CEO da empresa de privacidade de dados Onerep.com fundou dezenas de empresas de busca de pessoas
(krebsonsecurity.com)- Surgiram indícios de que Dimitri Shelest, fundador da Onerep.com, que vende remoção de dados pessoais, está ligado a vários serviços de busca de pessoas, ampliando as preocupações sobre a confiabilidade do serviço e conflitos de interesse
- A Onerep divulga que remove informações pessoais de quase 200 sites de busca de pessoas, com planos a partir de US$ 8,33 por mês para indivíduos e US$ 15 por mês para famílias, além de mirar clientes corporativos e do setor público
- Registros da DomainTools e da Constella Intelligence mostram repetidamente, em conjunto, o e-mail de Shelest, um número de telefone da Bielorrússia e domínios ligados à Onerep, Nuwber e buscas de pessoas por país
- Em uma atualização de 21 de março, Shelest reconheceu ter participação societária na Nuwber, mas afirmou que não há compartilhamento de informações nem operação cruzada com a OneRep, e que outros domínios antigos já não estão mais em operação
- A Mozilla afirmou que o serviço automático de exclusão de dados do Mozilla Monitor é uma parceria com a OneRep; disse que recebeu confirmação de que a relação anterior havia sido encerrada, mas que analisará o caso mais a fundo
Serviço da Onerep e público-alvo
- A Onerep.com se apresenta como um serviço sediado na Virgínia e divulga que remove informações pessoais de quase 200 sites de busca de pessoas
- O serviço “Protect” começa em US$ 8,33 por mês para indivíduos e US$ 15 por mês para famílias
- Para clientes corporativos, vende um serviço que mantém os dados de funcionários continuamente removidos de sites de busca de pessoas
- Entre os casos de clientes da Onerep.com, há um contrato apresentado para funcionários da Permanente Medicine
- A Permanente Medicine representa médicos da Kaiser Permanente
- A Onerep afirma também ter obtido avanços de adoção em departamentos de polícia dos EUA
O elo criado por registros de domínio e e-mail
- A Onerep.com apresenta seu fundador e CEO como Dimitri Shelest, de Minsk, Bielorrússia, e o perfil dele no LinkedIn traz a mesma informação
- Registros históricos de registro da DomainTools.com mostram Shelest como registrante de onerep.com usando o endereço dmitrcox2@gmail.com
- Resultados de busca da Constella Intelligence associam o nome Dimitri Shelest às seguintes informações
-
dimitri.shelest@onerep.com
-
d.sh@nuwber.com
- Número de telefone da Bielorrússia +375-292-702786
- Nuwber.com é um serviço de busca de pessoas e é um dos vários sites que a Onerep apresenta como alvo de remoção de dados
- O site da Onerep afirma explicitamente que “OneRep não é afiliada à Nuwber.com”
- Porém, a Constella identificou que o número de telefone da Bielorrússia 375-292-702786, ligado à Nuwber, foi usado diversas vezes junto com o endereço dmitrcox@gmail.com
- A DomainTools mostra que comversus.com esteve ligado tanto a dmitrcox@gmail.com quanto a dmitrcox2@gmail.com
- Entre os domínios em que os mesmos dois e-mails aparecem juntos em registros WHOIS estão careon.me, docvsdoc.com, dotcomsvdot.com, namevname.com, okanyway.com, tapanyapp.com
-
Dezenas de domínios de busca de pessoas e indícios iniciais sobre a Onerep
- Uma busca por dmitrcox@gmail.com na DomainTools mostra ligação com pelo menos 179 registros de domínio, muitos deles de empresas de busca de pessoas que hoje já não operam
- Esses domínios visavam cidadãos de vários países, incluindo Argentina, Brasil, Canadá, Dinamarca, França, Alemanha, Hong Kong, Israel, Itália, Japão, Letônia e México
- O domínio nuwber.fr, registrado em 2016, era idêntico à página inicial da Nuwber.com na época
- O mesmo e-mail e número de telefone da Bielorrússia também aparecem em registros históricos de nuwber.at, nuwber.ch e nuwber.dk
- Registros WHOIS antigos de onerep.com mostram que o domínio era originalmente registrado para um morador de Sioux Falls, Dakota do Sul, mas foi transferido do GoDaddy.com para o eNom por volta de setembro de 2015, e os dados de registro passaram a ficar ocultos por proteção de privacidade
- A DomainTools indica que, por volta desse período, onerep.com começou a usar nameservers do provedor de DNS constellix.com
- Nuwber.com também surgiu pela primeira vez no fim de 2015, foi registrada via eNom e começou a usar DNS da constellix.com quase no mesmo momento
- No LinkedIn, Dimitri Bukuyazau aparece como gerente de produto da OneRep.com entre 2015 e 2018
- Esse perfil não menciona a Nuwber
- A Constella Intelligence encontrou os e-mails de funcionário da nuwber.com d.bu@nuwber.com e d.bu+figure-eight.com@nuwber.com, sendo que o segundo estava registrado com o nome “Dzmitry”
- A PrivacyDuck citou, em 2017, elementos para considerar que OneRep e Nuwber eram a mesma empresa, mas onerep.com está totalmente excluído da Wayback Machine, o que dificulta verificar facilmente suas operações iniciais
- A Wayback Machine aceita esse tipo de pedido de exclusão quando solicitado diretamente pelo dono do domínio
Histórico mais amplo de domínios e controvérsia sobre conflito de interesse
- O nome, telefone e e-mail de Shelest também aparecem em registros de vários serviços de busca de pessoas por país
- Ex.: pplcrwlr.in, pplcrwlr.fr, pplcrwlr.dk, pplcrwlr.jp
- Ex.: peeepl.br.com, peeepl.in, peeepl.it, peeepl.co.uk
- Ex.: waatpp.de, waatp1.fr, azersab.com, ahavoila.com
- dmitrcox@gmail.com também foi ligado a um dos e-mails de afiliados do Spamit, programa de afiliados de spam de farmácia em língua russa vazado em 2010
- O Spamit pagava comissão a spammers quando medicamentos para melhora da função masculina eram vendidos em sites anunciados por spam
- Esse e-mail não pertencia a um afiliado especialmente lucrativo
- O perfil de Shelest no Facebook indicava residência em Minsk e estado civil, e segundo uma atualização de 16 de março de 2024, essa conta não está mais ativa
- Em atividades no Facebook de mais de 10 anos atrás, havia curtidas em páginas de perfil de vários sites de busca de pessoas
- A DomainTools mostra que esses sites foram registrados com dmitrcox@gmail.com
- Ex.: findita.com, findmedo.com, folkscan.com, huntize.com, ifindy.com, jupery.com
- Max Anderson, diretor de crescimento da 360 Privacy, disse que é preocupante existir uma ligação direta entre serviços de remoção de dados e sites de corretores de dados
- Anderson considera antiético operar uma empresa que vende informações de pessoas e, ao mesmo tempo, cobrar dessas mesmas pessoas para remover os dados
Resposta de Shelest e parceria com o Mozilla Monitor
- Na atualização de 21 de março de 2024, Shelest forneceu uma longa resposta
- Reconheceu que mantém participação societária na Nuwber
- Afirmou que não existe “qualquer operação cruzada ou compartilhamento de informações” com a OneRep
- Disse que outros domínios antigos que possam ser ligados ao seu nome já não são mais operados por ele
- Shelest reconheceu que a relação com o negócio de busca de pessoas pode parecer estranha para observadores externos, mas disse que, sem esse caminho inicial de imersão em como esses sites funcionam, a Onerep não teria desenvolvido a tecnologia nem a equipe para atuar no setor
- Admitiu que, no passado, não deixou essa relação clara o suficiente e afirmou que fará melhor daqui para frente
- A resposta completa está disponível em PDF
- A atualização de 15 de março de 2024 acrescenta que o Mozilla Monitor, da Mozilla Foundation, oferece a OneRep em pacote
- O Mozilla Monitor é oferecido como serviço gratuito ou por assinatura paga
- O serviço gratuito de alertas de vazamento é uma parceria com o Have I Been Pwned
- O serviço automático de remoção de dados é uma parceria com a OneRep para excluir informações pessoais de diretórios públicos online e sites agregadores de informações
- A Mozilla afirmou que avaliou se o serviço de remoção de dados da OneRep opera de acordo com os princípios de privacidade da Mozilla
- A Mozilla disse que já conhecia as relações passadas mencionadas no texto e que recebeu confirmação de que haviam sido encerradas antes de começar a trabalhar em conjunto
- A Mozilla afirmou que está analisando melhor o assunto e que priorizará a privacidade e a segurança de seus clientes
1 comentários
Opiniões no Hacker News
Não é exatamente segredo que muitas empresas de gestão de reputação também são donas de sites de registros públicos que divulgam mugshots, registros judiciais etc.
Quando você contrata alguém para remover suas informações da internet, acaba entrando num ciclo em que eles removem de um ou dois sites que operam e recolocam em outros.
No fim, vira um jogo de whack-a-mole interminável, ainda por cima com assinatura mensal.
Bloqueia servidores de e-mail sem grande motivo e obriga você a passar pelo processo de desbloqueio.
Quando você paga, o problema desaparece como mágica, e a única lista de bloqueio que sempre aparecia era a da Proofpoint.
Sugam informações pessoais indiscriminadamente, sem possibilidade de opt-out, armazenam tudo esteja correto ou não, e se recusam a apagar até dados claramente errados.
Depois gerenciam os dados de forma negligente, vazam tudo para o mundo inteiro e dizem que, como informações que você não pode mudar foram parar nas mãos de gente mal-intencionada, você deve pagar por monitoramento de crédito pelo resto da vida.
E quem será que é dono da maioria dessas empresas de monitoramento de crédito?
A diferença é só que essas práticas são ilegais.
Dá para chamar isso de máfia da privacidade de dados.
Alguns lugares proíbem o uso de smartphones e fazem você deixar o celular na entrada, como quem deixa o casaco no guarda-volumes.
Um amigo jornalista frequentemente sai de casa deixando o smartphone para trás.
É difícil falar em detalhes, mas conheço alguém que teve que processar pedidos de exclusão dessas empresas de “privacidade”.
Essa empresa de privacidade pegava informações pessoais do usuário, como nome e e-mail, e enviava por e-mail para toda empresa que conseguia lembrar, tivesse a pessoa uma conta ali ou não, pedindo a exclusão da conta.
Mas isso também é um problema do ovo e da galinha: para pedir que apaguem minhas informações, preciso dizer quais informações me identificam.
Como as empresas têm incentivo para tornar esse processo o mais difícil possível, é improvável que surja voluntariamente uma solução baseada em hash de dados; são necessárias regulação forte e multas altas.
Também existe o problema de provar a titularidade dos dados alvo do pedido de exclusão. Mesmo no GDPR da UE, que talvez seja a regulamentação de privacidade mais avançada, empresas violam isso rotineiramente exigindo mais dados pessoais de quem faz a solicitação.
Muitas vezes esses serviços estão ligados a empresas que comercializam endereços de e-mail; ao enviar seu e-mail para pedir exclusão, ele pode acabar vendido a profissionais de marketing ou data brokers.
No fim, isso pode aumentar o spam e os contatos indesejados, ou trazer publicidade personalizada, dependendo de quem comprou o e-mail.
Dá para presumir que uma empresa legítima poderia verificar se aquela empresa tem suas informações antes de enviar o pedido de exclusão.
Claro, posso estar errado e não tenho provas, mas, para uma amostra de tamanho 1, é uma suposição plausível.
Pelos termos, parece que o Mozilla Monitor também usa o mesmo serviço. Isso é bem sério.
https://www.mozilla.org/en-US/about/legal/terms/subscription...
A esta altura, a equipe jurídica provavelmente já entrou em modo de resposta a incidente.
É um dos problemas que surgem quando a organização não faz nada diretamente e transfere a responsabilidade e o ônus legal para um parceiro externo.
Se você confiou seus dados pessoais ao Mozilla Monitor, o contato jurídico está na página dos termos: https://www.mozilla.org/en-US/about/legal/terms/subscription...
Esses termos limitam a responsabilidade a 500 dólares e também concedem indenização à Mozilla.
É fácil não confiar em uma empresa suspeita, mas ser enganado por um nome grande como a Mozilla é um problema completamente diferente.
Parece melhor que esse tipo de coisa seja tratado diretamente por uma primeira parte confiável, ou seja, você mesmo
Lista de métodos para sair de data brokers: https://github.com/yaelwrites/Big-Ass-Data-Broker-Opt-Out-Li...
Agora uso a Optery(https://www.optery.com/), uma empresa da YC, e gostaria de saber se houver algum problema com ela
O problema é que há mais de 200 data brokers, e eu não tenho tempo para lidar com todos eles
Tive que ligar para um call center na Índia e, mantendo a educação, insistir bastante enquanto ouvia várias vezes a propaganda do “serviço” deles
No fim, removeram meu nome, mas disseram que ele “poderia” reaparecer
Isso foi em 2018, e hoje meu nome não aparece na busca do site. Ainda assim, recebo várias vezes por dia os e-mails lixo da mylife dizendo que há “mudanças” no meu perfil, na minha família e nos meus vizinhos
Evito terceiros para esse tipo de coisa. Como disse Krebs, além de poderem criar uma estrutura de extorsão com data brokers lixo, algumas empresas pagam parte da taxa aos data brokers para remover nomes
Não quero fazer esses caras ganharem dinheiro com essa atividade
Para referência, o fundador e CEO da Mylife.com é Jeffrey Tinsley, e parece ter ganhado bastante dinheiro com esse negócio de data broker
https://securityplanner.consumerreports.org/
Minha primeira reação foi: “por que não colocaram todas essas informações no README e as transformaram em uma lista JSON fácil de raspar?”
Depois pensei: “será que não daria simplesmente para pedir a um amigo de IA que leia o README e faça todo o processo de opt-out?”
Isso me lembra a antiga Ironport
A Ironport fabricava equipamentos rackmount corporativos de filtragem de spam e, ao mesmo tempo, também fabricava equipamentos rackmount corporativos para envio de spam
Foi isso que arruinou sua reputação
Antes da aquisição, eram equipamentos realmente excelentes
Fico me perguntando se há empresas de proteção de reputação que usam outra estratégia
Para cada usuário que solicita o serviço, elas criariam milhares de identidades falsas com o mesmo nome daquela pessoa, preenchidas com perfis malfeitos, quase parecidos com o usuário original, mas não exatamente corretos
Quando alguém pesquisasse essa pessoa, os resultados ficariam inundados de informação lixo
Se é tão difícil apagar identidades vazadas, talvez seja melhor esconder a árvore no meio da floresta
Em uma entrevista, disse que seu hobby era pintar pequenos ônibus vermelhos, enquanto o escândalo que tentava esconder era o anúncio falso e de baixo nível no ônibus vermelho real usado na campanha do Brexit
Normalmente chamam de disseminação de desinformação
Entre as coisas do tipo “ápice da internet”, meu favorito pessoal são os sites que afirmam que todas as pessoas do planeta têm “registros de prisão encontrados” e cobram US$ 49 para mostrar
Se for você mesmo, mandam pagar US$ 99 para remover
Falando sério, negociar com os dois lados ou vender proteção é um modelo de negócio bastante lucrativo
Há uma empresa da YC que vale mencionar aqui. Ela envia solicitações de opt-out e, para mim, parece muito menos suspeita do que a Onerep
https://www.optery.com/
Não tenho relação com eles, sou apenas usuário
Tenho visto muito esse tipo de coisa ultimamente. Talvez só esteja mais visível do que antes
Outro exemplo são pessoas que vendem camisetas políticas para ambos os lados de uma divisão partidária. Muitas delas são agressivas ou desagradáveis
Especialmente os agressivos e desagradáveis
A polarização e as emoções são tão altas que frequentemente me pergunto quanto isso dá de lucro
Só que não é exatamente a mesma coisa. Aqui, o mercado é deliberadamente enganado para comprar um serviço de que não precisa, e isso é basicamente mais próximo de um negócio de extorsão
Se um mecanismo de busca retorna 0 resultados sobre mim, estou em uma situação boa
Não se deve colocar informações pessoais em lugares abertamente públicos sem cuidado. Isso inclui perfil no LinkedIn
Se você é dono de um negócio, não encontrei uma solução, mas mesmo nesse caso é melhor reduzir a exposição ao máximo