तुर्की में जब्त किया गया एक्सप्रेसवीपीएन सर्वर हत्या के मामले में कुछ भी नहीं दिखाता है, 'नो लॉग्स' नीति की पुष्टि करता है
तुर्की के अधिकारियों ने एक्सप्रेसवीपीएन द्वारा संचालित एक वीपीएन सर्वर को जब्त कर लिया है, उनका कहना है कि इसका इस्तेमाल तुर्की में रूसी राजदूत आंद्रेई कार्लोव की हत्या के संबंध में विवरण छिपाने के लिए किया गया था। सर्वर में अधिकारियों के लिए कोई उपयोगी जानकारी नहीं थी, जो फेसबुक और जीमेल पर संभावित सबूतों को हटाने की जांच कर रहे थे।
दिसंबर 2016 में तुर्की की राजधानी अंकारा में एक कला प्रदर्शनी में एक ऑफ-ड्यूटी तुर्की पुलिस कार्यालय ने कार्लोव की गोली मारकर हत्या कर दी। सर्वर को जनवरी 2017 में किसी समय जब्त कर लिया गया था, लेकिन ExpressVPN से संबंधित विवरण हाल ही में सामने आए थे। खबर लिखे जाने तक मामला अभी भी खुला है।
अधिकारियों ने डेटा सेंटर पर छापा मारा और एक अज्ञात व्यक्ति का पता लगाने की उम्मीद में सर्वर को जब्त कर लिया, जिसने हत्यारे के फेसबुक और जीमेल खातों को हटा दिया था, साथ ही उन वार्तालापों को भी हटा दिया था जो जांच के लिए उपयोगी हो सकते थे। उस व्यक्ति ने एक्सप्रेसवीपीएन कनेक्शन की आड़ में ऐसा किया, जो उपयोगकर्ता के वास्तविक आईपी पते को छुपाता है और इंटरनेट ट्रैफ़िक को एन्क्रिप्ट करता है। एक्सप्रेसवीपीएन का कहना है कि वह अपने उपयोगकर्ताओं की गतिविधि का कोई लॉग नहीं रखता है और न ही कोई अन्य पहचान संबंधी जानकारी रखता है।
एक्सप्रेसवीपीएन ने एक आधिकारिक प्रतिक्रिया जारी की यहाँ .
“जैसा कि हमने जनवरी 2017 में तुर्की के अधिकारियों को बताया था, एक्सप्रेसवीपीएन के पास कभी भी कोई ग्राहक कनेक्शन लॉग नहीं है जो हमें यह जानने में सक्षम करेगा कि कौन सा ग्राहक जांचकर्ताओं द्वारा उद्धृत विशिष्ट आईपी का उपयोग कर रहा था। इसके अलावा, हम यह देखने में असमर्थ थे कि प्रश्न के दौरान किन ग्राहकों ने जीमेल या फेसबुक का उपयोग किया, क्योंकि हम गतिविधि लॉग नहीं रखते हैं। हमारा मानना है कि जांचकर्ताओं द्वारा वीपीएन सर्वर की जब्ती और निरीक्षण से इन बिंदुओं की पुष्टि हुई है।
एक्सप्रेसवीपीएन ने अधिकारियों के साथ सहयोग किया लेकिन उसके पास मामले के संबंध में देने के लिए कोई जानकारी नहीं थी। कंपनी ब्रिटिश वर्जिन द्वीपसमूह में निगमित है, जिसके लिए कोई अनिवार्य डेटा प्रतिधारण आवश्यकता नहीं है। एक्सप्रेसवीपीएन के प्रवक्ता ने कंपेरिटेक को बताया कि इस तरह की बरामदगी असामान्य नहीं है।
प्रवक्ता बताते हैं, 'यह पहली बार नहीं है कि कानून प्रवर्तन अधिकारियों ने किसी सर्वर को भौतिक रूप से जब्त किया है।' 'कानून प्रवर्तन के दृष्टिकोण एक बड़े वीपीएन प्रदाता के लिए व्यवसाय के सामान्य पाठ्यक्रम का हिस्सा हैं, और यही कारण है कि हम यह सुनिश्चित करने के लिए कड़ी मेहनत करते हैं कि हमारे किसी भी सर्वर में ऐसा डेटा नहीं है जो किसी को भी विशिष्ट उपयोगकर्ताओं के साथ ऑनलाइन गतिविधि को लिंक करने में सक्षम बना सके।'
एक्सप्रेसवीपीएन की उपयोग की शर्तें अवैध गतिविधियों के लिए इसकी सेवा का उपयोग करने से रोकती हैं, लेकिन क्योंकि यह वीपीएन से कनेक्ट होने के दौरान ग्राहक क्या करते हैं, इसकी निगरानी या रिकॉर्ड नहीं रखता है, इसलिए इसके पास प्रवर्तन के बहुत कम साधन हैं।
हालाँकि परिस्थितियाँ दुर्भाग्यपूर्ण हैं, यह मामला एक्सप्रेसवीपीएन के अपने उपयोगकर्ताओं के लिए अविश्वसनीय गोपनीयता के दावों को मजबूत करता है। यह सेवा बिल्कुल वैसे ही काम कर रही है जैसा इरादा और वादा किया गया था, ऐसे समय में जब कई वीपीएन आलोचकों, उनमें से एडवर्ड स्नोडेन, ने ऐसे दावों पर संदेह जताया।
वीपीएन अच्छे हैं, लेकिन उनकी कमजोरी विफलता का एकमात्र बिंदु है: सब कुछ देखने के लिए उस एक बिंदु को हैक करना या सम्मन करना। https://t.co/iUxkbJsoK2
- एडवर्ड स्नोडेन (@Snowden) 30 दिसंबर 2015
लॉगिंग पोलिस: पंक्तियों के बीच पढ़ें
लेकिन सभी वीपीएन इतने गंभीर नहीं हैं। अक्टूबर 2017 में, पुलिस एक PureVPN ग्राहक को गिरफ्तार किया साइबरस्टॉकिंग के आरोप में. रयान लिन ने अपने पूर्व-रूममेट का पीछा करने और उसे परेशान करने के दौरान अपनी पहचान छुपाने के लिए PureVPN का उपयोग किया। जब एफबीआई एजेंटों ने हांगकांग स्थित कंपनी से संपर्क किया, तो प्योरवीपीएन ने लिन को दोषी ठहराने वाले लॉग सौंपे।
यह सभी देखें: सर्वश्रेष्ठ नो-लॉग वीपीएन
ExpressVPN की तरह PureVPN, कोई लॉग न रखने का दावा करता है।
इसी तरह का एक उल्लेखनीय मामला 2011 में हुआ था जब अमेरिका में एक लुल्ज़सेक हैकर को सोनी पिक्चर्स के खिलाफ हैक में उसकी भूमिका के लिए गिरफ्तार किया गया था। कोडी क्रेटसिंगर ने अपनी पहचान छुपाने के लिए वीपीएन प्रदाता HideMyAss का इस्तेमाल किया। जब एफबीआई ने एक अदालती आदेश जारी किया, HideMyAss ने कथित तौर पर लॉग सौंपे जिसने क्रेटसिंगर को दोषी ठहराया, जिससे उसकी गिरफ्तारी हुई।
HideMyAss ने कोई लॉग न रखने का भी दावा किया। गौरतलब है कि कंपनी अब नए स्वामित्व में है।
तो क्या ExpressVPN और इन जैसे प्रदाताओं की लॉगिंग नीतियों में अंतर है? यह वास्तव में 'लॉग', पारदर्शिता और वीपीएन प्रदाता कैसे विज्ञापन करते हैं, के रूप में परिभाषित किया गया है।
जब HideMyAss और PureVPN लॉगलेस होने का दावा करते हैं, तो उनका वास्तव में मतलब यह है कि वे अपने उपयोगकर्ताओं की गतिविधि का रिकॉर्ड नहीं रखते हैं। उदाहरण के लिए, वे कौन से वेब पेज देखे गए, संचार की सामग्री, या खरीदारी का विवरण रिकॉर्ड नहीं करते हैं। इन्हें अक्सर ट्रैफ़िक लॉग या गतिविधि लॉग के रूप में जाना जाता है।
हालाँकि, वे इसके बारे में जानकारी दर्ज करते हैंकैसेवीपीएन का उपयोग किया गया था, जैसे कि जब कोई उपयोगकर्ता कनेक्ट और डिस्कनेक्ट करता है, कितना डेटा स्थानांतरित किया जाता है, और, सबसे प्रासंगिक, उपयोगकर्ताओं के वास्तविक आईपी पते। इन्हें मेटाडेटा लॉग या सत्र लॉग के रूप में जाना जाता है। इनमें से अधिकांश जानकारी काफी सौम्य है; यह सीधे उपयोगकर्ता की पहचान नहीं कर सकता.
लेकिन आईपी पते अलग हैं. आईपी एड्रेस संख्याओं और दशमलवों की एक श्रृंखला है जो एक विशिष्ट डिवाइस के लिए अद्वितीय होती है। वीपीएन उपयोगकर्ताओं के वास्तविक आईपी पते को छिपा देते हैं, लेकिन यदि वीपीएन कंपनी उनके वास्तविक आईपी पते को रिकॉर्ड करती है, तो अधिकारी उस जानकारी का उपयोग किसी विशिष्ट डिवाइस और उसके मालिक व्यक्ति की ज्ञात गतिविधि का पता लगाने के लिए कर सकते हैं। एक आईपी पता कानूनी तौर पर एक पहचान नहीं बन सकता है, लेकिन इसका उपयोग अन्य सबूतों की पुष्टि के लिए किया जा सकता है।
HideMyAss और PureVPN, अपने विज्ञापन में किसी भी लॉग को रिकॉर्ड नहीं करने का दावा करते हुए, उपयोगकर्ताओं के वास्तविक आईपी पते को रिकॉर्ड करते हैं। उनकी वास्तविक लॉगिंग नीतियां उनकी संबंधित गोपनीयता नीतियों के बारीक प्रिंट में छिपी हुई हैं, जिन्हें अधिकांश उपयोगकर्ता पढ़ने की जहमत नहीं उठाएंगे।
एक्सप्रेसवीपीएन, साथ ही कंपेरिटेक पर हमारे द्वारा अनुशंसित अधिकांश वीपीएन, न तो गतिविधि लॉग और न ही आईपी पते संग्रहीत करते हैं। मुट्ठी भर प्रदाता 'शून्य लॉग' सेवा होने का दावा करते हैं, जिसका अर्थ है कि उनके ग्राहक ऑनलाइन क्या करते हैं, इसके बारे में वे कोई जानकारी दर्ज नहीं करते हैं। हालांकि यह आदर्श है, संभावित वीपीएन ग्राहकों को ऐसे दावों पर संदेह करना चाहिए, खासकर उन वीपीएन से जो नए हैं, मुफ़्त हैं, जिनके पास कुछ ग्राहक हैं, या लॉगिंग का इतिहास है।
एक्सप्रेसवीपीएन कुछ मेटाडेटा रिकॉर्ड करता है जिसमें 'ऐप्स और ऐप संस्करण सफलतापूर्वक सक्रिय, वीपीएन सेवा से कनेक्ट होने की तारीखें (समय नहीं), वीपीएन सर्वर स्थान का विकल्प और प्रति दिन स्थानांतरित किए गए डेटा की कुल मात्रा (एमबी में) शामिल है।' कार्लोव मामले में तुर्की अधिकारियों द्वारा इनमें से किसी को भी उपयोगी नहीं पाया गया।
आभासी स्थान, एक अपूर्ण समाधान
2017 की गर्मियों में, ExpressVPN था तीखी आलोचना की इसके 'आभासी स्थानों' के उपयोग के लिए। जिन उपयोगकर्ताओं का मानना था कि उनका इंटरनेट ट्रैफ़िक पाकिस्तान या श्रीलंका जैसे किसी स्थान पर वीपीएन सर्वर के माध्यम से रूट किया जा रहा था, वे वास्तव में अन्य देशों के सर्वर से जुड़े थे। जबकि सर्वर को सौंपा गया आईपी पता चुने गए देश का है, भौतिक सर्वर कहीं और रहता है।
शोधकर्ताओं ने दावा किया कि ExpressVPN ने PureVPN और HideMyAss के साथ मिलकर अपनी सेवाओं को गलत तरीके से प्रस्तुत किया। आलोचकों का तर्क है कि यह उन लोगों के लिए विनाशकारी हो सकता है जो मानते हैं कि वे एक निश्चित देश में वास्तविक सर्वर से जुड़ रहे हैं। ExpressVPN ने उस समय यह प्रतिक्रिया दी:
“एक्सप्रेसवीपीएन के 3% से कम सर्वरों के लिए, पंजीकृत आईपी पता उस देश से मेल खाता है जिसे आपने कनेक्ट करने के लिए चुना है, जबकि सर्वर भौतिक रूप से किसी अन्य देश में स्थित है, आमतौर पर पास में। इन्हें वर्चुअल सर्वर लोकेशन कहा जाता है, और ये यह सुनिश्चित करने में मदद करते हैं कि आपका कनेक्शन तेज़, सुरक्षित और विश्वसनीय है।
तुर्की में अपने सर्वरों की जब्ती के बाद, एक्सप्रेसवीपीएन ने तुर्की में भौतिक सर्वरों का उपयोग बंद कर दिया और इसके बजाय एक आभासी स्थान पर स्विच कर दिया। एक्सप्रेसवीपीएन ऐप में, तुर्की अभी भी एक स्थान के रूप में सूचीबद्ध है और इससे जुड़ने पर उपयोगकर्ताओं को एक तुर्की आईपी पता मिलेगा, लेकिन भौतिक सर्वर नीदरलैंड में स्थित है।
आलोचकों ने जो कहा है उसके विपरीत, कार्लोव घटना आभासी स्थानों का उपयोग करने के लिए एक्सप्रेसवीपीएन के तर्क का समर्थन करती है। उन देशों में जहां खुफिया एजेंसियों जैसे तीसरे पक्ष डेटा केंद्रों की सुरक्षा और गोपनीयता से समझौता कर सकते हैं - जहां अधिकांश सर्वर रहते हैं - मजबूत उपभोक्ता-समर्थक गोपनीयता नियमों वाले देश में एक भौतिक सर्वर के साथ एक आभासी स्थान बनाना समझ में आता है।
प्रवक्ता का कहना है, 'हमारे पास सर्वरों के लिए कठोर मानक हैं जो न केवल विश्वसनीय और लगातार तेज गति से जुड़ने की क्षमता को कवर करते हैं, बल्कि भौतिक सुरक्षा और कानूनी क्षेत्राधिकार को भी कवर करते हैं।' “कुछ देशों में, इन योग्यताओं को पूरा करने वाले सर्वर ढूंढना मुश्किल हो सकता है। वर्चुअल सर्वर स्थान उपयोगकर्ताओं के लिए ऐसे देशों से जुड़ना संभव बनाते हैं, साथ ही वे गोपनीयता, सुरक्षा और कनेक्शन गुणवत्ता भी प्रदान करते हैं जिसकी वे ExpressVPN से अपेक्षा करते हैं।
आभासी स्थान उन ग्राहकों के लिए एक अपूर्ण समाधान के रूप में काम करते हैं जो किसी देश से जुड़ना चाहते हैं लेकिन यह भी सुनिश्चित करना चाहते हैं कि उन्हें वह गोपनीयता मिल रही है जिसके लिए उन्होंने भुगतान किया है। सभी आभासी स्थान किसी न किसी तरह से बेईमान हैं, इस बारे में एक सामान्य बयान देने के बजाय, शायद अधिक प्रासंगिक समस्या पारदर्शिता की कमी है। जबकि ExpressVPN अब सूचीबद्ध करता है कि कौन से स्थान आभासी हैं और कौन से नहीं इसकी वेबसाइट पर , ExpressVPN ऐप स्वयं दोनों के बीच कोई अंतर नहीं करता है।
21 दिसंबर, 2017 को अपडेट:ExpressVPN के प्रवक्ता से उद्धरण जोड़े गए।
शीर्ष छवि क्रेडिट: रूस के राष्ट्रपति