Mozilla interrompe o Onerep após CEO admitir operar rede de busca de pessoas
(krebsonsecurity.com)- A parceria com a Onerep incluída recentemente no Firefox entrou em processo de encerramento logo após a controvérsia sobre conflito de interesses do CEO, ampliando as dúvidas sobre a confiabilidade do Mozilla Monitor Plus
- A Onerep era um serviço pago que removia usuários de centenas de sites de busca de pessoas, mas seu fundador Dimitiri Shelest mantinha participação na corretora de dados Nuwber
- Shelest negou compartilhamento de informações ou operação cruzada entre a Nuwber e a Onerep, mas o ponto central da controvérsia é que ele estava ligado ao negócio de busca de pessoas enquanto vendia um serviço de remoção de dados pessoais
- A Mozilla disse que os dados dos clientes nunca estiveram em risco, mas está preparando um plano de transição por considerar que os interesses financeiros externos e as atividades do CEO não estão alinhados com os valores da empresa
- O caso expõe como a indústria de corretores de dados e de busca de pessoas cresce explorando exceções para registros públicos e governamentais, ampliando o debate sobre proteção de dados do consumidor e regulação de privacidade
Onerep removida do Mozilla Monitor Plus
- A Mozilla, organização sem fins lucrativos por trás do Firefox, iniciou o processo de redução e encerramento de sua nova parceria com o serviço de proteção de identidade Onerep
- A Onerep havia sido recentemente incluída em pacote com o Firefox e oferecia um serviço de remoção de informações de usuários de centenas de sites de busca de pessoas
- No mês passado, a Mozilla começou a oferecer a Onerep como recurso de assinatura paga do Mozilla Monitor Plus
- O Mozilla Monitor foi lançado em 2018 com o nome Firefox Monitor e verifica dados do Have I Been Pwned? para informar se endereços de e-mail ou senhas foram incluídos em vazamentos de dados
Histórico do CEO da Onerep no setor de busca de pessoas
- Uma investigação de 14 de março revelou que o CEO e fundador da Onerep, Dimitiri Shelest, nascido em Belarus, lançou vários serviços de busca de pessoas desde 2010
- Esses serviços incluem a corretora de dados ativa Nuwber, que vende relatórios de antecedentes sobre pessoas
- A Onerep e Shelest não responderam aos pedidos de comentário sobre a investigação de 14 de março
- Em 21 de março, Shelest publicou um longo posicionamento e admitiu manter participação na corretora de dados voltada ao consumidor Nuwber, fundada em 2015
- 2015 é aproximadamente o mesmo período em que a Onerep começou
- Shelest afirmou que não há “nenhuma operação cruzada ou compartilhamento de informações” entre a Nuwber e a Onerep
- Também alegou que outros domínios antigos que podem ser associados ao seu nome já não são mais operados por ele
- Embora sua relação com o setor de busca de pessoas possa parecer estranha do ponto de vista externo, Shelest afirmou que sua experiência inicial ao investigar profundamente o funcionamento desses sites levou à tecnologia e à equipe da Onerep
- A declaração completa de Shelest foi publicada em PDF
Avaliação da Mozilla e transição dos clientes
- Um porta-voz da Mozilla disse que a empresa está deixando de usar a Onerep como prestadora de serviço do produto Monitor Plus
- A Mozilla afirmou que os dados dos clientes nunca estiveram em risco, mas concluiu que os interesses financeiros externos e as atividades do CEO da Onerep não estão alinhados com os valores da Mozilla
- A empresa está detalhando um plano de transição para oferecer uma experiência sem interrupções aos clientes atuais e priorizar os interesses dos usuários
Suspeitas de ligação com o Spamit e operação de anúncios
- O endereço de e-mail de Shelest apareceu como tendo sido usado por afiliados do Spamit por volta de 2010
- O Spamit era uma organização de língua russa que pagava pessoas para promover agressivamente sites que vendiam medicamentos para melhora da função masculina e remédios genéricos
- Segundo a investigação de 14 de março, essa conexão foi confirmada por pesquisas de vários pós-graduandos da George Mason University
- Shelest negou qualquer envolvimento com o Spamit
- Ele disse que entre 2010 e 2014 criou páginas da web e fez otimização para mecanismos de busca (SEO), depois adicionando banners do AdSense
- Isso parece se referir a vários domínios de busca de pessoas que o KrebsOnSecurity encontrou ligados ao seu endereço de e-mail
- Segundo ele, depois percebeu que muitas consultas eram relacionadas a encontrar pessoas
- Shelest reconheceu que a Onerep veicula anúncios em alguns sites de corretores de dados em determinadas situações
- Os anúncios são exibidos depois que o usuário preenche manualmente um formulário de opt-out
- Segundo sua explicação, o objetivo é informar que, se o usuário apareceu em um site, pode também aparecer em outros, apresentando opções automatizadas de opt-out como a Onerep
Indústria de corretores de dados e lacunas regulatórias
- O fundador do Have I Been Pwned, Troy Hunt, disse que sabia que a Mozilla estava revisando sua parceria com a Onerep, mas não conhecia os vários conflitos de interesse do CEO da empresa
- Hunt disse à Mozilla que a eficácia da remoção de dados em serviços que operam legalmente é limitada e que não é possível remover dados de serviços ilegais que causam danos reais
- Vender um serviço para resolver um problema ao mesmo tempo em que se cria e se espalha esse mesmo problema pode ser antiético, mas não é ilegal nos Estados Unidos
- Coletar e vender dados de cidadãos americanos também não é ilegal por si só nos Estados Unidos
- Especialistas em privacidade apontam que a razão da existência de corretores de dados, serviços de busca de pessoas como a Nuwber e empresas de gestão de reputação online como a Onerep está no fato de que a maioria dos estados americanos exclui os chamados registros públicos ou registros governamentais das leis de privacidade do consumidor
- Isso inclui cadastro de eleitores, registros imobiliários, certidões de casamento, registros de veículos, antecedentes criminais, documentos judiciais, registros de óbito, licenças profissionais e pedidos de falência
- Corretores de dados também podem enriquecer registros de consumidores com dados de redes sociais e informações sobre pessoas conhecidas
- Três investigações publicadas em março examinaram a indústria de corretores de dados e de busca de pessoas, destacando a necessidade de supervisão do Congresso ou regulação sobre proteção de dados do consumidor e privacidade
- Em 8 de março, A Close Up Look at the Consumer Data Broker Radaris tratou do fato de que cofundadores da Radaris operam vários serviços de namoro e programas de afiliados em língua russa
- A mesma investigação também afirmou que vários de seus negócios parecem estar ligados a uma empresa de marketing da Califórnia que trabalha com um conglomerado estatal de mídia russo alvo de sanções do governo dos EUA
- Em 20 de março, The Not-So-True People-Search Network from China revelou que uma rede de falsas empresas e executivos de busca de pessoas foi criada para ocultar a localização, na China, de afiliados desse setor
1 comentários
Opiniões no Hacker News
Se a empresa A cria um problema e a empresa B ganha dinheiro resolvendo esse problema, a empresa B se beneficia quanto mais a empresa A aumenta o problema
Assim, tanto A quanto B passam a ter interesse em que o problema continue sendo um problema, formando uma relação simbiótica em que ambas extraem lucro sem gerar benefício líquido para a sociedade
Isso é rent-seeking, pesa sobre a economia e também é difícil de justificar eticamente
Esse problema só pode ser resolvido com regulação
Vende um SO e um ambiente de nuvem extremamente inseguros e depois vende de novo ferramentas de segurança dizendo que vai corrigir problemas que ela própria criou desde o início
Acho que, para validar parcerias desse tipo, é preciso alguém com conhecimento muito profundo, princípios e ceticismo
Não é algo que deva ficar nas mãos de alguém que olha principalmente pela ótica de desenvolvimento de negócios ou da carreira
Agora, na resposta posterior ao caso, parece ser necessário um combatente que encontre uma forma legal de desmontar essa organização inteira
Isso pode estar alinhado à missão da Mozilla, mas, mais importante, é preciso restaurar a reputação da Mozilla, que foi prejudicada por este episódio
Por exemplo, mesmo que a contraparte tenha conseguido escapar de algum jeito diante dos consumidores, na transação com a Mozilla pode haver um novo ponto de ataque, como algum outro tipo de fraude, e a Mozilla tem muito mais condições do que a maioria das pessoas físicas para ir atrás desse problema
Se existisse algo como um fundo legal para atacar empresas stalker, eu até contribuiria com dinheiro
A Mozilla, por favor, deveria simplesmente fazer navegadores
É um conceito simples; não precisa de um texto com cara de ChatGPT em tom dramático
a) Foi um erro honesto, carros usados têm esse tipo de variação e o mercado vai ajustar o problema; se necessário, você se sentiria confortável comprando um usado do Joe
b) Joe sabia que o carro tinha defeito, mas viu Al como um trouxa e escondeu a informação; como eu entendo mais de carros ou leio melhor as pessoas do que Al, preciso ter cuidado ao comprar do Joe
c) Joe só vende carros defeituosos, e o modelo de negócios dele é arrancar dinheiro das pessoas; portanto não há como conseguir um bom negócio com Joe e é melhor procurar em outro lugar
d) Todos os vendedores de carros usados têm esse modelo de negócios; portanto não se deve comprar carro usado de revendas de usados
e) Todos os modelos de negócio em que há assimetria de informação entre comprador e vendedor são assim; por isso, não se deve comprar algo cujo piso de utilidade seja desconhecido, e mecanismos como garantia são necessários
Isso é apenas um exemplo que mostra um espectro de quanto antagonismo se pressupõe
Recentemente houve no HN um texto dizendo que vendedores são, na verdade, mais facilmente enganados, e acho que é porque vendedores tendem a ver a resposta a essa pergunta como (b), já que, na prática, lidam apenas com pessoas que pensam em termos de (a), (b) e (c)
Na verdade, isso não aparece só em vendedores, mas também de forma semelhante no pensamento de MBA
A crença central do MBA é que, contornando estruturas regulatórias e a psicologia das pessoas, é possível fazê-las pagar mais dinheiro do que o custo de produzir algo, e a renda dos MBAs no fim vem disso
Para alguém que vê a resposta à pergunta acima como (b), esse modo de pensar parecerá muito mais natural
Por isso, quando ouço que alguma empresa decidiu comprar algo, especialmente um serviço, minha intuição costuma ser que o comprador foi um idiota fácil de enganar e que tudo funcionaria muito melhor se ninguém pudesse comprar nada
Pessoalmente, não acho que seja necessário um ceticismo feroz para resolver esse problema
Uma solução muito mais barata e fácil seria impor uma proibição de compras inúteis
A Mozilla nunca precisa ser cliente
As ferramentas existentes de remoção de data brokers são todas falhas, porque usam trabalho manual para remover usuários dos sites, geralmente feito por mão de obra do terceiro mundo
Nós, em https://redact.dev, estamos criando uma abordagem puramente de software que processa os opt-outs diretamente no dispositivo do usuário
Já oferecemos suporte a exclusão em massa em mais de 40 redes sociais e utilitários
Consigo imaginar um nicho de mercado para quem quer continuar apagando conteúdo mais antigo que um período arbitrário, mas acho que a maioria dos usuários só precisa desse tipo de serviço de vez em quando
O preço meio que admite isso: no plano mensal, custa US$ 35 por mês, enquanto no anual sai por US$ 8 por mês
Não sei mesmo quem eles esperam que vá renovar intencionalmente todo mês
É difícil refutar que quem esquece de cancelar acaba bancando a conta, mas, como modelo de negócio, isso me deixa desconfortável
Pessoalmente, acho que esse comportamento empobrece a web como base de conhecimento
A pessoa tem o direito de fazer isso com o próprio conteúdo, mas, em grande escala, torna a internet uma ferramenta menos útil, e é meio triste porque os scrapers provavelmente já têm os dados de qualquer jeito
A falha real é que empresas desse setor centralizam os dados e os revendem, ao mesmo tempo em que adicionam ao dataset uma nova linha dizendo “quer apagar seus rastros de dados”
Com certeza é importante não dar acesso aos dados a ainda mais pessoas
A automação também nos permite ter preços muito mais baixos que a maioria dos serviços semelhantes
Por isso, até empresas de remoção sérias acabam tendo que depender em parte de trabalho manual
Seria ótimo se fosse totalmente automatizado, mas é difícil acreditar sem ver na prática
Da última vez que verifiquei, a Optery fazia remoções em mais de 325 lugares
Boa sorte, mas ainda há um longo caminho
Edit: isto parece ser um serviço completamente diferente
Exclusão em massa de posts antigos e remoção de informações de identificação pessoal de data brokers são coisas distintas
Se for uma ferramenta para enviar pedidos de opt-out em massa a todas as empresas com as quais já lidei, eu só confiaria se fosse gratuita e open source
Mesmo com boas intenções, comércio vira apenas mais um meio de rastreamento
Código open source não pode ter procuração limitada, e os data brokers também leriam o código e contornariam a lógica de preenchimento dos formulários
Eu sabia que seria assim
https://news.ycombinator.com/item?id=39280369
Se você jogar espaguete suficiente na parede, alguns fios acabam grudando
Acho que as intenções da Mozilla em si estavam no caminho certo, mas é bem decepcionante que a verificação de parceiros não tenha investigado com mais rigor algo que pós-graduandos da GMU conseguiram descobrir
Fico me perguntando se não há mais conexões suspeitas ainda não reveladas em serviços semelhantes
Também estou de olho na DeleteMe, patrocinadora de podcasts populares
O mundo está cheio de gente disposta a envenenar os outros para vender o antídoto, ou melhor ainda, um tratamento vitalício
Em geral, pós-graduandos têm mais tempo e podem ter bastante especialização
Quando se formarem e forem trabalhar na Mozilla, talvez não tenham tempo livre para investigar pistas improváveis
Há 15 anos criamos e fornecemos ferramentas de privacidade e também conversamos no HN
Fico feliz em responder a perguntas, mas agradeceria se pegassem leve com acusações sem base
Tive que aceitar que a privacidade está completa e irreversivelmente morta
Quem tem poder ou dinheiro agora consegue descobrir quase tudo sobre você, e talvez até mais do que você mesmo sabe ou percebe
Quem tem tempo para documentar e refletir regularmente, de forma minuciosa, sobre todos os aspectos da própria vida e comportamento, e todas as conexões que decorrem disso?
Nada vai mudar a menos que o Senado, a Câmara e o presidente se mobilizem em massa para tornar ilegais, com punições reais, os atos intermináveis e repugnantes de vigiar pessoas para enfraquecê-las e enriquecer a si mesmos
Isso nunca vai acontecer, porque o governo dos EUA é um dos maiores clientes e fornecedores desses serviços
A Mozilla é praticamente uma das últimas organizações que ainda sequer fala em privacidade, e essa mesma Mozilla entrou no mesmo barco que essa pessoa
É por isso que a situação é tão desesperadora
Não custa nada descobrir o nome de alguém, todos os endereços onde já morou, nomes de familiares etc.
Essas empresas deveriam ser varridas do mapa
Estou esperando a UE perceber esse problema logo
Definitivamente não quero que a Mozilla apoie organizações de busca de pessoas, mas questiono se é isso mesmo que está acontecendo aqui
Imagino que a expertise adquirida na área de busca de pessoas seja exatamente a expertise necessária para remover pessoas das listas usadas por essas organizações
A verdadeira pergunta é se há intermediação de dados para fora da Onerep
Isso parece um caso em que a aparência venceu a substância
Está jogando dos dois lados ao mesmo tempo