1 pontos por GN⁺ 2024-03-23 | 1 comentários | Compartilhar no WhatsApp
  • A parceria com a Onerep incluída recentemente no Firefox entrou em processo de encerramento logo após a controvérsia sobre conflito de interesses do CEO, ampliando as dúvidas sobre a confiabilidade do Mozilla Monitor Plus
  • A Onerep era um serviço pago que removia usuários de centenas de sites de busca de pessoas, mas seu fundador Dimitiri Shelest mantinha participação na corretora de dados Nuwber
  • Shelest negou compartilhamento de informações ou operação cruzada entre a Nuwber e a Onerep, mas o ponto central da controvérsia é que ele estava ligado ao negócio de busca de pessoas enquanto vendia um serviço de remoção de dados pessoais
  • A Mozilla disse que os dados dos clientes nunca estiveram em risco, mas está preparando um plano de transição por considerar que os interesses financeiros externos e as atividades do CEO não estão alinhados com os valores da empresa
  • O caso expõe como a indústria de corretores de dados e de busca de pessoas cresce explorando exceções para registros públicos e governamentais, ampliando o debate sobre proteção de dados do consumidor e regulação de privacidade

Onerep removida do Mozilla Monitor Plus

  • A Mozilla, organização sem fins lucrativos por trás do Firefox, iniciou o processo de redução e encerramento de sua nova parceria com o serviço de proteção de identidade Onerep
  • A Onerep havia sido recentemente incluída em pacote com o Firefox e oferecia um serviço de remoção de informações de usuários de centenas de sites de busca de pessoas
  • No mês passado, a Mozilla começou a oferecer a Onerep como recurso de assinatura paga do Mozilla Monitor Plus
  • O Mozilla Monitor foi lançado em 2018 com o nome Firefox Monitor e verifica dados do Have I Been Pwned? para informar se endereços de e-mail ou senhas foram incluídos em vazamentos de dados

Histórico do CEO da Onerep no setor de busca de pessoas

  • Uma investigação de 14 de março revelou que o CEO e fundador da Onerep, Dimitiri Shelest, nascido em Belarus, lançou vários serviços de busca de pessoas desde 2010
  • Esses serviços incluem a corretora de dados ativa Nuwber, que vende relatórios de antecedentes sobre pessoas
  • A Onerep e Shelest não responderam aos pedidos de comentário sobre a investigação de 14 de março
  • Em 21 de março, Shelest publicou um longo posicionamento e admitiu manter participação na corretora de dados voltada ao consumidor Nuwber, fundada em 2015
    • 2015 é aproximadamente o mesmo período em que a Onerep começou
    • Shelest afirmou que não há “nenhuma operação cruzada ou compartilhamento de informações” entre a Nuwber e a Onerep
    • Também alegou que outros domínios antigos que podem ser associados ao seu nome já não são mais operados por ele
  • Embora sua relação com o setor de busca de pessoas possa parecer estranha do ponto de vista externo, Shelest afirmou que sua experiência inicial ao investigar profundamente o funcionamento desses sites levou à tecnologia e à equipe da Onerep
  • A declaração completa de Shelest foi publicada em PDF

Avaliação da Mozilla e transição dos clientes

  • Um porta-voz da Mozilla disse que a empresa está deixando de usar a Onerep como prestadora de serviço do produto Monitor Plus
  • A Mozilla afirmou que os dados dos clientes nunca estiveram em risco, mas concluiu que os interesses financeiros externos e as atividades do CEO da Onerep não estão alinhados com os valores da Mozilla
  • A empresa está detalhando um plano de transição para oferecer uma experiência sem interrupções aos clientes atuais e priorizar os interesses dos usuários

Suspeitas de ligação com o Spamit e operação de anúncios

  • O endereço de e-mail de Shelest apareceu como tendo sido usado por afiliados do Spamit por volta de 2010
  • O Spamit era uma organização de língua russa que pagava pessoas para promover agressivamente sites que vendiam medicamentos para melhora da função masculina e remédios genéricos
  • Segundo a investigação de 14 de março, essa conexão foi confirmada por pesquisas de vários pós-graduandos da George Mason University
  • Shelest negou qualquer envolvimento com o Spamit
    • Ele disse que entre 2010 e 2014 criou páginas da web e fez otimização para mecanismos de busca (SEO), depois adicionando banners do AdSense
    • Isso parece se referir a vários domínios de busca de pessoas que o KrebsOnSecurity encontrou ligados ao seu endereço de e-mail
    • Segundo ele, depois percebeu que muitas consultas eram relacionadas a encontrar pessoas
  • Shelest reconheceu que a Onerep veicula anúncios em alguns sites de corretores de dados em determinadas situações
    • Os anúncios são exibidos depois que o usuário preenche manualmente um formulário de opt-out
    • Segundo sua explicação, o objetivo é informar que, se o usuário apareceu em um site, pode também aparecer em outros, apresentando opções automatizadas de opt-out como a Onerep

Indústria de corretores de dados e lacunas regulatórias

  • O fundador do Have I Been Pwned, Troy Hunt, disse que sabia que a Mozilla estava revisando sua parceria com a Onerep, mas não conhecia os vários conflitos de interesse do CEO da empresa
  • Hunt disse à Mozilla que a eficácia da remoção de dados em serviços que operam legalmente é limitada e que não é possível remover dados de serviços ilegais que causam danos reais
  • Vender um serviço para resolver um problema ao mesmo tempo em que se cria e se espalha esse mesmo problema pode ser antiético, mas não é ilegal nos Estados Unidos
  • Coletar e vender dados de cidadãos americanos também não é ilegal por si só nos Estados Unidos
  • Especialistas em privacidade apontam que a razão da existência de corretores de dados, serviços de busca de pessoas como a Nuwber e empresas de gestão de reputação online como a Onerep está no fato de que a maioria dos estados americanos exclui os chamados registros públicos ou registros governamentais das leis de privacidade do consumidor
    • Isso inclui cadastro de eleitores, registros imobiliários, certidões de casamento, registros de veículos, antecedentes criminais, documentos judiciais, registros de óbito, licenças profissionais e pedidos de falência
    • Corretores de dados também podem enriquecer registros de consumidores com dados de redes sociais e informações sobre pessoas conhecidas
  • Três investigações publicadas em março examinaram a indústria de corretores de dados e de busca de pessoas, destacando a necessidade de supervisão do Congresso ou regulação sobre proteção de dados do consumidor e privacidade
    • Em 8 de março, A Close Up Look at the Consumer Data Broker Radaris tratou do fato de que cofundadores da Radaris operam vários serviços de namoro e programas de afiliados em língua russa
    • A mesma investigação também afirmou que vários de seus negócios parecem estar ligados a uma empresa de marketing da Califórnia que trabalha com um conglomerado estatal de mídia russo alvo de sanções do governo dos EUA
    • Em 20 de março, The Not-So-True People-Search Network from China revelou que uma rede de falsas empresas e executivos de busca de pessoas foi criada para ocultar a localização, na China, de afiliados desse setor

1 comentários

 
GN⁺ 2024-03-23
Opiniões no Hacker News
  • Se a empresa A cria um problema e a empresa B ganha dinheiro resolvendo esse problema, a empresa B se beneficia quanto mais a empresa A aumenta o problema
    Assim, tanto A quanto B passam a ter interesse em que o problema continue sendo um problema, formando uma relação simbiótica em que ambas extraem lucro sem gerar benefício líquido para a sociedade
    Isso é rent-seeking, pesa sobre a economia e também é difícil de justificar eticamente
    Esse problema só pode ser resolvido com regulação

    • Houve recentemente no HN um texto que se aplicava a órgãos governamentais e, de forma mais ampla, também a empresas privadas, dizendo que uma organização criada para resolver o problema X, com o tempo, evolui não necessariamente para criar o problema, mas para tornar sua solução mais difícil
    • A Microsoft basicamente tem as empresas A e B no mesmo corpo
      Vende um SO e um ambiente de nuvem extremamente inseguros e depois vende de novo ferramentas de segurança dizendo que vai corrigir problemas que ela própria criou desde o início
    • É uma estrutura parecida com um negócio de extorsão por proteção
  • Acho que, para validar parcerias desse tipo, é preciso alguém com conhecimento muito profundo, princípios e ceticismo
    Não é algo que deva ficar nas mãos de alguém que olha principalmente pela ótica de desenvolvimento de negócios ou da carreira
    Agora, na resposta posterior ao caso, parece ser necessário um combatente que encontre uma forma legal de desmontar essa organização inteira
    Isso pode estar alinhado à missão da Mozilla, mas, mais importante, é preciso restaurar a reputação da Mozilla, que foi prejudicada por este episódio
    Por exemplo, mesmo que a contraparte tenha conseguido escapar de algum jeito diante dos consumidores, na transação com a Mozilla pode haver um novo ponto de ataque, como algum outro tipo de fraude, e a Mozilla tem muito mais condições do que a maioria das pessoas físicas para ir atrás desse problema

    • Se for possível atacar essa pessoa por falsa representação ou algo parecido, eu provavelmente ficaria torcendo sempre do lado de fora
      Se existisse algo como um fundo legal para atacar empresas stalker, eu até contribuiria com dinheiro
    • Não entendo o que se quer investigar
      A Mozilla, por favor, deveria simplesmente fazer navegadores
      É um conceito simples; não precisa de um texto com cara de ChatGPT em tom dramático
    • Acrescentando minha opinião a essa analogia: se o vendedor Joe vendeu um carro usado ao amigo Al e depois se descobriu que o carro era péssimo, as lições a tirar se dividem em vários níveis
      a) Foi um erro honesto, carros usados têm esse tipo de variação e o mercado vai ajustar o problema; se necessário, você se sentiria confortável comprando um usado do Joe
      b) Joe sabia que o carro tinha defeito, mas viu Al como um trouxa e escondeu a informação; como eu entendo mais de carros ou leio melhor as pessoas do que Al, preciso ter cuidado ao comprar do Joe
      c) Joe só vende carros defeituosos, e o modelo de negócios dele é arrancar dinheiro das pessoas; portanto não há como conseguir um bom negócio com Joe e é melhor procurar em outro lugar
      d) Todos os vendedores de carros usados têm esse modelo de negócios; portanto não se deve comprar carro usado de revendas de usados
      e) Todos os modelos de negócio em que há assimetria de informação entre comprador e vendedor são assim; por isso, não se deve comprar algo cujo piso de utilidade seja desconhecido, e mecanismos como garantia são necessários
      Isso é apenas um exemplo que mostra um espectro de quanto antagonismo se pressupõe
      Recentemente houve no HN um texto dizendo que vendedores são, na verdade, mais facilmente enganados, e acho que é porque vendedores tendem a ver a resposta a essa pergunta como (b), já que, na prática, lidam apenas com pessoas que pensam em termos de (a), (b) e (c)
      Na verdade, isso não aparece só em vendedores, mas também de forma semelhante no pensamento de MBA
      A crença central do MBA é que, contornando estruturas regulatórias e a psicologia das pessoas, é possível fazê-las pagar mais dinheiro do que o custo de produzir algo, e a renda dos MBAs no fim vem disso
      Para alguém que vê a resposta à pergunta acima como (b), esse modo de pensar parecerá muito mais natural
      Por isso, quando ouço que alguma empresa decidiu comprar algo, especialmente um serviço, minha intuição costuma ser que o comprador foi um idiota fácil de enganar e que tudo funcionaria muito melhor se ninguém pudesse comprar nada
      Pessoalmente, não acho que seja necessário um ceticismo feroz para resolver esse problema
      Uma solução muito mais barata e fácil seria impor uma proibição de compras inúteis
      A Mozilla nunca precisa ser cliente
  • As ferramentas existentes de remoção de data brokers são todas falhas, porque usam trabalho manual para remover usuários dos sites, geralmente feito por mão de obra do terceiro mundo
    Nós, em https://redact.dev, estamos criando uma abordagem puramente de software que processa os opt-outs diretamente no dispositivo do usuário
    Já oferecemos suporte a exclusão em massa em mais de 40 redes sociais e utilitários

    • Eu realmente odeio essa tendência de transformar tudo em serviço por assinatura
      Consigo imaginar um nicho de mercado para quem quer continuar apagando conteúdo mais antigo que um período arbitrário, mas acho que a maioria dos usuários só precisa desse tipo de serviço de vez em quando
      O preço meio que admite isso: no plano mensal, custa US$ 35 por mês, enquanto no anual sai por US$ 8 por mês
      Não sei mesmo quem eles esperam que vá renovar intencionalmente todo mês
      É difícil refutar que quem esquece de cancelar acaba bancando a conta, mas, como modelo de negócio, isso me deixa desconfortável
    • Isso explica por que surgiu no Reddit o fluxo de editar posts para conteúdo sem sentido e depois apagá-los
      Pessoalmente, acho que esse comportamento empobrece a web como base de conhecimento
      A pessoa tem o direito de fazer isso com o próprio conteúdo, mas, em grande escala, torna a internet uma ferramenta menos útil, e é meio triste porque os scrapers provavelmente já têm os dados de qualquer jeito
    • Isso não é uma falha de verdade
      A falha real é que empresas desse setor centralizam os dados e os revendem, ao mesmo tempo em que adicionam ao dataset uma nova linha dizendo “quer apagar seus rastros de dados”
    • A easyoptouts.com, onde trabalho, não usa trabalho manual; é tudo automatizado
      Com certeza é importante não dar acesso aos dados a ainda mais pessoas
      A automação também nos permite ter preços muito mais baixos que a maioria dos serviços semelhantes
    • Muitos data brokers obviamente dificultam muito a remoção de informações de propósito
      Por isso, até empresas de remoção sérias acabam tendo que depender em parte de trabalho manual
      Seria ótimo se fosse totalmente automatizado, mas é difícil acreditar sem ver na prática
      Da última vez que verifiquei, a Optery fazia remoções em mais de 325 lugares
      Boa sorte, mas ainda há um longo caminho
      Edit: isto parece ser um serviço completamente diferente
      Exclusão em massa de posts antigos e remoção de informações de identificação pessoal de data brokers são coisas distintas
  • Se for uma ferramenta para enviar pedidos de opt-out em massa a todas as empresas com as quais já lidei, eu só confiaria se fosse gratuita e open source
    Mesmo com boas intenções, comércio vira apenas mais um meio de rastreamento

    • Impossível
      Código open source não pode ter procuração limitada, e os data brokers também leriam o código e contornariam a lógica de preenchimento dos formulários
  • Eu sabia que seria assim
    https://news.ycombinator.com/item?id=39280369

    • Sim, mas naquela época não havia evidência, raciocínio ou qualquer coisa que elevasse isso acima de simples especulação
      Se você jogar espaguete suficiente na parede, alguns fios acabam grudando
  • Acho que as intenções da Mozilla em si estavam no caminho certo, mas é bem decepcionante que a verificação de parceiros não tenha investigado com mais rigor algo que pós-graduandos da GMU conseguiram descobrir
    Fico me perguntando se não há mais conexões suspeitas ainda não reveladas em serviços semelhantes
    Também estou de olho na DeleteMe, patrocinadora de podcasts populares

    • É por isso que é importante exigir a divulgação do beneficiário final de todas as empresas
      O mundo está cheio de gente disposta a envenenar os outros para vender o antídoto, ou melhor ainda, um tratamento vitalício
    • A Kanary estava na incubadora da Mozilla e é fundamentalmente um ótimo serviço; é difícil entender por que fizeram parceria com a Onerep
    • O importante é o que foi necessário para os pós-graduandos da GMU descobrirem isso
      Em geral, pós-graduandos têm mais tempo e podem ter bastante especialização
      Quando se formarem e forem trabalhar na Mozilla, talvez não tenham tempo livre para investigar pistas improváveis
    • Sou cofundador da DeleteMe
      Há 15 anos criamos e fornecemos ferramentas de privacidade e também conversamos no HN
      Fico feliz em responder a perguntas, mas agradeceria se pegassem leve com acusações sem base
    • É parecido com promover o Firefox como um navegador de privacidade enquanto faz parceria com o Google: não fizeram uma verificação adequada do parceiro
  • Tive que aceitar que a privacidade está completa e irreversivelmente morta
    Quem tem poder ou dinheiro agora consegue descobrir quase tudo sobre você, e talvez até mais do que você mesmo sabe ou percebe
    Quem tem tempo para documentar e refletir regularmente, de forma minuciosa, sobre todos os aspectos da própria vida e comportamento, e todas as conexões que decorrem disso?
    Nada vai mudar a menos que o Senado, a Câmara e o presidente se mobilizem em massa para tornar ilegais, com punições reais, os atos intermináveis e repugnantes de vigiar pessoas para enfraquecê-las e enriquecer a si mesmos
    Isso nunca vai acontecer, porque o governo dos EUA é um dos maiores clientes e fornecedores desses serviços
    A Mozilla é praticamente uma das últimas organizações que ainda sequer fala em privacidade, e essa mesma Mozilla entrou no mesmo barco que essa pessoa
    É por isso que a situação é tão desesperadora

    • Data brokers colocam muitas informações de identificação pessoal na web pública de graça
      Não custa nada descobrir o nome de alguém, todos os endereços onde já morou, nomes de familiares etc.
  • Essas empresas deveriam ser varridas do mapa
    Estou esperando a UE perceber esse problema logo

    • Pelo menos tão assustadoras quanto isso são as empresas que permitem fazer busca por reconhecimento facial em toda a web rastreável
  • Definitivamente não quero que a Mozilla apoie organizações de busca de pessoas, mas questiono se é isso mesmo que está acontecendo aqui
    Imagino que a expertise adquirida na área de busca de pessoas seja exatamente a expertise necessária para remover pessoas das listas usadas por essas organizações
    A verdadeira pergunta é se há intermediação de dados para fora da Onerep
    Isso parece um caso em que a aparência venceu a substância

    • Não é simplesmente que ele tenha experiência; essa pessoa ainda está ligada como investidor a uma empresa que faz coisas ruins
      Está jogando dos dois lados ao mesmo tempo