'नैतिक' स्पाइवेयर का मृगतृष्णा: पैरागॉन इतालवी अभियोजकों को क्यों नज़रअंदाज़ कर रहा है

किसी पत्रकार को एप्पल या व्हाट्सएप से राज्य-प्रायोजित हमले की चेतावनी मिलने से बहुत पहले, एक शांत कार्यालय में एक सौदा तय होता है। लाखों डॉलर के ये सौदे हमारे डिजिटल जीवन की मुद्रा में व्यापार करते हैं। लेकिन जबकि सेल्स पिच पॉलिश की हुई होती हैं और मार्केटिंग ब्रोशर 'सुरक्षा और नैतिकता' का वादा करते हैं, स्पाइवेयर उद्योग की वास्तविकता अक्सर गायब होने वाले करतब की तरह दिखती है।

एक साल से अधिक समय से, इतालवी अभियोजक पैरागॉन सॉल्यूशंस (Paragon Solutions) नामक एक 'भूत' का पीछा कर रहे हैं। यह इजरायली-अमेरिकी कंपनी, जिसे कभी घोटाले से घिरे एनएसओ ग्रुप (NSO Group) के 'धार्मिक' विकल्प के रूप में सराहा गया था, कथित तौर पर खामोश हो गई है। पिछले सार्वजनिक नाटकों के बावजूद, जहां कंपनी ने दावा किया था कि वह हैकिंग के आरोपों की जांच में मदद करना चाहती है, पैरागॉन जानकारी के लिए औपचारिक न्यायिक अनुरोधों का जवाब देने में विफल रही है। एक पत्रकार के रूप में जो अपना दिन एन्क्रिप्टेड टनल के माध्यम से संवाद करने और कोड को सत्यापित करने में बिताता है, 'जवाबदेही तब तक जब तक कि यह वास्तव में मायने न रखे' का यह पैटर्न एक ऐसा परिदृश्य है जिसे मैंने बहुत बार देखा है।

मिलान में आधी रात की दस्तक

घोटाले की शुरुआत शारीरिक दस्तक से नहीं, बल्कि डिजिटल दस्तक से हुई। 2023 के अंत में, व्हाट्सएप और एप्पल ने इतालवी पत्रकारों और कार्यकर्ताओं के एक समूह को सूचनाएं भेजीं। संदेश भयावह था: उनके उपकरणों को सरकारी स्तर के स्पाइवेयर द्वारा लक्षित किया गया था। लक्ष्यों में समाचार साइट फैनपेज (Fanpage) के पत्रकार फ्रांसेस्को कैन्सेलाटो और सिरो पेलेग्रिनो, और प्रवासियों को बचाने के लिए समर्पित एक गैर-लाभकारी संस्था मेडिटेरानिया सेविंग ह्यूमन्स (Mediterranea Saving Humans) के सदस्य शामिल थे।

व्हाट्सएप के फॉरेंसिक विश्लेषण ने सीधे 'ग्रेफाइट' (Graphite) की ओर इशारा किया, जो पैरागॉन सॉल्यूशंस द्वारा विकसित एक परिष्कृत निगरानी उपकरण है। डिजिटल जासूसी की दुनिया में, ग्रेफाइट एक डिजिटल कंकाल की चाबी (skeleton key) है। यह केवल यह नहीं देखता कि आप क्या करते हैं; यह क्लाउड से डेटा निकाल लेता है, उन कई पारंपरिक सुरक्षा उपायों को दरकिनार कर देता है जिन पर उपयोगकर्ता अपनी निजी बातचीत को निजी रखने के लिए भरोसा करते हैं।

जब यह खबर सामने आई, तो इतालवी जनता का आक्रोशित होना स्वाभाविक था। मिलान और रोम के अभियोजकों ने जांच शुरू की। पहले तो पैरागॉन ने एक साहसिक, लगभग अवज्ञाकारी रुख अपनाया। उन्होंने सार्वजनिक रूप से इतालवी सरकार की आलोचना की, यह दावा करते हुए कि उन्होंने पत्रकार के हैक होने की जांच में मदद करने की पेशकश की थी लेकिन उन्हें ठुकरा दिया गया था। कॉर्पोरेट थिएटर के एक हाई-स्टेक कदम में, पैरागॉन ने इटली की आंतरिक और बाहरी खुफिया एजेंसियों, AISI और AISE के साथ अपने अनुबंधों को रद्द करने की भी घोषणा की। वे चाहते थे कि दुनिया यह विश्वास करे कि वे उस सरकार के साथ काम करने के लिए बहुत नैतिक थे जो नियमों के अनुसार नहीं चलेगी।

'नैतिक' हैकर की चुप्पी

वर्तमान समय, अप्रैल 2026 में तेजी से आगे बढ़ें, और वह सैद्धांतिक रुख अब एक स्टेज प्रॉप (दिखावा) की तरह दिखता है। इतालवी अभियोजक, यह समझने की कोशिश कर रहे थे कि नागरिकों के खिलाफ ग्रेफाइट का उपयोग कैसे और क्यों किया गया, उन्होंने इजरायली सरकार के माध्यम से पैरागॉन को जानकारी के लिए औपचारिक अनुरोध भेजे। एक साल बाद, सन्नाटा गूंज रहा है। कोई डेटा नहीं, कोई लॉग नहीं, कोई सहयोग नहीं।

पारदर्शिता की यह कमी निजी खुफिया क्षेत्र में एक प्रणालीगत मुद्दा है। अनुपालन के दृष्टिकोण से, ये कंपनियां अक्सर अपने मेजबान देशों की 'संप्रभुता' के पीछे छिप जाती हैं। इस मामले में, इजरायली सरकार—जिसे इन उपकरणों के निर्यात लाइसेंस को मंजूरी देनी चाहिए—बाधा बनती दिख रही है। हमने यह पटकथा पहले भी देखी है। स्पेन की उच्च अदालत को एनएसओ के पेगासस स्पाइवेयर के साथ स्पेनिश राजनेताओं को लक्षित करने की जांच को ठंडे बस्ते में डालने के लिए मजबूर होना पड़ा क्योंकि इजरायली अधिकारियों ने सहयोग करने से इनकार कर दिया था।

कानूनी दुनिया में, हम अक्सर 'बाह्यक्षेत्रीयता' (extraterritoriality) के बारे में बात करते हैं—यह विचार कि एक देश अपनी सीमाओं से परे अधिकार का प्रयोग कर सकता है। लेकिन जब स्पाइवेयर उद्योग की बात आती है, तो सीमाएं मोटे, अपारदर्शी कांच से बनी होती हैं। आप दूसरी तरफ नुकसान देख सकते हैं, लेकिन आप हथौड़ा चलाने वाले व्यक्ति तक नहीं पहुंच सकते।

अमेरिकी विरोधाभास

पैरागॉन मामले को जो विशेष रूप से सूक्ष्म बनाता है, वह है कंपनी के संयुक्त राज्य अमेरिका के साथ गहरे संबंध। जबकि एनएसओ ग्रुप को अमेरिकी वाणिज्य विभाग द्वारा ब्लैकलिस्ट किया गया था, पैरागॉन वाशिंगटन में अपने जूते साफ रखने में कामयाब रहा है। वास्तव में, कंपनी अमेरिकी आव्रजन और सीमा शुल्क प्रवर्तन (ICE) के साथ एक सक्रिय अनुबंध बनाए रखती है।

ICE ने सांसदों को बताया है कि उसकी कानून-प्रवर्तन शाखा, होमलैंड सिक्योरिटी इन्वेस्टिगेशंस (HSI), ड्रग तस्करों और आतंकवादियों को ट्रैक करने के लिए ग्रेफाइट का उपयोग करती है। यह एक चौंकाने वाला विरोधाभास पैदा करता है: अमेरिका में हजारों लोगों को निर्वासित करने के लिए इस्तेमाल किया जाने वाला वही उपकरण यूरोप में मानवाधिकार कार्यकर्ताओं और पत्रकारों को लक्षित करने के लिए जांच के घेरे में है।

यह दोहरे उपयोग वाली प्रौद्योगिकी बाजार का विरोधाभास है। 'बुरे लोगों' के खिलाफ हथियार के रूप में बेचा जाने वाला उपकरण लगभग अनिवार्य रूप से 'असुविधाजनक लोगों' को चुप कराने के लिए उपयोग किया जाता है। जब कोई कंपनी 'नैतिक बोर्ड' या 'कड़ी जांच' होने का दावा करती है, तो हमें संशयवादी होना चाहिए। बाध्यकारी, पारदर्शी और लागू करने योग्य अंतर्राष्ट्रीय मानकों के बिना, 'नैतिकता' केवल मार्केटिंग विभाग का 'हम पर विश्वास करें' कहने का एक तरीका है।

गोपनीयता एक मौलिक अधिकार के रूप में, न कि एक विशेषता के रूप में

इटली की प्रधानमंत्री जॉर्जिया मेलोनी ने लगातार इस बात से इनकार किया है कि उनकी सरकार फैनपेज पत्रकारों की हैकिंग के पीछे थी। फिर भी, अभियोजकों द्वारा हाल ही में की गई एक फॉरेंसिक जांच ने पुष्टि की कि कैन्सेलाटो का फोन वास्तव में समझौता (compromised) किया गया था। यदि सरकार ने ऐसा नहीं किया, और उपकरण बनाने वाली कंपनी यह नहीं बताएगी कि किसने किया, तो हम जवाबदेही के एक खतरनाक शून्य में रह जाते हैं।

पीड़ितों के लिए, यह साइबर-नीति के बारे में कोई अमूर्त बहस नहीं है। मेडिटेरानिया सेविंग ह्यूमन्स के कार्यकर्ताओं के लिए, यह उनके संचालन की सुरक्षा और उन लोगों के जीवन के बारे में है जिन्हें वे बचाने की कोशिश कर रहे हैं। जब स्पाइवेयर का उपयोग गैर-सरकारी संगठनों (NGOs) के खिलाफ किया जाता है, तो यह उनके डिजिटल पदचिह्नों को उन लोगों के लिए ब्रेडक्रंब के निशान में बदल देता है जो उन्हें नुकसान पहुंचाना चाहते हैं।

अंततः, पैरागॉन गाथा यह साबित करती है कि हम निगरानी तकनीक निर्माताओं के 'नेक इरादों' पर भरोसा नहीं कर सकते। अनुपालन एक विकल्प नहीं होना चाहिए; यह बाजार में अस्तित्व के लिए एक पूर्व शर्त होनी चाहिए। जब कोई कंपनी लोकतांत्रिक सहयोगी के न्यायिक अनुरोध की अनदेखी करती है, तो उसे अंतरराष्ट्रीय वाणिज्य की मेज पर अपनी सीट रखने की अनुमति नहीं दी जानी चाहिए।

अपनी डिजिटल परिधि की सुरक्षा करना

जब तक हम नियामक परिदृश्य के डिजिटल जासूसी की वास्तविकता के साथ तालमेल बिठाने की प्रतीक्षा करते हैं, तब तक कुछ ऐसे कदम हैं जो व्यक्ति—विशेष रूप से उच्च जोखिम वाले व्यवसायों में—अपनी भेद्यता को कम करने के लिए उठा सकते हैं। अपनी डिजिटल स्वच्छता को एक काम के रूप में नहीं, बल्कि कवच के रूप में सोचें।

• अपने क्लाउड को लॉक करें: ग्रेफाइट जैसे स्पाइवेयर अक्सर क्लाउड बैकअप को लक्षित करते हैं। यदि आपको क्लाउड पर अपने संदेशों के बैकअप की आवश्यकता नहीं है, तो उस सुविधा को बंद कर दें। एंड-टू-एंड एन्क्रिप्टेड सेवाओं का उपयोग करें जो अपने सर्वर पर मेटाडेटा संग्रहीत नहीं करती हैं।
• हार्डवेयर के साथ दरवाजा लॉक करना: उन खातों के लिए जो इसका समर्थन करते हैं, टू-फैक्टर ऑथेंटिकेशन के लिए भौतिक सुरक्षा कुंजियों (जैसे Yubikeys) का उपयोग करें। यह हमलावर के लिए आपके खातों को हाईजैक करना काफी कठिन बना देता है भले ही उनके पास आपका पासवर्ड हो।
• रीबूट की शक्ति: कई आधुनिक स्पाइवेयर स्ट्रेन 'गैर-स्थायी' (non-persistent) होते हैं, जिसका अर्थ है कि वे फोन की अस्थायी मेमोरी में रहते हैं और डिवाइस के पुनरारंभ होने पर मिट जाते हैं। दैनिक रीबूट की आदत डालना एक सरल लेकिन प्रभावी निवारक हो सकता है।
• अपनी अनुमतियों का ऑडिट करें: समय-समय पर समीक्षा करें कि किन ऐप्स के पास आपके माइक्रोफ़ोन, कैमरा और स्थान तक पहुंच है। यदि किसी ऐप को कार्य करने के लिए अनुमति की आवश्यकता नहीं है, तो उसे रद्द कर दें। डिजिटल न्यूनीकरण आपका सबसे अच्छा बचाव है।

हमें पैरागॉन से कभी सीधा जवाब नहीं मिल सकता है, लेकिन हम अपने डिजिटल अधिकारों के बारे में सक्रिय होकर दुनिया के 'ग्रेफाइट' को बहुत कम प्रभावी बना सकते हैं।

स्रोत:

• General Data Protection Regulation (GDPR): Article 5 (व्यक्तिगत डेटा के प्रसंस्करण से संबंधित सिद्धांत) और Article 32 (प्रसंस्करण की सुरक्षा)।
• European Court of Human Rights: Case of Szabó and Vissy v. Hungary (निगरानी में निरीक्षण की आवश्यकता के संबंध में)।
• Italian Code of Criminal Procedure: अंतर्राष्ट्रीय पत्र रोगेटरी (International Letters Rogatory) और न्यायिक सहयोग से संबंधित लेख।
• Wired Italy: पैरागॉन/ग्रेफाइट इतालवी घोटाले पर खोजी रिपोर्टिंग।
• Citizen Lab: ग्रेफाइट स्पाइवेयर परिनियोजन का तकनीकी विश्लेषण।

अस्वीकरण: यह लेख केवल सूचनात्मक और पत्रकारिता उद्देश्यों के लिए है और औपचारिक कानूनी सलाह का गठन नहीं करता है। गोपनीयता कानून क्षेत्राधिकार के अनुसार महत्वपूर्ण रूप से भिन्न होते हैं, और आपको विशिष्ट अनुपालन या डिजिटल अधिकार मुद्दों के संबंध में एक योग्य कानूनी पेशेवर से परामर्श करना चाहिए।