2 poin oleh GN⁺ 2024-03-15 | 1 komentar | Bagikan ke WhatsApp
  • Terungkap indikasi bahwa pendiri Dimitri Shelest dari Onerep.com, yang menjual layanan penghapusan data pribadi, terkait dengan berbagai layanan pencarian orang, sehingga masalah kepercayaan terhadap layanan dan konflik kepentingan makin mengemuka
  • Onerep mempromosikan layanan penghapusan data pribadi dari hampir 200 situs pencarian orang, dengan harga mulai $8.33 per bulan untuk individu dan $15 per bulan untuk keluarga, serta menyasar pelanggan korporat dan sektor publik
  • Catatan DomainTools dan Constella Intelligence berulang kali menampilkan email Shelest, nomor telepon Belarus, serta Onerep, Nuwber, dan domain pencarian orang per negara secara bersamaan
  • Dalam pembaruan 21 Maret, Shelest mengakui memiliki saham di Nuwber, tetapi menyatakan tidak ada berbagi informasi atau operasi silang dengan OneRep, dan domain-domain lama lainnya tidak lagi ia operasikan
  • Mozilla menjelaskan bahwa layanan penghapusan data otomatis Mozilla Monitor adalah kemitraan dengan OneRep, dan menyatakan telah menerima konfirmasi bahwa hubungan lama telah berakhir, tetapi akan meninjau masalah ini lebih lanjut

Layanan Onerep dan Target Pelanggannya

  • Onerep.com memperkenalkan diri sebagai layanan berbasis di Virginia dan mempromosikan penghapusan data pribadi dari hampir 200 situs web pencarian orang
  • Layanan “Protect” mulai dari $8.33 per bulan untuk individu dan $15 per bulan untuk keluarga
  • Untuk pelanggan korporat, perusahaan menjual layanan agar data karyawan terus dihapus dari situs pencarian orang
  • Studi kasus pelanggan Onerep.com menampilkan kontrak untuk karyawan Permanente Medicine
    • Permanente Medicine mewakili para dokter di dalam Kaiser Permanente
  • Onerep menyatakan juga telah memperoleh hasil penetrasi di departemen kepolisian AS

Kaitan yang Dibentuk oleh Catatan Domain dan Email

  • Onerep.com memperkenalkan pendiri sekaligus CEO-nya sebagai Dimitri Shelest asal Minsk, Belarus, dan profil LinkedIn Shelest juga memuat informasi yang sama
  • Catatan pendaftaran lama di DomainTools.com menampilkan Shelest sebagai pendaftar onerep.com yang menggunakan alamat dmitrcox2@gmail.com
  • Hasil pencarian Constella Intelligence mengaitkan nama Dimitri Shelest dengan informasi berikut
    • dimitri.shelest@onerep.com

    • d.sh@nuwber.com

      • Nomor telepon Belarus +375-292-702786
      • Nuwber.com adalah layanan pencarian orang dan termasuk salah satu dari beberapa situs yang disebut Onerep sebagai target penghapusan data
      • Situs web Onerep menyatakan, “OneRep tidak terkait dengan Nuwber.com”
      • Namun, Constella menemukan bahwa nomor telepon Belarus 375-292-702786 yang terkait dengan Nuwber digunakan beberapa kali bersama alamat dmitrcox@gmail.com
      • DomainTools menunjukkan bahwa comversus.com terkait dengan dmitrcox@gmail.com maupun dmitrcox2@gmail.com
      • Domain yang menampilkan kedua email tersebut bersama-sama dalam catatan WHOIS mencakup careon.me, docvsdoc.com, dotcomsvdot.com, namevname.com, okanyway.com, dan tapanyapp.com

Puluhan Domain Pencarian Orang dan Indikasi Awal Onerep

  • Pencarian dmitrcox@gmail.com di DomainTools mengaitkannya dengan setidaknya 179 pendaftaran domain, banyak di antaranya merupakan perusahaan pencarian orang yang kini tidak lagi beroperasi
  • Domain-domain ini menargetkan warga dari berbagai negara, termasuk Argentina, Brasil, Kanada, Denmark, Prancis, Jerman, Hong Kong, Israel, Italia, Jepang, Latvia, dan Meksiko
  • nuwber.fr yang didaftarkan pada 2016 saat itu identik dengan beranda Nuwber.com
  • Email dan nomor telepon Belarus yang sama juga muncul dalam catatan pendaftaran lama untuk nuwber.at, nuwber.ch, dan nuwber.dk
  • Catatan WHOIS lama onerep.com awalnya terdaftar atas nama penduduk Sioux Falls, South Dakota, tetapi sekitar September 2015 domain itu dipindahkan dari GoDaddy.com ke eNom dan informasi pendaftarannya disembunyikan di balik perlindungan privasi
  • Sekitar periode ini, DomainTools menunjukkan bahwa onerep.com mulai menggunakan nameserver dari penyedia DNS constellix.com
  • Nuwber.com juga pertama kali muncul pada akhir 2015, didaftarkan melalui eNom, dan mulai menggunakan DNS constellix.com pada waktu yang hampir sama
  • LinkedIn mencantumkan Dimitri Bukuyazau sebagai manajer produk OneRep.com pada 2015–2018
    • Profil ini tidak memuat entri Nuwber
    • Constella Intelligence menemukan d.bu@nuwber.com dan d.bu+figure-eight.com@nuwber.com sebagai email karyawan nuwber.com, dan yang terakhir terdaftar dengan nama “Dzmitry”
  • PrivacyDuck pada 2017 menyebutkan dasar untuk menilai OneRep dan Nuwber sebagai perusahaan yang sama, tetapi onerep.com sepenuhnya dikecualikan dari Wayback Machine sehingga perilaku awalnya sulit diverifikasi
    • Wayback Machine menerima permintaan pengecualian semacam ini jika ada permintaan langsung dari pemilik domain

Riwayat Domain yang Lebih Luas dan Kontroversi Konflik Kepentingan

  • Nama, nomor telepon, dan email Shelest juga muncul dalam catatan pendaftaran banyak layanan pencarian orang per negara
  • dmitrcox@gmail.com juga terkait dengan salah satu email afiliasi dalam program afiliasi spam apotek berbahasa Rusia Spamit yang bocor pada 2010
    • Spamit membayar komisi kepada spammer ketika obat peningkat fungsi pria terjual di situs yang diiklankan lewat spam
    • Email tersebut bukan afiliasi yang sangat menguntungkan
  • Profil Facebook Shelest menunjukkan tempat tinggal di Minsk dan status menikah, dan menurut pembaruan 16 Maret 2024, akun tersebut tidak lagi aktif
  • Aktivitas Facebook lebih dari 10 tahun lalu mencakup banyak tanda suka untuk halaman profil situs pencarian orang
  • Chief Growth Officer 360 Privacy, Max Anderson, mengatakan bahwa adanya koneksi langsung antara layanan penghapusan data dan situs broker data merupakan hal yang mengkhawatirkan
  • Anderson menilai tidak etis mengoperasikan perusahaan yang menjual informasi orang-orang sambil menagih biaya kepada orang yang sama untuk menghapus informasi tersebut

Jawaban Shelest dan Kemitraan Mozilla Monitor

  • Dalam pembaruan 21 Maret 2024, Shelest memberikan jawaban panjang
    • Ia mengakui masih memiliki kepemilikan di Nuwber
    • Ia menyatakan bahwa “sama sekali tidak ada operasi silang atau berbagi informasi” dengan OneRep
    • Ia mengatakan domain-domain lama lain yang dapat dikaitkan dengan namanya tidak lagi ia operasikan
  • Shelest mengakui bahwa hubungannya dengan bisnis pencarian orang dapat terlihat aneh dari luar, tetapi mengatakan bahwa tanpa jalur awal yang mendalami cara kerja situs pencarian orang, Onerep tidak akan memiliki teknologi dan tim di bidang tersebut
  • Ia mengakui dulu tidak menjelaskan hubungan ini dengan lebih jelas dan mengatakan akan melakukannya dengan lebih baik ke depan
  • Jawaban lengkap tersedia sebagai PDF
  • Pembaruan 15 Maret 2024 menambahkan bahwa Mozilla Monitor dari Mozilla Foundation menyediakan OneRep sebagai paket bundel
    • Mozilla Monitor tersedia sebagai layanan berlangganan gratis atau berbayar
    • Layanan notifikasi kebocoran gratis merupakan kemitraan dengan Have I Been Pwned
    • Layanan penghapusan data otomatis merupakan kemitraan dengan OneRep untuk menghapus informasi pribadi dari direktori online publik dan situs agregasi informasi
  • Mozilla menyatakan telah mengevaluasi apakah layanan penghapusan data OneRep beroperasi sesuai dengan prinsip privasi Mozilla
  • Mozilla mengatakan telah mengetahui hubungan lama yang disebut dalam artikel tersebut dan telah menerima konfirmasi bahwa hubungan itu berakhir sebelum mereka bekerja sama
  • Mozilla menyatakan sedang meninjau masalah ini lebih lanjut dan akan memprioritaskan privasi serta keamanan pelanggan

1 komentar

 
GN⁺ 2024-03-15
Pendapat di Hacker News
  • Bukan rahasia besar bahwa cukup banyak perusahaan manajemen reputasi juga memiliki situs catatan publik yang memublikasikan mugshot, catatan pengadilan, dan sebagainya
    Kalau meminta mereka menghapus informasi dari internet, mereka akan menghapusnya dari satu-dua situs yang mereka operasikan sendiri, lalu mengunggahnya lagi di tempat lain, sehingga terjebak dalam siklus
    Pada akhirnya ini menjadi permainan whack-a-mole tanpa akhir, bahkan dengan biaya langganan bulanan

    • Terkait hal ini, Proofpoint juga terkenal buruk
      Mereka memblokir server email tanpa alasan jelas, lalu membuat orang menjalani prosedur pembukaan blokir
      Jika membayar, masalahnya seperti hilang secara ajaib, dan satu-satunya daftar blokir yang selalu kena hanyalah Proofpoint
    • Ini adalah bisnis pemerasan
    • Lembaga pemeringkat kredit terasa persis seperti ini
      Mereka menyedot data pribadi apa saja tanpa bisa opt-out, menyimpannya entah akurat atau tidak, dan menolak menghapus data yang jelas-jelas salah
      Lalu setelah mengelola data itu secara ceroboh hingga semuanya bocor ke publik, mereka meminta kita membayar biaya pemantauan kredit seumur hidup karena informasi yang tidak bisa diubah sudah tersebar ke orang jahat
      Kira-kira siapa yang memiliki sebagian besar perusahaan pemantauan kredit itu
    • Ini sangat mirip tukang reparasi jendela yang memecahkan jendela, atau penjual ban yang menebar sekotak paku di jalan
      Bedanya hanya tindakan-tindakan seperti itu ilegal
      Ini mungkin pantas disebut mafia privasi data
    • Pelajaran zaman modern sudah jelas: jika menginginkan privasi, jangan tinggalkan dalam bentuk digital
      Ada tempat yang melarang penggunaan smartphone dan meminta orang menitipkan ponsel di pintu masuk seperti menitipkan mantel
      Seorang teman jurnalis saya sering meninggalkan smartphone-nya di rumah
  • Sulit untuk menjelaskan secara spesifik, tetapi saya mengenal seseorang yang harus menangani permintaan penghapusan dari perusahaan “privasi” seperti ini
    Perusahaan privasi itu mengambil informasi pribadi pengguna seperti nama dan email, lalu mengirimkannya lewat email ke semua perusahaan yang terpikirkan, terlepas ada akun atau tidak, sambil meminta akun tersebut dihapus

    • Saya curiga bahwa meskipun layanan semacam ini dijalankan dengan niat baik dan bukan penipuan pengumpulan data yang agresif, dalam praktiknya kerugiannya bisa lebih besar daripada manfaatnya
      Namun ini juga masalah ayam dan telur. Untuk meminta informasi saya dihapus, saya harus memberi tahu informasi apa yang mengidentifikasi saya
      Karena perusahaan punya insentif untuk membuat prosedur ini sesulit mungkin, kecil kemungkinan solusi berbasis hash data akan muncul secara sukarela; dibutuhkan regulasi kuat dan denda besar
      Ada juga masalah membuktikan kepemilikan atas data yang menjadi target permintaan penghapusan. Bahkan di GDPR Uni Eropa, yang bisa dibilang regulasi privasi paling maju, perusahaan rutin melanggarnya dengan meminta lebih banyak data pribadi dari pemohon
    • Jika memakai layanan “delete me” seperti ini untuk menghapus informasi dari platform seperti Dropbox, ada jebakan tersembunyi
      Layanan seperti ini sering terhubung dengan perusahaan yang memperdagangkan alamat email, sehingga email yang Anda kirimkan untuk penghapusan bisa dijual kepada marketer atau data broker
      Pada akhirnya spam dan kontak yang tidak diinginkan bisa makin banyak, atau iklan tertarget bisa mengikuti Anda tergantung siapa yang membeli email itu
    • Dari sudut pandang devil’s advocate, satu sampel sering kali hanya sebuah titik data, bukan keseluruhan cerita
      Jika perusahaannya sah, dapat diasumsikan mereka bisa memeriksa apakah perusahaan tersebut memiliki informasi itu sebelum mengirim permintaan penghapusan
      Tentu saja bisa saja salah dan tidak ada bukti, tetapi untuk satu sampel itu, ini dugaan yang masuk akal
  • Dilihat dari ketentuan layanannya, Mozilla Monitor tampaknya juga memakai layanan yang sama. Ini cukup serius
    https://www.mozilla.org/en-US/about/legal/terms/subscription...

    • Menurut saya ini adalah kegagalan uji tuntas dari Mozilla Corporation
      Sepertinya tim legal mereka sekarang sudah masuk mode respons insiden
      Ini salah satu masalah yang muncul ketika organisasi tidak melakukan apa pun secara langsung dan mengalihkan tanggung jawab serta beban hukum ke mitra eksternal
      Jika Anda sudah menitipkan data pribadi ke Mozilla Monitor, kontak legalnya ada di halaman ketentuan: https://www.mozilla.org/en-US/about/legal/terms/subscription...
      Ketentuan itu membatasi tanggung jawab hingga 500 dolar dan juga memberikan indemnity kepada Mozilla
    • Cerita yang lebih besar di sini mungkin bagian ini
      Tidak percaya pada perusahaan mencurigakan itu mudah, tetapi tertipu oleh nama besar seperti Mozilla adalah masalah yang sama sekali berbeda
  • Hal seperti ini tampaknya lebih baik ditangani langsung oleh pihak pertama yang tepercaya, yaitu diri sendiri
    Daftar cara opt-out dari broker data: https://github.com/yaelwrites/Big-Ass-Data-Broker-Opt-Out-Li...

    • Saya sempat memakai Onerep, lalu berhenti setelah mendengar bahwa layanan itu mencurigakan
      Sekarang saya memakai Optery(https://www.optery.com/), perusahaan YC, dan kalau ada masalah saya ingin mendengarnya
      Masalahnya, ada lebih dari 200 broker data, dan saya tidak punya waktu untuk menghadapi semuanya
    • Saya pernah mencoba sendiri cara ini dengan mengikuti sebuah panduan, dan untuk salah satu perusahaan paling buruk, mylife.com, hasilnya jelas efektif
      Saya harus menelepon call center di India, tetap sopan tetapi gigih, sambil beberapa kali mendengarkan promosi “layanan” mereka
      Akhirnya mereka menghapus nama saya, tetapi mengatakan bahwa nama itu “mungkin” bisa muncul lagi
      Itu terjadi pada 2018, dan sekarang nama saya tidak muncul di pencarian situs tersebut. Namun saya masih menerima beberapa email sampah dari mylife setiap hari yang mengatakan ada “perubahan” pada profil saya, keluarga, dan tetangga
      Untuk urusan seperti ini, saya menghindari pihak ketiga. Seperti yang dikatakan Krebs, selain bisa menciptakan struktur pemerasan bersama broker data sampah, sebagian layanan juga membayar sebagian biaya kepada broker data untuk menghapus nama
      Saya tidak ingin membuat orang-orang seperti itu mendapat uang dari aktivitas mereka
      Sebagai catatan, pendiri dan CEO Mylife.com adalah Jeffrey Tinsley, dan tampaknya ia menghasilkan uang cukup besar dari bisnis broker data ini
    • Saya penasaran apakah ada yang pernah mencoba layanan yang diiklankan oleh pembuat daftar ini. Kelihatannya menarik dan berguna
      https://securityplanner.consumerreports.org/
    • Daftar yang bagus
      Pikiran pertama saya adalah, “kenapa semua informasi ini dimasukkan ke README, bukan dibuat sebagai daftar JSON yang mudah di-scrape?”
      Lalu saya berpikir, “bukankah saya bisa menyuruh teman AI membaca README dan melakukan semua proses opt-out?”
  • Ini mengingatkan saya pada Ironport dulu
    Ironport membuat perangkat spam filtering rackmount untuk perusahaan, dan pada saat yang sama juga membuat perangkat pengirim spam rackmount untuk perusahaan
    Itu merusak reputasinya

    • Yang lebih merusak reputasi Ironport adalah setelah Cisco mengakuisisinya, mereka menelantarkan produknya sambil menaikkan harganya
      Sebelum diakuisisi, perangkat itu benar-benar bagus
  • Saya penasaran apakah ada perusahaan perlindungan reputasi yang memakai strategi lain
    Caranya: untuk setiap pengguna yang meminta layanan, mereka membuat ribuan identitas palsu dengan nama yang sama, lalu mengisinya dengan profil asal-asalan yang hampir mirip dengan pengguna asli tetapi tidak sepenuhnya cocok
    Jika seseorang mencari orang itu, hasilnya akan dibanjiri informasi sampah
    Kalau menghapus identitas yang bocor terlalu sulit, mungkin lebih baik menyembunyikan pohon di dalam hutan

    • Seorang mantan perdana menteri Inggris pernah menyebarkan informasi pengalih mesin pencari dengan cara serupa untuk menyembunyikan skandalnya
      Dalam sebuah wawancara ia mengatakan hobinya adalah melukis bus merah kecil, sementara skandal yang ingin ia sembunyikan adalah iklan palsu dan murahan tentang bus merah sungguhan yang digunakan dalam kampanye Brexit
    • Perusahaan manajemen reputasi memang benar-benar melakukan itu
      Biasanya disebut penyebaran disinformasi
  • Favorit pribadi saya dari kategori semacam “puncak internet” adalah situs-situs yang mengklaim bahwa setiap orang di Bumi punya “catatan penangkapan ditemukan” dan akan menunjukkannya jika membayar 49 dolar
    Kalau Anda orangnya, mereka meminta 99 dolar untuk menghapusnya

    • Di AS, sebenarnya memang sedang menuju ke arah seperti itu
      Serius, model bertransaksi dengan kedua belah pihak atau menjual uang perlindungan adalah bisnis yang cukup menguntungkan
  • Ada satu perusahaan YC yang layak disebut di sini. Mereka mengirimkan permintaan opt-out, dan bagi saya tampak jauh tidak semencurigakan Onerep
    https://www.optery.com/
    Saya tidak berafiliasi, hanya pengguna

  • Belakangan saya sering melihat hal seperti ini. Mungkin juga hanya karena sekarang lebih mudah terlihat daripada sebelumnya
    Contoh lain, ada orang-orang yang menjual kaus politik kepada kedua kubu yang terbelah secara partisan. Banyak di antaranya agresif atau tidak menyenangkan

    • Saya tidak menganggapnya buruk jika penjual tidak mengklaim bahwa dirinya mewakili tujuan tersebut
    • Di AS rasanya hanya satu kubu yang membeli merchandise
      Terutama merchandise yang agresif dan tidak menyenangkan
    • Di Twitter, spam merchandise seperti itu sekarang benar-benar ada di mana-mana
      Karena sifatnya yang lintas-partai dan emosinya sangat tinggi, saya sering penasaran berapa besar keuntungannya
    • Manajer Elvis juga melakukan hal semacam ini dengan lencana “I hate Elvis”
      Namun itu tidak sepenuhnya sama. Dalam kasus ini, pasar sengaja ditipu agar membeli layanan yang tidak diperlukan, dan pada dasarnya lebih dekat ke bisnis pemerasan
  • Kalau mesin pencari mengembalikan 0 hasil tentang saya, itu kondisi yang baik
    Jangan sembarangan menaruh informasi pribadi di tempat yang terbuka untuk publik. Termasuk profil LinkedIn
    Kalau Anda pemilik bisnis, saya belum menemukan solusinya, tetapi dalam kasus itu pun sebaiknya paparan dibuat seminimal mungkin