विदेशों में असंतुष्टों को निशाना बनाने वाले पेगासस स्पाइवेयर को लेकर सऊदी अरब पर £3 मिलियन का जुर्माना लगाया गया

राज्य प्रायोजित निगरानी के खिलाफ ऐतिहासिक फैसला

जनवरी 2026 में, एक ब्रिटिश अदालत ने सऊदी कार्यकर्ता और राजनीतिक यूट्यूबर घानेम अल-मसारिर को £3 मिलियन का हर्जाना दिया, जब उसने पाया कि सऊदी अरब साम्राज्य उनके खिलाफ परिष्कृत स्पाइवेयर तैनात करने के लिए उत्तरदायी था। यह फैसला विदेश में रहने वाले असंतुष्टों को निशाना बनाने वाली राज्य प्रायोजित डिजिटल निगरानी के खिलाफ सबसे महत्वपूर्ण कानूनी जीत में से एक है।

अल-मसारिर, जो यूनाइटेड किंगडम में अपने आधार से सऊदी सरकार के मुखर आलोचक रहे हैं, ने सफलतापूर्वक प्रदर्शित किया कि सऊदी खुफिया एजेंटों ने उनके मोबाइल डिवाइस में घुसपैठ करने के लिए एनएसओ ग्रुप के कुख्यात पेगासस स्पाइवेयर का इस्तेमाल किया। अदालत ने पाया कि यह डिजिटल घुसपैठ उत्पीड़न के एक व्यापक पैटर्न का हिस्सा थी जिसमें सऊदी एजेंटों द्वारा शारीरिक हमला भी शामिल था।

£3 मिलियन के पुरस्कार में मनोवैज्ञानिक चोट, संबंधित लागत और निगरानी अभियान और संबंधित डराने-धमकाने की रणनीति के परिणामस्वरूप हुई कमाई का नुकसान शामिल है।

KINGDOM ऑपरेटर ने असंतुष्टों को कैसे निशाना बनाया

अदालत में पेश किए गए सबूतों के अनुसार, सऊदी अरब ने KINGDOM के रूप में पहचाने जाने वाले पेगासस क्लाइंट का संचालन किया, जिसे विशेष रूप से अपनी सीमाओं से परे आलोचकों और विपक्षी हस्तियों की निगरानी का काम सौंपा गया था। इस ऑपरेटर ने मोबाइल ऑपरेटिंग सिस्टम की कमजोरियों का फायदा उठाने के लिए डिज़ाइन किए गए लिंक वाले दुर्भावनापूर्ण संदेश भेजे।

जब अल-मसारिर को ये संदेश मिले और उन्होंने एम्बेडेड लिंक पर क्लिक किया, तो उनका डिवाइस पेगासस स्पाइवेयर से संक्रमित हो गया। एक बार इंस्टॉल होने के बाद, परिष्कृत मैलवेयर ने हमलावरों को उनके डिजिटल जीवन—संदेशों, ईमेल, फोटो, स्थान डेटा और यहां तक कि उनकी जानकारी के बिना माइक्रोफ़ोन और कैमरा को दूरस्थ रूप से सक्रिय करने की व्यापक पहुंच प्रदान की।

पेगासस उस माध्यम से काम करता है जिसे सुरक्षा शोधकर्ता "ज़ीरो-क्लिक" (zero-click) और "वन-क्लिक" (one-click) कारनामे कहते हैं। ज़ीरो-क्लिक हमलों के लिए उपयोगकर्ता की किसी भी बातचीत की आवश्यकता नहीं होती है, जबकि वन-क्लिक वेरिएंट के लिए लक्ष्य को एक लिंक पर टैप करने या फ़ाइल खोलने की आवश्यकता होती है। KINGDOM ऑपरेटर ने अल-मसारिर और अन्य लक्ष्यों को दुर्भावनापूर्ण यूआरएल (URL) के साथ तैयार संदेश भेजकर वन-क्लिक विधियों का उपयोग किया।

इस प्रकार की निगरानी साधारण निगरानी से कहीं आगे तक फैली हुई है। यह प्रभावी रूप से एक व्यक्तिगत डिवाइस को पोर्टेबल सुनने वाले स्टेशन में बदल देती है, निजी बातचीत को कैप्चर करती है, वास्तविक समय में गतिविधियों को ट्रैक करती है, और रिश्तों, व्यावसायिक सौदों और दैनिक दिनचर्या के बारे में अंतरंग विवरण एकत्र करती है।

एनएसओ ग्रुप की विवादास्पद भूमिका

पेगासस के पीछे की इजरायली कंपनी एनएसओ ग्रुप (NSO Group) ने लंबे समय से यह बनाए रखा है कि वह अपनी तकनीक विशेष रूप से सरकारी खुफिया और कानून प्रवर्तन एजेंसियों को आतंकवाद और गंभीर अपराध से निपटने जैसे वैध उद्देश्यों के लिए बेचती है। कंपनी दुरुपयोग को रोकने के लिए सख्त जांच प्रक्रियाओं और संविदात्मक सुरक्षा उपायों को लागू करने का दावा करती है।

हालांकि, साइबर सुरक्षा शोधकर्ताओं, पत्रकारों और मानवाधिकार संगठनों द्वारा की गई कई जांचों ने पेगासस के व्यापक दुरुपयोग का दस्तावेजीकरण किया है। लक्षित सूचियों में पत्रकार, मानवाधिकार रक्षक, राजनीतिक विपक्षी हस्तियां, वकील और यहां तक कि राष्ट्राध्यक्ष भी शामिल हैं।

KINGDOM की गतिविधियों के बारे में खुलासे सबूतों के बढ़ते भंडार में जुड़ते हैं जो बताते हैं कि एनएसओ ग्रुप के घोषित सुरक्षा उपाय अपर्याप्त साबित हुए हैं। कई सरकारों ने कथित तौर पर पेगासस का उपयोग वैध सुरक्षा उद्देश्यों के लिए नहीं बल्कि राजनीतिक दमन और असंतुष्टों की अंतरराष्ट्रीय निगरानी के लिए किया है।

एनएसओ ग्रुप को बढ़ते कानूनी और व्यावसायिक दबाव का सामना करना पड़ रहा है। कंपनी को 2021 में अमेरिकी व्यापार ब्लैकलिस्ट में रखा गया था, और एप्पल ने आईफोन उपयोगकर्ताओं को निशाना बनाने के लिए इसके खिलाफ कानूनी कार्रवाई की है। कई देशों ने अपनी धरती पर पेगासस की तैनाती की जांच शुरू कर दी है।

अंतरराष्ट्रीय दमन का व्यापक पैटर्न

अल-मसारिर का मामला एक परेशान करने वाली घटना को दर्शाता है जिसे सुरक्षा विशेषज्ञ अंतरराष्ट्रीय दमन (transnational repression) कहते हैं—तानाशाह सरकारें लोकतांत्रिक देशों में रहने वाले असंतुष्टों और आलोचकों को चुप कराने, डराने या नुकसान पहुंचाने के लिए सीमाओं के पार पहुंच रही हैं।

पेगासस जैसे डिजिटल निगरानी उपकरण इन अभियानों के प्रमुख प्रवर्तक बन गए हैं। वे सरकारों को भौतिक एजेंटों को तैनात करने की जटिलताओं और राजनयिक जोखिमों के बिना प्रवासी समुदायों पर विस्तृत खुफिया जानकारी बनाए रखने की अनुमति देते हैं। स्पाइवेयर के माध्यम से एकत्र की गई जानकारी फिर अधिक पारंपरिक उत्पीड़न रणनीति को सूचित कर सकती है, जिसमें अभी भी गृह देश में रहने वाले परिवार के सदस्यों के खिलाफ धमकी, बदनामी अभियान, या शारीरिक हिंसा भी शामिल है।

अदालत ने सबूत सुने कि सऊदी एजेंटों ने अल-मसारिर पर शारीरिक हमला किया, जिससे पता चलता है कि डिजिटल निगरानी एक एकीकृत डराने-धमकाने की रणनीति का हिस्सा थी। यह अन्य प्रमुख सऊदी आलोचकों के साथ देखे गए पैटर्न को दर्शाता है, विशेष रूप से पत्रकार जमाल खशोगी, जिनकी 2018 में इस्तांबुल में सऊदी वाणिज्य दूतावास में हत्या कर दी गई थी।

फ्रीडम हाउस, एक लोकतंत्र और मानवाधिकार संगठन ने दर्जनों देशों में अंतरराष्ट्रीय दमन के सैकड़ों मामलों का दस्तावेजीकरण किया है। सऊदी अरब इन रिपोर्टों में चीन, रूस, ईरान और रवांडा जैसे देशों के साथ नियमित रूप से दिखाई देता है।

कानूनी और तकनीकी निहितार्थ

सऊदी अरब के खिलाफ £3 मिलियन का पुरस्कार विदेशों में किए गए डिजिटल अधिकारों के उल्लंघन के लिए सरकारों को जवाबदेह ठहराने के लिए महत्वपूर्ण मिसाल कायम कर सकता है। हालांकि, प्रवर्तन चुनौतीपूर्ण बना हुआ है। राज्य उन्मुक्ति (State immunity) के सिद्धांत अक्सर सरकारों को विदेशी अदालतों में मुकदमों से बचाते हैं, हालांकि नुकसान की कुछ श्रेणियों के लिए अपवाद मौजूद हैं।

तकनीकी दृष्टिकोण से, यह मामला मजबूत मोबाइल डिवाइस सुरक्षा की तत्काल आवश्यकता को रेखांकित करता है। एप्पल और गूगल ने स्पाइवेयर के खिलाफ विभिन्न सुरक्षा उपाय लागू किए हैं, जिनमें सुरक्षा अपडेट शामिल हैं जो शोषित कमजोरियों को ठीक करते हैं और संदिग्ध गतिविधि का पता लगाने के लिए डिज़ाइन की गई नई ऑपरेटिंग सिस्टम विशेषताएं शामिल हैं।

सुरक्षा शोधकर्ता उच्च जोखिम वाले व्यक्तियों के लिए कई व्यावहारिक कदमों की सिफारिश करते हैं:

नियमित डिवाइस रीबूट: कई पेगासस संक्रमण पुनरारंभ (restart) के बाद बने नहीं रह सकते हैं, जिसके लिए फिर से संक्रमण की आवश्यकता होती है। रोजाना रीबूट करने से निगरानी बाधित हो सकती है।

लॉकडाउन मोड (Lockdown Mode): एप्पल के iOS 16 और बाद के संस्करणों में लॉकडाउन मोड शामिल है, जो परिष्कृत स्पाइवेयर द्वारा उपयोग किए जाने वाले कई हमले के रास्तों को अक्षम कर देता है। एंड्रॉइड इसी तरह के सुरक्षा विकल्प प्रदान करता है।

तुरंत अपडेट करें: सुरक्षा पैच अक्सर स्पाइवेयर द्वारा शोषण की जाने वाली कमजोरियों को दूर करते हैं। रिलीज के कुछ दिनों के भीतर अपडेट इंस्टॉल करने से जोखिम काफी कम हो जाता है।

अलग डिवाइस: उच्च जोखिम वाले व्यक्तियों को संवेदनशील संचार के लिए अलग डिवाइस रखने पर विचार करना चाहिए, एक समर्पित फोन पर एन्क्रिप्टेड मैसेजिंग ऐप का उपयोग करना चाहिए जिसे जरूरत पड़ने के अलावा ऑफलाइन रखा जाता है।

पेशेवर फोरेंसिक: एमनेस्टी इंटरनेशनल और सिटीजन लैब जैसे संगठन जोखिम वाले कार्यकर्ताओं और पत्रकारों के लिए स्पाइवेयर डिटेक्शन सेवाएं प्रदान करते हैं।

डिजिटल अधिकारों के लिए इसका क्या अर्थ है

अल-मसारिर का फैसला भाड़े के स्पाइवेयर उद्योग पर बढ़ते अंतरराष्ट्रीय ध्यान के बीच आया है। यूरोपीय संसद ने यूरोपीय संघ के सदस्य देशों के भीतर पेगासस के उपयोग की जांच के लिए एक जांच समिति की स्थापना की। संयुक्त राज्य अमेरिका ने वाणिज्यिक स्पाइवेयर के दुरुपयोग में शामिल व्यक्तियों पर वीजा प्रतिबंधों सहित राजनयिक कार्रवाई की है।

कई देश स्पाइवेयर व्यापार को प्रतिबंधित करने के लिए कानून बनाने पर विचार कर रहे हैं या बना चुके हैं। हालांकि, यह उद्योग एक नियामक ग्रे ज़ोन में संचालित होता है, जिसमें कंपनियां अक्सर वैश्विक स्तर पर संचालन करते समय हल्की निगरानी वाले न्यायालयों में पंजीकृत होती हैं।

मानवाधिकार संगठन स्पाइवेयर तकनीक की बिक्री और हस्तांतरण पर वैश्विक स्थगन (moratorium) का तर्क देते हैं जब तक कि मजबूत अंतरराष्ट्रीय सुरक्षा उपाय स्थापित नहीं किए जा सकते। वे अल-मसारिर जैसे मामलों को इस सबूत के रूप में इंगित करते हैं कि वर्तमान निर्यात नियंत्रण और कॉर्पोरेट अनुपालन कार्यक्रम व्यवस्थित दुरुपयोग को रोकने में विफल रहे हैं।

वाणिज्यिक स्पाइवेयर बाजार आकर्षक बना हुआ है, अनुमान बताते हैं कि यह सालाना अरबों डॉलर उत्पन्न करता है। एनएसओ ग्रुप के अलावा, कई प्रतिस्पर्धी समान क्षमताएं प्रदान करते हैं, जिनमें यूरोप, उत्तरी अमेरिका और अन्य जगहों पर स्थित कंपनियां शामिल हैं। कुछ अधिक विवेकपूर्ण तरीके से काम करते हैं, उस सार्वजनिक जांच से बचते हैं जिसने एनएसओ ग्रुप को घेर लिया है।

कार्यकर्ताओं और पत्रकारों के लिए व्यावहारिक सुझाव

यदि आप एक कार्यकर्ता, पत्रकार, या किसी भी ऐसी क्षमता में काम करते हैं जो आपको राज्य की निगरानी का लक्ष्य बना सकती है:

समझौता मान लें (Assume compromise): इस धारणा के तहत काम करें कि आपके प्राथमिक उपकरणों की निगरानी की जा सकती है। अपनी सुरक्षा स्थिति का मार्गदर्शन करने के लिए इस धारणा का उपयोग करें।

विभाजन (Compartmentalize): अपने सबसे संवेदनशील कार्यों को रोजमर्रा के संचार से अलग करें। विभिन्न जोखिम स्तरों के लिए अलग-अलग उपकरणों, खातों और नेटवर्क का उपयोग करें।

सामुदायिक समर्थन बनाएं: डिजिटल सुरक्षा प्रशिक्षकों और संगठनों से जुड़ें जो उच्च जोखिम वाले व्यक्तियों की सुरक्षा में विशेषज्ञ हैं। इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन, एक्सेस नाउ और फ्रंट लाइन डिफेंडर्स जैसे संसाधन मार्गदर्शन प्रदान करते हैं।

घटनाओं का दस्तावेजीकरण करें: संदिग्ध संदेशों, असामान्य डिवाइस व्यवहार या शारीरिक उत्पीड़न का विस्तृत रिकॉर्ड रखें। यह दस्तावेजीकरण कानूनी कार्यवाही में महत्वपूर्ण साबित हो सकता है।

कानूनी सलाह लें: अपने निवास के देश में अपने अधिकारों को समझें और पता लगाएं कि क्या अपराधियों को जवाबदेह ठहराने के लिए कानूनी विकल्प मौजूद हैं।

मानसिक स्वास्थ्य को प्राथमिकता दें: परिष्कृत निगरानी का लक्ष्य बनने से वैध मनोवैज्ञानिक नुकसान होता है, जैसा कि अदालत ने अल-मसारिर के मामले में मान्यता दी है। उचित सहायता लें।

घानेम अल-मसारिर को दिया गया £3 मिलियन का हर्जाना वित्तीय मुआवजे से कहीं अधिक का प्रतिनिधित्व करता है। वे उस गहरे उल्लंघन को स्वीकार करते हैं जो राज्य प्रायोजित स्पाइवेयर व्यक्तियों पर डालता है और संकेत देते हैं कि लोकतांत्रिक देशों की अदालतें डिजिटल अधिकारों के दुरुपयोग के लिए सत्तावादी सरकारों को जवाबदेह ठहरा सकती हैं—भले ही वे सरकारें हजारों मील दूर से काम कर रही हों।

स्रोत

• Amnesty International Security Lab - Pegasus Project investigations and technical analyses
• Citizen Lab, University of Toronto - Research publications on NSO Group and Pegasus spyware
• Freedom House - "Out of Sight, Not Out of Reach" report series on transnational repression
• Electronic Frontier Foundation - Documentation of commercial spyware cases
• Apple Security Research - Technical details on spyware exploits and protections
• The Guardian, The Washington Post, BBC News - Reporting on Saudi surveillance campaigns and NSO Group
• European Parliament Committee of Inquiry on Pegasus - Official proceedings and findings