Gizlilik şirketi Onerep.com’un CEO’su onlarca kişi arama şirketi kurmuş
(krebsonsecurity.com)- Kişisel verilerin silinmesini satan Onerep.com’un kurucusu Dimitri Shelest’in birden fazla kişi arama hizmetiyle bağlantılı olduğuna dair bulgular ortaya çıktı; bu da hizmetin güvenilirliği ve çıkar çatışmasıyla ilgili soru işaretlerini büyüttü
- Onerep, neredeyse 200 kişi arama sitesinden kişisel bilgileri kaldırdığını söyleyerek tanıtım yapıyor; fiyatlar bireyler için aylık $8.33, aileler için aylık $15’dan başlıyor ve şirket ile kamu sektörü müşterilerini de hedefliyor
- DomainTools ve Constella Intelligence kayıtlarında Shelest’in e-postası, Belarus telefon numarası, Onerep·Nuwber·ülke bazlı kişi arama alan adları tekrar tekrar birlikte görünüyor
- Shelest, 21 Mart güncellemesinde Nuwber’da hisse sahibi olduğunu kabul etti; ancak OneRep ile bilgi paylaşımı veya çapraz operasyon olmadığını ve eski diğer alan adlarını artık işletmediğini söyledi
- Mozilla, Mozilla Monitor’un otomatik veri silme hizmetini OneRep ortaklığı olarak tanımlıyor; geçmişteki ilişkinin sona erdiğine dair teyit aldığını, ancak konuyu ayrıca inceleyeceğini belirtti
Onerep’in hizmeti ve hedef müşterileri
- Onerep.com, kendisini Virginia merkezli bir hizmet olarak tanıtıyor ve neredeyse 200 kişi arama web sitesinden kişisel bilgileri kaldırdığını öne çıkarıyor
- “Protect” hizmeti bireyler için aylık $8.33, aileler için aylık $15’dan başlıyor
- Kurumsal müşterilere, çalışan verilerinin kişi arama sitelerinden sürekli olarak kaldırılmasını sağlayan bir hizmet satıyor
- Onerep.com’un müşteri örneklerinde Permanente Medicine çalışanlarına yönelik bir sözleşme yer alıyor
- Permanente Medicine, Kaiser Permanente içindeki doktorları temsil ediyor
- Onerep, ABD polis departmanlarında da ilerleme kaydettiğini söylüyor
Alan adı ve e-posta kayıtlarının kurduğu bağlantılar
- Onerep.com, kurucusu ve CEO’su olarak Belarus’un Minsk kentinden Dimitri Shelest’i tanıtıyor; Shelest’in LinkedIn profili de aynı bilgiyi içeriyor
- DomainTools.com geçmiş kayıtlarında Shelest, dmitrcox2@gmail.com adresini kullanan onerep.com kayıt sahibi olarak görünüyor
- Constella Intelligence arama sonuçları Dimitri Shelest adını şu bilgilerle ilişkilendiriyor
-
dimitri.shelest@onerep.com
-
d.sh@nuwber.com
- Belarus telefon numarası +375-292-702786
- Nuwber.com bir kişi arama hizmeti ve Onerep’in veri kaldırma hedefi olarak gösterdiği birçok siteden biri
- Onerep web sitesi “OneRep’in Nuwber.com ile bağlantısı yoktur” diye belirtiyor
- Ancak Constella, Nuwber ile bağlantılı Belarus telefon numarası 375-292-702786’nın dmitrcox@gmail.com adresiyle birçok kez birlikte kullanıldığını buldu
- DomainTools, comversus.com’un hem dmitrcox@gmail.com hem de dmitrcox2@gmail.com ile bağlantılı olduğunu gösteriyor
- Aynı iki e-postanın WHOIS kayıtlarında birlikte göründüğü alan adları arasında careon.me, docvsdoc.com, dotcomsvdot.com, namevname.com, okanyway.com, tapanyapp.com yer alıyor
-
Onlarca kişi arama alan adı ve erken dönem Onerep bulguları
- DomainTools’ta dmitrcox@gmail.com arandığında en az 179 alan adı kaydı ile bağlantı çıkıyor; bunların çoğu artık faal olmayan kişi arama şirketleriydi
- Bu alan adları Arjantin, Brezilya, Kanada, Danimarka, Fransa, Almanya, Hong Kong, İsrail, İtalya, Japonya, Letonya, Meksika gibi birçok ülkedeki vatandaşları hedefliyordu
- 2016’da kaydedilen nuwber.fr o dönemdeki Nuwber.com ana sayfası ile aynıydı
- Aynı e-posta ve Belarus telefon numarası nuwber.at, nuwber.ch, nuwber.dk geçmiş kayıtlarında da görünüyor
- onerep.com’un geçmiş WHOIS kayıtları, alan adının başlangıçta Güney Dakota, Sioux Falls’ta yaşayan bir kişiye kayıtlı olduğunu; ancak Eylül 2015 civarında GoDaddy.com’dan eNom’a taşındığını ve kayıt bilgilerinin gizlilik koruması arkasına alındığını gösteriyor
- DomainTools’a göre bu dönemde onerep.com, DNS sağlayıcısı constellix.com’un ad sunucularını kullanmaya başladı
- Nuwber.com da ilk olarak 2015 sonunda ortaya çıktı, eNom üzerinden kaydedildi ve neredeyse aynı zamanlarda constellix.com DNS kullanmaya başladı
- LinkedIn’de Dimitri Bukuyazau’nun 2015-2018 arasında OneRep.com’da ürün yöneticisi olduğu görünüyor
- Bu profilde Nuwber maddesi yok
- Constella Intelligence, nuwber.com çalışan e-postası olarak d.bu@nuwber.com ve d.bu+figure-eight.com@nuwber.com adreslerini buldu; ikincisi “Dzmitry” adıyla kayıtlıydı
- PrivacyDuck, 2017’de OneRep ile Nuwber’ın aynı şirket olduğuna işaret eden gerekçeler ortaya koymuştu; ancak onerep.com Wayback Machine’den tamamen hariç tutulduğu için erken dönem işleyişini kolayca doğrulamak zor
- Wayback Machine, alan adı sahibinin doğrudan talebi olduğunda bu tür hariç tutma isteklerini kabul ediyor
Daha geniş alan adı geçmişi ve çıkar çatışması tartışması
- Shelest’in adı, telefon numarası ve e-postası çok sayıda ülke bazlı kişi arama hizmetinin kayıtlarında da görünüyor
- Örnek: pplcrwlr.in, pplcrwlr.fr, pplcrwlr.dk, pplcrwlr.jp
- Örnek: peeepl.br.com, peeepl.in, peeepl.it, peeepl.co.uk
- Örnek: waatpp.de, waatp1.fr, azersab.com, ahavoila.com
- dmitrcox@gmail.com, 2010’da sızdırılan Rusça konuşulan çevrelerdeki eczane spam ortaklık programı Spamit’in ortaklık e-postalarından biriyle de bağlantılıydı
- Spamit, spam reklam sitelerinde erkek performans ilaçları satıldığında spam gönderenlere komisyon ödüyordu
- Söz konusu e-posta yüksek gelir getiren bir ortak değildi
- Shelest’in Facebook profili Minsk’te yaşadığını ve evli olduğunu gösteriyordu; 16 Mart 2024 güncellemesine göre bu hesap artık aktif değil
- 10 yıldan eski Facebook etkinliklerinde çok sayıda kişi arama sitesinin profil sayfasına beğeni vardı
- DomainTools, bu sitelerin dmitrcox@gmail.com ile kaydedildiğini gösteriyor
- Örnek: findita.com, findmedo.com, folkscan.com, huntize.com, ifindy.com, jupery.com
- 360 Privacy’nin büyümeden sorumlu yöneticisi Max Anderson, veri kaldırma hizmeti ile veri broker’ı web siteleri arasında doğrudan bağlantı olmasının kaygı verici olduğunu söyledi
- Anderson, insanların bilgilerini satan bir şirketi işletirken aynı kişilerden bilgilerini silmek için ücret almanın etik olmadığını düşünüyor
Shelest’in yanıtı ve Mozilla Monitor ortaklığı
- 21 Mart 2024 güncellemesinde Shelest uzun bir yanıt verdi
- Nuwber’da sahiplik payını koruduğunu kabul etti
- OneRep ile “hiçbir çapraz operasyon veya bilgi paylaşımı olmadığını” belirtti
- Kendi adıyla ilişkilendirilebilecek eski diğer alan adlarını artık kendisinin işletmediğini söyledi
- Shelest, kişi arama işiyle ilişkisinin dışarıdan tuhaf görünebileceğini kabul etmekle birlikte, kişi arama sitelerinin nasıl çalıştığının derinine indiği erken dönem yolu olmasaydı Onerep’in bu alandaki teknolojiye ve ekibe sahip olamayacağını söyledi
- Geçmişte bu ilişkiyi daha açık biçimde ortaya koyamadığını kabul etti ve bundan sonra daha iyi davranacağını belirtti
- Yanıtın tamamı PDF olarak sunuluyor
- 15 Mart 2024 güncellemesine Mozilla Foundation’ın Mozilla Monitor’u OneRep ile birlikte sunduğu bilgisi eklendi
- Mozilla Monitor ücretsiz veya ücretli abonelik hizmeti olarak sunuluyor
- Ücretsiz ihlal uyarı hizmeti Have I Been Pwned ile ortaklık kapsamında
- Otomatik veri silme hizmeti, kişisel bilgileri herkese açık çevrimiçi dizinlerden ve bilgi toplama sitelerinden kaldırmak için yapılan OneRep ortaklığı
- Mozilla, OneRep’in veri kaldırma hizmetinin Mozilla’nın gizlilik ilkelerine uygun çalışıp çalışmadığını değerlendirdiğini söyledi
- Mozilla, yazıda geçen geçmiş ilişkiyi bildiğini ve birlikte çalışmadan önce bunun sona erdiğine dair teyit aldığını söyledi
- Mozilla, konuyu ayrıca incelediğini ve müşterilerin gizliliği ile güvenliğine öncelik vereceğini belirtti
1 yorum
Hacker News görüşleri
İtibar yönetimi şirketlerinin önemli bir kısmının mugshot’lar, mahkeme kayıtları vb. yayımlayan kamu kayıt sitesi türü sitelere de sahip olması pek gizli bir şey değil
İnternetten bilgilerinizi sildirmeleri için ödeme yaptığınızda, kendi işlettikleri bir iki siteden siliyorlar, sonra başka yerlerde yeniden ortaya çıkıyor ve bir döngüye giriliyor
Sonuçta aylık abonelik ücreti de eklenmiş, sonu gelmeyen bir köstebek vurma oyununa dönüşüyor
Hiçbir açık neden olmadan mail sunucularını engelleyip sonra engeli kaldırmak için bir süreçten geçmenizi sağlıyorlar
Para ödeyince sorun sihirli şekilde ortadan kalkıyor ve sürekli takıldığımız tek engelleme listesi hep Proofpoint oluyordu
Vazgeçme seçeneğiniz bile yokken kişisel verileri önüne gelen her yerden topluyorlar, doğru olsun olmasın saklıyorlar ve bariz yanlış verileri bile silmeyi reddediyorlar
Sonra bu verileri özensizce yönetip hepsini dünyaya sızdırıyorlar; artık değiştirilemeyen bilgiler kötü insanların eline geçti diye ömür boyu kredi izleme ücreti ödemenizi söylüyorlar
Acaba bu kredi izleme şirketlerinin çoğuna kim sahip
Tek fark, o eylemlerin yasa dışı olması
Buna veri gizliliği mafyası demek yanlış olmaz gibi
Bazı yerler akıllı telefon kullanımını yasaklıyor ve girişte mont teslim eder gibi telefonunuzu bırakmanızı istiyor
Gazeteci bir arkadaşım da akıllı telefonunu sık sık evde bırakıyor
Ayrıntı veremem ama bu tür “gizlilik” şirketlerinin silme taleplerini işlemek zorunda kalmış birini tanıyorum
O gizlilik şirketi, kullanıcının adı ve e-postası gibi kişisel bilgilerini alıp, hesabı olsun olmasın aklına gelen her şirkete e-posta göndererek hesabın silinmesini talep ediyordu
Ama bu aynı zamanda tavuk-yumurta problemi. Bilgilerimi sildirmeni istiyorsam, önce hangi bilgilerin beni tanımladığını söylemem gerekiyor
Şirketlerin bu süreci olabildiğince zorlaştırmak için teşviki var; bu yüzden veri hash’i tabanlı bir çözümün kendiliğinden ortaya çıkması pek olası değil, güçlü düzenleme ve yüksek para cezaları gerekiyor
Bir de silme talebine konu verinin sahipliğini kanıtlama sorunu var. En gelişmiş gizlilik düzenlemelerinden sayılan AB’nin GDPR’ında bile şirketler, talep sahibinden daha fazla kişisel veri isteyerek bunu rutin olarak ihlal ediyor
Bu hizmetler çoğu zaman e-posta adresi ticareti yapan şirketlerle bağlantılı oluyor; dolayısıyla silme için e-postanızı verdiğinizde bu adres pazarlamacılara ya da veri broker’larına satılabiliyor
Sonuçta daha fazla spam ve istenmeyen ileti alabilir, hatta e-postayı satın alan tarafa bağlı olarak peşinize hedefli reklamlar takılabilir
Meşru bir şirketin silme talebi göndermeden önce ilgili şirkette sizin bilginiz olup olmadığını kontrol edebildiğini varsayabilirsiniz
Elbette yanlış da olabilir ve elimde kanıt yok ama tek bir örnekten çıkabilecek makul bir varsayım bu
Koşullara bakılırsa Mozilla Monitor da aynı hizmeti kullanıyor gibi görünüyor. Oldukça ciddi
https://www.mozilla.org/en-US/about/legal/terms/subscription...
Hukuk ekibi şu anda çoktan kriz müdahale moduna geçmiş olmalı
Kurumun kendisi hiçbir şey yapmayıp sorumluluğu ve hukuki yükü dış ortaklara devrettiğinde ortaya çıkan sorunlardan biri de bu
Mozilla Monitor’e kişisel verilerinizi emanet ettiyseniz, hukuki iletişim bilgileri koşullar sayfasında: https://www.mozilla.org/en-US/about/legal/terms/subscription...
O koşullar sorumluluk sınırını 500 dolarla kısıtlıyor ve Mozilla’ya ayrıca tazminat muafiyeti sağlıyor
Şüpheli şirketlere güvenmemek kolay ama Mozilla gibi büyük bir isme kanmak bambaşka bir mesele
Bunun güvenilir bir birinci taraf, yani kişinin kendisi tarafından doğrudan yapılması daha iyi görünüyor
Veri brokerlarından çıkış yöntemleri listesi: https://github.com/yaelwrites/Big-Ass-Data-Broker-Opt-Out-Li...
Şimdi YC şirketi Optery'yi (https://www.optery.com/) kullanıyorum; bir sorunu varsa duymak isterim
Sorun şu ki 200'den fazla veri brokerı var ve bunların hepsiyle uğraşacak zamanım yok
Hindistan'daki bir çağrı merkezini aramam gerekti; kibar kalıp ısrarla diretmek ve onların “hizmetlerini” defalarca dinlemek zorunda kaldım
Sonunda adımı sildiler ama tekrar ortaya çıkabileceğini söylediler
Bu 2018'deydi ve şimdi sitede yapılan aramalarda adım çıkmıyor. Yine de mylife'dan profilimde, ailemde ve komşularımda “değişiklikler” olduğuna dair çöp e-postalar günde birkaç kez geliyor
Böyle işlerde üçüncü taraflardan kaçınıyorum. Krebs'in dediği gibi, bu sadece çöp veri brokerlarıyla bir çeşit şantaj düzeni yaratmakla kalmıyor, bazı şirketler isim silme karşılığında ücretin bir kısmını veri brokerlarına da ödüyor
Bu pisliklerin bu faaliyetlerinden para kazanmasını istemiyorum
Bu arada Mylife.com'un kurucusu ve CEO'su Jeffrey Tinsley ve bu veri brokerlığı işinden epey büyük para kazanmış gibi görünüyor
https://securityplanner.consumerreports.org/
Aklıma ilk gelen şey, “neden tüm bu bilgileri README'ye koyup kolayca kazınabilir bir JSON listesine dönüştürmemişler” oldu
Sonra da “README'yi bir AI arkadaşa taratıp tüm çıkış işlemlerini ona yaptıramaz mıyız” diye düşündüm
Eski Ironport'u hatırlattı
Ironport, kurumsal rackmount spam filtreleme cihazları yapıyordu ve aynı zamanda kurumsal rackmount spam gönderme cihazları da yapıyordu
Bu da itibarını mahvetti
Satın alma öncesinde gerçekten harika cihazlardı
İtibar koruma şirketleri arasında farklı bir strateji kullanan var mı merak ediyorum
Hizmeti talep eden her kullanıcı için, o kişiyle aynı adı taşıyan sahte kimliklerden binlercesini üretip, asıl kullanıcıya çok benzeyen ama tam uymayan özensiz profillerle doldurmak gibi
Biri o kişiyi aradığında sonuçlar çöp bilgilerle taşar
Sızmış bir kimliği silmek çok zorsa, belki de ağacı ormanda saklamak daha iyidir
Bir röportajda hobisinin küçük kırmızı otobüsler çizmek olduğunu söylemişti; gizlemeye çalıştığı skandal ise Brexit kampanyasında kullanılan gerçek kırmızı otobüsteki sahte ve bayağı reklamlardı
Genelde buna dezenformasyon yayma deniyor
Kişisel olarak “internetin zirvesi” türünde en sevdiğim şey, dünyadaki herkese dair “tutuklama kaydı bulundu” olduğunu iddia eden ve bunu göstermek için 49 dolar isteyen siteler
Sizin içinse 99 dolar öderseniz sileceklerini söylüyorlar
Ciddi konuşursak, her iki tarafla da iş yapan ya da koruma parası satan model oldukça kârlı bir iş
Burada anılmaya değer bir YC şirketi var. Çıkış taleplerini onlar gönderiyor ve bana Onerep'ten çok daha az şüpheli görünüyor
https://www.optery.com/
İlgili biri değilim, sadece kullanıcısıyım
Son zamanlarda bunu çok görüyorum. Belki de sadece eskisine göre daha görünür hale gelmiştir
Başka bir örnek olarak, siyasi olarak kutuplaşmış her iki tarafa da politik tişört satan insanlar var. Bazıları saldırgan ya da rahatsız edici bile oluyor
Özellikle de saldırgan ve rahatsız edici olanları
Aşırı tarafsallık iddiası ve duygusal yoğunluk o kadar yüksek ki bunun ne kadar kazandırdığını sık sık merak ediyorum
Yine de tamamen aynı değil. Burada mesele, insanları ihtiyaç duymadıkları bir hizmeti satın almaya kasıtlı olarak kandırmak ve bu fiilen bir şantaj işine oldukça yakın
Arama motorları benim hakkımda 0 sonuç döndürüyorsa bu iyi bir durumdur
Kişisel bilgilerinizi rastgele herkese açık yerlere koymamalısınız. Buna LinkedIn profili de dahil
Bir işletme sahibiyseniz çözümü bilmiyorum ama o durumda bile görünürlüğü mümkün olduğunca azaltmak daha iyi