पंजीयक जवाबदेही
हम जो भी दुरुपयोग रिपोर्ट भेजते हैं, उसे लॉग किया जाता है। यह पृष्ठ उस लॉग को एक स्कोरबोर्ड में बदल देता है: प्रत्येक रजिस्ट्रार को कार्रवाई करने में कितना समय लगता है, कितनी एस्केलेशन होती हैं, और कितने दुर्भावनापूर्ण डोमेन उनकी निगरानी में सक्रिय रहते हैं। ये संख्याएँ कच्चे डेटा से निर्धारणात्मक रूप से गणना की जाती हैं — श्रेणियाँ इन संख्याओं से व्युत्पन्न होती हैं, न कि हमसे।
सुरक्षा का भ्रम — रजिस्ट्रार उन दुरुपयोगों से कैसे लाभ कमाते हैं जिन्हें वे अनदेखा करते हैं
कागज़ पर, हर रजिस्ट्रार अपने ICANN समझौते के तहत दुरुपयोग की जांच करने और उस पर कार्रवाई करने के लिए बाध्य है। व्यवहार में वह समझौता एक मृत पत्र है — जानबूझकर अनदेखी पर आधारित एक व्यावसायिक मॉडल पर सिर्फ दिखावा। इस परियोजना के पूरे इतिहास में हमने ICANN को किसी भी लापरवाह रजिस्ट्रार के खिलाफ एक भी सार्थक प्रतिबंध लागू करते नहीं देखा है, जबकि वह रजिस्ट्रार हर बेचे गए डोमेन — दुर्भावनापूर्ण डोमेन सहित — पर अपनी फीस वसूलता रहता है। एक रजिस्ट्रार यह तय कर सकता है कि वह VirusTotal और व्यापक सूचना सुरक्षा समुदाय से बेहतर जानता है और एक चिह्नित डोमेन को चालू रखता है। ठीक है — लेकिन फिर जो हानि अगले पीड़ित को होती है, उसके लिए रजिस्ट्रार को जवाब देना होगा, न कि पीड़ित को।
सामूहिक लापरवाही
वैध, साक्ष्य-समर्थित दुर्व्यवहार रिपोर्टों को व्यवस्थित रूप से अनदेखा किया जाता है, दबा दिया जाता है, या स्वचालित गैर-प्रतिक्रिया से जवाब दिया जाता है।
अविवादित प्रमाण, अनदेखा किया गया
VirusTotal और स्वतंत्र सूचना सुरक्षा प्रयोगशालाओं द्वारा चिह्नित डोमेन तब तक सक्रिय रहते हैं, जब तक दुरुपयोग डेस्क रुकी रहती हैं या चुप हो जाती हैं।
लाभदायक विलंब
मैलवेयर और फ़िशिंग हफ्तों तक ऑनलाइन रहते हैं — हर अतिरिक्त दिन एक भुगतान करने वाला ग्राहक होता है जिसे रजिस्ट्रार नहीं काटता।
कोई चुकाता है चूक का दाम
सबूतों को दरकिनार करें और परिणाम आपका होगा। "कोई रिपोर्ट नहीं थी" अब काम नहीं करता — यहाँ हर सूचना लॉग की जाती है, समय-मुहरित होती है और मांग पर निर्यात योग्य होती है।
हम डोमेन या रजिस्ट्रार को सताते नहीं हैं। यहाँ कुछ भी टाइमर पर नहीं चलता — और इस साल तक हमारे पास पुनः रिपोर्ट करने का कोई तरीका ही नहीं था। पहली सूचना पता लगते ही भेज दी जाती है; हम तब तक कार्रवाई नहीं बढ़ाते जब तक स्वतंत्र रूप से यह पुष्टि न कर लें कि डोमेन अभी भी सक्रिय और खतरनाक है, और केवल बहुत ही कम मामलों में ही यह स्थिति आती है। उस प्रतिबंध के तहत भी, यह रिकॉर्ड है: अक्षमता नहीं, बल्कि मौन मिलीभगत — और यह पूरी तरह से निर्यात योग्य है, हर ईमेल, हर तारीख। नीचे सब कुछ रसीदें हैं।
डिज़ाइन के अनुसार सार्वजनिक — हर रिपोर्ट के साथ एक प्रकटीकरण सूचना संलग्न रहती थी।
हम जो भी दुरुपयोग रिपोर्ट भेजते हैं, उसमें प्राप्तकर्ता को एक स्पष्ट सूचना दी जाती है: इसकी सामग्री — जिसमें इसे भेजे जाने की सटीक तारीख और समय तथा अनुरोध का पूरा पाठ शामिल है — सार्वजनिक रूप से उपलब्ध कराई जा सकती है और होगी। यह पृष्ठ केवल उन ईमेल संदेशों को शामिल करता है जिनमें यह सूचना दी गई थी, और वही सूचना हमारे ओपन-सोर्स में भी प्रकाशित की गई है। विनाश सूची रिपॉजिटरी। डेटा हमारा है, प्रकटीकरण हर संदेश में घोषित किया गया था, और इसे प्रकाशित करने का पूरा अधिकार हमें है।
कुछ रजिस्ट्रार ऐसा व्यवहार करते हैं जैसे उनकी आंतरिक नीतियाँ ICANN की आवश्यकताओं और राष्ट्रीय कानून पर हावी हो जाती हैं — मानो फ़िशिंग और धोखाधड़ी तब तक "अनुमत" हों जब तक वे व्यक्तिगत रूप से कार्रवाई न करें। हम इसे सार्वजनिक रूप से दस्तावेज़ित करते हैं ताकि कोई भी साफ़-साफ़ सच्चाई देख सके: ये खतरे इसलिए जारी हैं क्योंकि वे अनदेखे नहीं रहे, बल्कि इसलिए कि जिम्मेदार प्रदाता ने कुछ भी न करने का निर्णय लिया।
किसी भी पीड़ित को यह जानने का अधिकार है कि जिस डोमेन ने उन्हें नुकसान पहुँचाया, उसके बारे में रजिस्ट्रार को कितनी बार चेतावनी दी गई थी — और कितनी बार वह नुकसान रोका जा सकता था। वह रिकॉर्ड अब सार्वजनिक है: यह पृष्ठ और इसका पूरा डेटासेट के तहत ओपन-सोर्स हैं। एमआईटी लाइसेंस पर गिटहब, जिसे कोई भी सत्यापित, उद्धृत या विकसित कर सकता है।
रिकॉर्ड का अनुरोध
DestroyList एक स्वतंत्र, गैर-व्यावसायिक, ओपन-सोर्स परियोजना है। कोई भी यह देख सकता है कि हमने किसी विशिष्ट डोमेन के लिए कितनी दुरुपयोग रिपोर्टें भेजीं — लेकिन केवल सार्वजनिक चैनलों के माध्यम से, ताकि सभी के लिए पहुँच समान हो:
पद्धति — इन संख्याओं की गणना कैसे की जाती है
(अ)क्रिया के आधार पर रैंकिंग वाले रजिस्ट्रार
| पंजीयक | डोमेन | रिपोर्टें | निलंबित | कभी निलंबित नहीं | निर्णय |
|---|---|---|---|---|---|
| उत्तरदायित्व डेटा लोड हो रहा है… | |||||
न्यायसंगत सुरक्षा उपाय Cloudflare और मुफ्त होस्ट (Vercel, GitHub, Netlify और इसी तरह के) को जानबूझकर बाहर रखा गया है — वे मुफ्त सेवाएं हैं, भुगतान वाले रजिस्ट्रार नहीं, और यह उनका काम नहीं है कि वे ऐसे रजिस्ट्रार की भरपाई करें जो अपनी ही सेवा देने से इनकार करता है। उनके दुरुपयोग फॉर्म आमतौर पर बेहतर और तेज़ी से काम करते हैं, और जब कोई रजिस्ट्रार विफल होता है तो हम अभी भी उन्हें हाथ से रिपोर्ट करते हैं; यहाँ उनके स्कोरबोर्ड बनाने से अन्याय होगा। छोटे-नमूने के विरूपण से बचने के लिए 10 से कम रिपोर्ट किए गए डोमेन वाले रजिस्ट्रारों को छोड़ दिया गया है। प्रतिक्रिया मेडियन की गणना केवल उन डोमेन पर की जाती है जिनके लिए हटाने की पुष्टि हो चुकी है; अभी भी सक्रिय डोमेन को अलग से गिना जाता है और कभी भी औसत में नहीं जोड़ा जाता। हर दावे को ऊपर दिए गए हैश किए गए डेटासेट से पुन: प्राप्त किया जा सकता है।