दुनिया

2019 में भारत में हुए वॉट्सऐप-एनएसओ हैक का वक़्त पेगासस प्रोजेक्ट के डेटाबेस से मेल खाता है

पेगासस प्रोजेक्ट के तहत मिले दस्तावेज़ दिखाते हैं कि 2019 में जिन भारतीय नंबरों को वॉट्सऐप ने हैकिंग को लेकर चेताया था, वे उसी अवधि में में चुने गए थे जब वॉट्सऐप के मुताबिक़ पेगासस स्पायवेयर ने इस मैसेजिंग ऐप की कमज़ोरियों का फायदा उठाते हुए उसके यूज़र्स को निशाना बनाया था.

(फोटो: रॉयटर्स)

नई दिल्ली: पेगासस प्रोजेक्ट के तहतद वायर  द्वारा हाल ही में रिपोर्ट किए गए स्पायवेयर के संभावित निशानों के रिकॉर्ड और 2019 में भारतीय फोन हैक करने के लिए वॉट्सऐप के इस्तेमाल के गहन विश्लेषण में सामने आए तथ्य लीक हुए डेटाबेस को और पुष्ट करते हैं. उल्लेखनीय है कि वॉट्सऐप के भारतीय फोन नंबरों की हैकिंग में इस्तेमाल की बात नरेंद्र मोदी सरकार ने उस साल संसद में स्वीकारी थी.

द वायर  और इसके अंतरराष्ट्रीय मीडिया सहयोगियों द्वारा एक्सेस किए गए रिकॉर्ड में न केवल वे सभी दो दर्जन भारतीय, जिन्होंने 2019 में सार्वजनिक रूप से पेगासस द्वारा निशाना बनाए जाने की बात स्वीकारी थी, शामिल हैं, बल्कि लीक हुए डेटाबेस के रिकॉर्ड यह भी दिखाते हैं कि उनके फोन नंबर मार्च-अप्रैल 2019 में 12 दिनों की उस अवधि में चुने गए, जब वॉट्सऐप के अनुसार पेगासस स्पायवेयर ने उसके यूज़र्स को निशाना बनाने के इस मैसेजिंग ऐप की कमजोरियों का फायदा उठाया था.

डेटा के इन दो स्रोतों- 2019 के लक्ष्यों की सूची और पेगासस प्रोजेक्ट में सामने आए डेटाबेस- के तुलनात्मक विश्लेषण से कुछ नए खुलासे भी हुए हैं. उदाहरण के लिए, पेगासस प्रोजेक्ट डेटा के जरिये द वायर  ने 2019 के हमले का निशाना बने कम से कम एक शख्स की पहचान की, जो पहले सामने नहीं आए थे.

वॉट्सऐप का मुकदमा

नवंबर 2019 में 100 से अधिक भारतीयों को संदेश मिला कि उनके फोन को हैक करने का प्रयास किया गया है. उनमें से 23 ने दस्तावेजी साक्ष्य साझा करते हुए मीडिया को बताया कि उन्हें एक चेतावनी मिली थी. उन्हें जो चेतावनियां मिलीं, वे या तो वॉट्सऐप या टोरंटो स्थित सिटीजन लैब से आई थीं. सिटीजन लैब एक इंटरनेट साइबर सुरक्षा निगरानी संस्था है, जो संभावित लक्ष्यों की पहचान करने के लिए सिलिकॉन वैली कंपनी के साथ जुड़ी थी. कुछ लोगों को इन दोनों की तरफ से ही संदेश मिले थे.

वॉट्सऐप के अनुसार, जिन लोगों को एनएसओ ग्रुप के पेगासस स्पायवेयर द्वारा निशाना बनाया गया था, उनका दायरा काफी बड़ा था, लेकिन इनमें से कइयों में एक बात समान थी- वॉट्सऐप के सीईओ विल कैथकार्ट के शब्दों में कहें– तो ‘वे ऐसे लोग थे, जिनके पास निगरानी में होने की कोई वजह नहीं थी.’

जब 2019 में वॉट्सऐप ने एनएसओ ग्रुप के खिलाफ कैलिफोर्निया की एक अदालत में मुकदमा दायर किया, तो सामने रखे गए दावों ने ऐसे साक्ष्यों का काम किया, जिसने बताया कि भारत के भीतर भारतीय नागरिकों के फोन पर पेगासस हमलों की पहचान की गई थी (पहली बार सिटीजन लैब के मूल विश्लेषण में सामने आए दक्षिण एशिया केंद्रित पेगासस ऑपरेटर को ‘गंगा’ कहा गया था.)

वॉट्सऐप की इन चेतावनियों ने उस समय भारत में केवल कुछ समय के लिए सियासी हलचल पैदा की थी, पर अब देश में पेगासस स्पायवेयर के इस्तेमाल को लेकर हुए नए मीडिया खुलासों के आलोक में इन्हें नई प्रासंगिकता मिली है.

पहला लिंक

उदाहरण के लिए, द वायर  अब इस बात की पुष्टि कर सकता है कि 2019 में सार्वजनिक हुए सभी 23 भारतीय पीड़ितों के फोन नंबर हजारों नंबरों की लीक सूची में भी दिखाई देते हैं, जिसकी हाल ही में 17 मीडिया संगठनों के कंसोर्टियम ने पेगासस प्रोजेक्ट के तहत जांच की थी.

बताया गया है कि पेगासस प्रोजेक्ट द्वारा जांचे गए नंबरों की सूची में एनएसओ समूह, जो दुनिया भर में केवल ‘सत्यापित’ सरकारी एजेंसियों को ही सर्विलांस सॉफ्टवेयर बेचती है, के ग्राहकों की दिलचस्पी थी.

जिन 23 व्यक्तियों ने स्वीकार किया कि उन्हें 2019 में चेतावनी मिली है, उनमें कार्यकर्ता, वकील, शिक्षाविद और पत्रकार शामिल हैं. इसमें शामिल सभी लोगों के नाम नीचे हैं:

इस संकलन से कई निष्कर्ष निकलते हैं. पहला, उन सभी का कम से कम एक नंबर पेगासस प्रोजेक्ट के डेटाबेस में मिला है – लेकिन कई लोगों के पास दो नंबर हैं, जिनमें शालिनी गेरा, आनंद तेलतुम्बडे और बेला भाटिया शामिल हैं.

दूसरा, 2019 में निशाना बनाए गए सामने आए सभी के पास एंड्रॉयड स्मार्टफोन थे, यह ऐसा पैटर्न है, जिसके बारे में पेगासस प्रोजेक्ट का मानना ​​है कि यह दुनिया भर में वॉट्सऐप हैकिंग का सामान्य तरीका था.

दूसरा लिंक

जैसा कि द वायर  ने बताया था कि पेगासस प्रोजेक्ट के डेटा में वह समय और तारीख (टाइम स्टैंप) दर्ज मिलता है, जब कोई नंबर चुना गया या इसे सिस्टम में जोड़ा गया.

कैलिफोर्निया के नॉर्दर्न डिस्ट्रिक्ट कोर्ट में दायर मुकदमे में वॉट्सऐप ने दावा किया था कि एनएसओ ग्रुप और उसके क्लाइंट्स ने ’29 अप्रैल 2019 और 10 मई 2019 के बीच वॉट्सऐप सर्वर पर दुर्भावनापूर्ण कोड डालते हुए करीब 1,400 डिवाइस को निशाना बनाने का प्रयास किया.’

द वायर  द्वारा लीक हुए डेटा के विश्लेषण से पता चलता है कि ऊपर बताए गए सभी 23 लोगों के फोन नंबरों के साथ कम से कम एक ऐसा रिकॉर्ड था, जो उस दो सप्ताह की अवधि में आता है जिसमें वॉट्सऐप के अनुसार उसके यूजर्स पर हमला किया गया था.

यह महत्वपूर्ण क्यों है? पेगासस प्रोजेक्ट के लिए एमनेस्टी इंटरनेशनल की सिक्योरिटी लैब द्वारा किए गए फॉरेंसिक विश्लेषण का निष्कर्ष था कि लीक हुए डेटा में मौजूद टाइम स्टैंप और निशाना बनाए गए लोगों के फोन पर पाए गए इंफेक्शन के सबूत आपस में जुड़े थे.

सीधे शब्दों में कहें, डेटा में मौजूद इसी टाइम स्टैंप (यानी उस समय) के ठीक बाद इन नंबरों में पेगासस के होने के साक्ष्य का पता चला.

तथ्य यह है कि 2019 में वॉट्सऐप द्वारा सूचित किए गए सभी 24 भारतीय लक्ष्यों में कम से कम एक टाइम स्टैंप ऐसी है, जो उसी अवधि की है, जिसमें वॉट्सऐप का मानना ​​​​है कि एनएसओ ग्रुप के स्पायवेयर का उपयोग करके हमले शुरू किए गए थे, इसलिए यह तथ्य पेगासस प्रोजेक्ट और वॉट्सऐप/फेसबुक के मुकदमे, दोनों की विश्वसनीयता को पुष्ट करता है.

डेटाबेस ने वॉट्सऐप हैकिंग के अन्य पीड़ितों का पता लगाने में मदद की

2019 में केवल 23 व्यक्ति सार्वजनिक रूप से सामने आए थे और वॉट्सऐप ने भारत सरकार को बताया था कि उसके पास यह मानने के पर्याप्त सबूत हैं कि 121 लोगों को निशाना बनाया गया था.

पिछले कुछ हफ्तों में द वायर  को 2019 में वॉट्सऐप द्वारा सूचित किए गए कम से कम नौ और पीड़ितों के बारे में पता चला है, जिनमें से चार के नंबर पेगासस प्रोजेक्ट के लीक हुए डेटाबेस में भी मौजूद हैं.

2019 में इनमें से कोई भी शख्स सामने नहीं आया था और इसी कारण सार्वजनिक तौर पर उनका कहीं कोई उल्लेख नहीं मिलता.

इन नए मामलों में से एक का पता लीक पेगासस प्रोजेक्ट डेटाबेस पर मिले उन नंबरों से संपर्क करने के दौरान चला, जिन्हें 2019 की शुरुआत में चुना गया था. एक चीनी मीडिया संस्थान के साथ काम करने और भारत से बाहर रहने वाले इस व्यक्ति ने अपनी पहचान जाहिर करने से इनकार किया है. उन्होंने बताया कि साल 2019 के अंत में सिटीजन लैब द्वारा उनसे संपर्क किया गया था.

निम्न लोगों  इस सूची में शामिल हैं:

ऊपर दी गई तालिका में से अमर सिंह चहल, दीपक गिडवानी, लक्ष्मण पंत, राकेश रंजन और अज्ञात भारतीय पत्रकार के नंबर डेटाबेस में मौजूद हैं. इन सभी व्यक्तियों के पास कम से कम एक ऐसा टाइम स्टैंप भी है, जो 2019 की शुरुआत में दो सप्ताह की उस अवधि से मेल खाता है, जिसका जिक्र एनएसओ ग्रुप के खिलाफ वॉट्सऐप के मुकदमे में किया गया है.

(इस रिपोर्ट को अंग्रेजी में पढ़ने के लिए यहां क्लिक करें.)