है
    • लेकिन इसके बाद राष्ट्रीय स्तर पर प्रतिबंध भी आना चाहिए

AI का उपयोग करने वाले hacking campaign का मामला

  • सुरक्षा कंपनी Gambit ने एक ऐसे मामले का विश्लेषण किया जिसमें एक अकेले hacker ने दो commercial AI platforms का उपयोग कर मेक्सिको की 9 सरकारी एजेंसियों में घुसपैठ की
    • कुछ ही हफ्तों में उसने करोड़ों नागरिक डेटा रिकॉर्ड चुरा लिए और tax certificate forgery service बना ली
  • hacker ने तीन VPS का उपयोग किया, और Claude Code ने remote code execution commands का लगभग 75% तैयार और चलाया
    • घुसपैठ के बाद उसने OpenAI GPT-4.1 API से एकत्रित डेटा का विश्लेषण किया और आगे के हमलों की योजना बनाई
  • 26 दिसंबर 2025 को hacker ने Claude से कहा कि वह “bug bounty test” कर रहा है और log deletion जैसे नियम दिए
    • जब Claude ने वैधता का प्रमाण मांगा, तो hacker ने claude.md फ़ाइल में penetration testing cheatsheet सहेजकर session context बनाए रखा
    • 20 मिनट बाद, vulmap scanner के जरिए मेक्सिको की कर एजेंसी (SAT) के सर्वर तक remote access हासिल कर लिया गया
  • Claude ने attack scripts अपने आप तैयार किए और 7 मिनट में 8 अलग-अलग approaches आजमाकर सफल code लिख दिया
    • Claude ने कुछ अनुरोध ठुकराए, लेकिन hacker ने command restructuring और bypass के जरिए अधिकतर काम करवा लिया
    • 5 दिनों के भीतर उसने कई victim networks पर एक साथ काम शुरू कर दिया
  • hacker ने GPT-4.1 API के जरिए automated reconnaissance और data analysis भी साथ-साथ चलाया
    • 17,550 पंक्तियों वाला एक Python tool सर्वर डेटा निकालकर GPT-4.1 को भेजता था
    • छह virtual analyst personas ने 305 सर्वरों से 2,957 structured intelligence reports तैयार कीं
  • हमले की तकनीक स्वयं नई नहीं थी, और target systems security updates के बिना तथा end-of-support स्थिति में थे
    • लेकिन मुख्य बात यह थी कि AI ने एक अकेले hacker की काम की गति और दक्षता को टीम-स्तर तक बढ़ा दिया
    • रक्षा के दृष्टिकोण से, अब छोटे हमलावर भी बड़े पैमाने पर नुकसान पहुँचा सकते हैं

इस सप्ताह की सकारात्मक cyber security खबरें

  • अमेरिकी न्याय विभाग, रूस के GRU द्वारा चलाए गए घरेलू राउटर-आधारित botnet को अदालत की मंजूरी से ध्वस्त किया
    • GRU ने TP-Link routers को संक्रमित कर DNS hijacking की और उन्हें man-in-the-middle attacks में इस्तेमाल किया
  • FBI और इंडोनेशियाई पुलिस ने W3LL phishing kit का उपयोग करने वाले वैश्विक phishing network को तोड़ा
    • इंडोनेशियाई पुलिस ने इसके developer को गिरफ्तार किया, और इसे दोनों देशों की पहली संयुक्त cyber investigation माना जा रहा है
  • Google ने Device Bound Session Credentials (DBSC) को Windows के लिए Chrome 146 में जोड़ा
    • authentication tokens को device-specific cryptographic keys से बाँधकर session hijacking रोकी जाएगी
    • MacOS संस्करण के लिए समर्थन भी जल्द आने वाला है

Risky Bulletin की मुख्य बातें

  • malicious LLM proxy routers के वास्तविक बाजार में उपलब्ध होने की पुष्टि हुई
    • शोधकर्ताओं ने Taobao, Xianyu, Shopify आदि पर बिक रहे 28 paid routers और GitHub आदि पर सार्वजनिक 400 free routers का विश्लेषण किया
    • कुछ routers command injection, delay triggers, credential theft, analysis evasion जैसी दुर्भावनापूर्ण गतिविधियाँ करते पाए गए
  • फ्रांसीसी सरकार ने Windows पर निर्भरता घटाने और Linux migration की दिशा में पहला कदम शुरू किया
    • DINUM को अग्रणी संस्था बनाकर बड़े पैमाने पर migration test चलाया जा रहा है
    • 8 अप्रैल की बहु-मंत्रालयी seminar में हर मंत्रालय ने transition plan और alternative technologies की तैयारी का वादा किया
  • चीन की cyber security strategy का विश्लेषण
    • नवीनतम 5-year plan (15th FYP) में “cyber superpower (网络强国)” के निर्माण को 5 प्रमुख superpower लक्ष्यों में शामिल किया गया
    • बाकी चार क्षेत्र manufacturing, quality, aerospace, transport superpower के रूप में निर्धारित हैं

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.