2 puan yazan GN⁺ 2024-03-15 | 1 yorum | WhatsApp'ta paylaş
  • Kişisel verilerin silinmesini satan Onerep.com’un kurucusu Dimitri Shelest’in birden fazla kişi arama hizmetiyle bağlantılı olduğuna dair bulgular ortaya çıktı; bu da hizmetin güvenilirliği ve çıkar çatışmasıyla ilgili soru işaretlerini büyüttü
  • Onerep, neredeyse 200 kişi arama sitesinden kişisel bilgileri kaldırdığını söyleyerek tanıtım yapıyor; fiyatlar bireyler için aylık $8.33, aileler için aylık $15’dan başlıyor ve şirket ile kamu sektörü müşterilerini de hedefliyor
  • DomainTools ve Constella Intelligence kayıtlarında Shelest’in e-postası, Belarus telefon numarası, Onerep·Nuwber·ülke bazlı kişi arama alan adları tekrar tekrar birlikte görünüyor
  • Shelest, 21 Mart güncellemesinde Nuwber’da hisse sahibi olduğunu kabul etti; ancak OneRep ile bilgi paylaşımı veya çapraz operasyon olmadığını ve eski diğer alan adlarını artık işletmediğini söyledi
  • Mozilla, Mozilla Monitor’un otomatik veri silme hizmetini OneRep ortaklığı olarak tanımlıyor; geçmişteki ilişkinin sona erdiğine dair teyit aldığını, ancak konuyu ayrıca inceleyeceğini belirtti

Onerep’in hizmeti ve hedef müşterileri

  • Onerep.com, kendisini Virginia merkezli bir hizmet olarak tanıtıyor ve neredeyse 200 kişi arama web sitesinden kişisel bilgileri kaldırdığını öne çıkarıyor
  • “Protect” hizmeti bireyler için aylık $8.33, aileler için aylık $15’dan başlıyor
  • Kurumsal müşterilere, çalışan verilerinin kişi arama sitelerinden sürekli olarak kaldırılmasını sağlayan bir hizmet satıyor
  • Onerep.com’un müşteri örneklerinde Permanente Medicine çalışanlarına yönelik bir sözleşme yer alıyor
    • Permanente Medicine, Kaiser Permanente içindeki doktorları temsil ediyor
  • Onerep, ABD polis departmanlarında da ilerleme kaydettiğini söylüyor

Alan adı ve e-posta kayıtlarının kurduğu bağlantılar

  • Onerep.com, kurucusu ve CEO’su olarak Belarus’un Minsk kentinden Dimitri Shelest’i tanıtıyor; Shelest’in LinkedIn profili de aynı bilgiyi içeriyor
  • DomainTools.com geçmiş kayıtlarında Shelest, dmitrcox2@gmail.com adresini kullanan onerep.com kayıt sahibi olarak görünüyor
  • Constella Intelligence arama sonuçları Dimitri Shelest adını şu bilgilerle ilişkilendiriyor
    • dimitri.shelest@onerep.com

    • d.sh@nuwber.com

      • Belarus telefon numarası +375-292-702786
      • Nuwber.com bir kişi arama hizmeti ve Onerep’in veri kaldırma hedefi olarak gösterdiği birçok siteden biri
      • Onerep web sitesi “OneRep’in Nuwber.com ile bağlantısı yoktur” diye belirtiyor
      • Ancak Constella, Nuwber ile bağlantılı Belarus telefon numarası 375-292-702786’nın dmitrcox@gmail.com adresiyle birçok kez birlikte kullanıldığını buldu
      • DomainTools, comversus.com’un hem dmitrcox@gmail.com hem de dmitrcox2@gmail.com ile bağlantılı olduğunu gösteriyor
      • Aynı iki e-postanın WHOIS kayıtlarında birlikte göründüğü alan adları arasında careon.me, docvsdoc.com, dotcomsvdot.com, namevname.com, okanyway.com, tapanyapp.com yer alıyor

Onlarca kişi arama alan adı ve erken dönem Onerep bulguları

  • DomainTools’ta dmitrcox@gmail.com arandığında en az 179 alan adı kaydı ile bağlantı çıkıyor; bunların çoğu artık faal olmayan kişi arama şirketleriydi
  • Bu alan adları Arjantin, Brezilya, Kanada, Danimarka, Fransa, Almanya, Hong Kong, İsrail, İtalya, Japonya, Letonya, Meksika gibi birçok ülkedeki vatandaşları hedefliyordu
  • 2016’da kaydedilen nuwber.fr o dönemdeki Nuwber.com ana sayfası ile aynıydı
  • Aynı e-posta ve Belarus telefon numarası nuwber.at, nuwber.ch, nuwber.dk geçmiş kayıtlarında da görünüyor
  • onerep.com’un geçmiş WHOIS kayıtları, alan adının başlangıçta Güney Dakota, Sioux Falls’ta yaşayan bir kişiye kayıtlı olduğunu; ancak Eylül 2015 civarında GoDaddy.com’dan eNom’a taşındığını ve kayıt bilgilerinin gizlilik koruması arkasına alındığını gösteriyor
  • DomainTools’a göre bu dönemde onerep.com, DNS sağlayıcısı constellix.com’un ad sunucularını kullanmaya başladı
  • Nuwber.com da ilk olarak 2015 sonunda ortaya çıktı, eNom üzerinden kaydedildi ve neredeyse aynı zamanlarda constellix.com DNS kullanmaya başladı
  • LinkedIn’de Dimitri Bukuyazau’nun 2015-2018 arasında OneRep.com’da ürün yöneticisi olduğu görünüyor
    • Bu profilde Nuwber maddesi yok
    • Constella Intelligence, nuwber.com çalışan e-postası olarak d.bu@nuwber.com ve d.bu+figure-eight.com@nuwber.com adreslerini buldu; ikincisi “Dzmitry” adıyla kayıtlıydı
  • PrivacyDuck, 2017’de OneRep ile Nuwber’ın aynı şirket olduğuna işaret eden gerekçeler ortaya koymuştu; ancak onerep.com Wayback Machine’den tamamen hariç tutulduğu için erken dönem işleyişini kolayca doğrulamak zor
    • Wayback Machine, alan adı sahibinin doğrudan talebi olduğunda bu tür hariç tutma isteklerini kabul ediyor

Daha geniş alan adı geçmişi ve çıkar çatışması tartışması

  • Shelest’in adı, telefon numarası ve e-postası çok sayıda ülke bazlı kişi arama hizmetinin kayıtlarında da görünüyor
  • dmitrcox@gmail.com, 2010’da sızdırılan Rusça konuşulan çevrelerdeki eczane spam ortaklık programı Spamit’in ortaklık e-postalarından biriyle de bağlantılıydı
    • Spamit, spam reklam sitelerinde erkek performans ilaçları satıldığında spam gönderenlere komisyon ödüyordu
    • Söz konusu e-posta yüksek gelir getiren bir ortak değildi
  • Shelest’in Facebook profili Minsk’te yaşadığını ve evli olduğunu gösteriyordu; 16 Mart 2024 güncellemesine göre bu hesap artık aktif değil
  • 10 yıldan eski Facebook etkinliklerinde çok sayıda kişi arama sitesinin profil sayfasına beğeni vardı
  • 360 Privacy’nin büyümeden sorumlu yöneticisi Max Anderson, veri kaldırma hizmeti ile veri broker’ı web siteleri arasında doğrudan bağlantı olmasının kaygı verici olduğunu söyledi
  • Anderson, insanların bilgilerini satan bir şirketi işletirken aynı kişilerden bilgilerini silmek için ücret almanın etik olmadığını düşünüyor

Shelest’in yanıtı ve Mozilla Monitor ortaklığı

  • 21 Mart 2024 güncellemesinde Shelest uzun bir yanıt verdi
    • Nuwber’da sahiplik payını koruduğunu kabul etti
    • OneRep ile “hiçbir çapraz operasyon veya bilgi paylaşımı olmadığını” belirtti
    • Kendi adıyla ilişkilendirilebilecek eski diğer alan adlarını artık kendisinin işletmediğini söyledi
  • Shelest, kişi arama işiyle ilişkisinin dışarıdan tuhaf görünebileceğini kabul etmekle birlikte, kişi arama sitelerinin nasıl çalıştığının derinine indiği erken dönem yolu olmasaydı Onerep’in bu alandaki teknolojiye ve ekibe sahip olamayacağını söyledi
  • Geçmişte bu ilişkiyi daha açık biçimde ortaya koyamadığını kabul etti ve bundan sonra daha iyi davranacağını belirtti
  • Yanıtın tamamı PDF olarak sunuluyor
  • 15 Mart 2024 güncellemesine Mozilla Foundation’ın Mozilla Monitor’u OneRep ile birlikte sunduğu bilgisi eklendi
    • Mozilla Monitor ücretsiz veya ücretli abonelik hizmeti olarak sunuluyor
    • Ücretsiz ihlal uyarı hizmeti Have I Been Pwned ile ortaklık kapsamında
    • Otomatik veri silme hizmeti, kişisel bilgileri herkese açık çevrimiçi dizinlerden ve bilgi toplama sitelerinden kaldırmak için yapılan OneRep ortaklığı
  • Mozilla, OneRep’in veri kaldırma hizmetinin Mozilla’nın gizlilik ilkelerine uygun çalışıp çalışmadığını değerlendirdiğini söyledi
  • Mozilla, yazıda geçen geçmiş ilişkiyi bildiğini ve birlikte çalışmadan önce bunun sona erdiğine dair teyit aldığını söyledi
  • Mozilla, konuyu ayrıca incelediğini ve müşterilerin gizliliği ile güvenliğine öncelik vereceğini belirtti

1 yorum

 
GN⁺ 2024-03-15
Hacker News görüşleri
  • İtibar yönetimi şirketlerinin önemli bir kısmının mugshot’lar, mahkeme kayıtları vb. yayımlayan kamu kayıt sitesi türü sitelere de sahip olması pek gizli bir şey değil
    İnternetten bilgilerinizi sildirmeleri için ödeme yaptığınızda, kendi işlettikleri bir iki siteden siliyorlar, sonra başka yerlerde yeniden ortaya çıkıyor ve bir döngüye giriliyor
    Sonuçta aylık abonelik ücreti de eklenmiş, sonu gelmeyen bir köstebek vurma oyununa dönüşüyor

    • Bununla bağlantılı olarak Proofpoint de kötü bir üne sahip
      Hiçbir açık neden olmadan mail sunucularını engelleyip sonra engeli kaldırmak için bir süreçten geçmenizi sağlıyorlar
      Para ödeyince sorun sihirli şekilde ortadan kalkıyor ve sürekli takıldığımız tek engelleme listesi hep Proofpoint oluyordu
    • Bu bir şantaj işi
    • Kredi derecelendirme kuruluşları da tam olarak buna benziyor
      Vazgeçme seçeneğiniz bile yokken kişisel verileri önüne gelen her yerden topluyorlar, doğru olsun olmasın saklıyorlar ve bariz yanlış verileri bile silmeyi reddediyorlar
      Sonra bu verileri özensizce yönetip hepsini dünyaya sızdırıyorlar; artık değiştirilemeyen bilgiler kötü insanların eline geçti diye ömür boyu kredi izleme ücreti ödemenizi söylüyorlar
      Acaba bu kredi izleme şirketlerinin çoğuna kim sahip
    • Camcıların cam kırması ya da lastik satıcılarının yola kutu kutu çivi saçmasıyla fazlasıyla benziyor
      Tek fark, o eylemlerin yasa dışı olması
      Buna veri gizliliği mafyası demek yanlış olmaz gibi
    • Modern çağın dersi net: gizlilik istiyorsanız dijital iz bırakmamalısınız
      Bazı yerler akıllı telefon kullanımını yasaklıyor ve girişte mont teslim eder gibi telefonunuzu bırakmanızı istiyor
      Gazeteci bir arkadaşım da akıllı telefonunu sık sık evde bırakıyor
  • Ayrıntı veremem ama bu tür “gizlilik” şirketlerinin silme taleplerini işlemek zorunda kalmış birini tanıyorum
    O gizlilik şirketi, kullanıcının adı ve e-postası gibi kişisel bilgilerini alıp, hesabı olsun olmasın aklına gelen her şirkete e-posta göndererek hesabın silinmesini talep ediyordu

    • Bu hizmetler iyi niyetle işletiliyor ve agresif veri toplama dolandırıcılığı değilse bile, pratikte faydadan çok zarar getirebileceğinden şüpheleniyordum
      Ama bu aynı zamanda tavuk-yumurta problemi. Bilgilerimi sildirmeni istiyorsam, önce hangi bilgilerin beni tanımladığını söylemem gerekiyor
      Şirketlerin bu süreci olabildiğince zorlaştırmak için teşviki var; bu yüzden veri hash’i tabanlı bir çözümün kendiliğinden ortaya çıkması pek olası değil, güçlü düzenleme ve yüksek para cezaları gerekiyor
      Bir de silme talebine konu verinin sahipliğini kanıtlama sorunu var. En gelişmiş gizlilik düzenlemelerinden sayılan AB’nin GDPR’ında bile şirketler, talep sahibinden daha fazla kişisel veri isteyerek bunu rutin olarak ihlal ediyor
    • Dropbox gibi platformlarda bilgilerinizi silmek için böyle “delete me” hizmetlerini kullanırsanız gizli bir tuzak var
      Bu hizmetler çoğu zaman e-posta adresi ticareti yapan şirketlerle bağlantılı oluyor; dolayısıyla silme için e-postanızı verdiğinizde bu adres pazarlamacılara ya da veri broker’larına satılabiliyor
      Sonuçta daha fazla spam ve istenmeyen ileti alabilir, hatta e-postayı satın alan tarafa bağlı olarak peşinize hedefli reklamlar takılabilir
    • Şeytanın avukatlığını yapmak gerekirse, örneklem boyutu 1 olan bir olay çoğu zaman bütün hikâye değil, yalnızca bir veri noktasıdır
      Meşru bir şirketin silme talebi göndermeden önce ilgili şirkette sizin bilginiz olup olmadığını kontrol edebildiğini varsayabilirsiniz
      Elbette yanlış da olabilir ve elimde kanıt yok ama tek bir örnekten çıkabilecek makul bir varsayım bu
  • Koşullara bakılırsa Mozilla Monitor da aynı hizmeti kullanıyor gibi görünüyor. Oldukça ciddi
    https://www.mozilla.org/en-US/about/legal/terms/subscription...

    • Bence bu, Mozilla Corporation’ın durum tespiti başarısızlığı
      Hukuk ekibi şu anda çoktan kriz müdahale moduna geçmiş olmalı
      Kurumun kendisi hiçbir şey yapmayıp sorumluluğu ve hukuki yükü dış ortaklara devrettiğinde ortaya çıkan sorunlardan biri de bu
      Mozilla Monitor’e kişisel verilerinizi emanet ettiyseniz, hukuki iletişim bilgileri koşullar sayfasında: https://www.mozilla.org/en-US/about/legal/terms/subscription...
      O koşullar sorumluluk sınırını 500 dolarla kısıtlıyor ve Mozilla’ya ayrıca tazminat muafiyeti sağlıyor
    • Buradaki daha büyük hikâye muhtemelen şu
      Şüpheli şirketlere güvenmemek kolay ama Mozilla gibi büyük bir isme kanmak bambaşka bir mesele
  • Bunun güvenilir bir birinci taraf, yani kişinin kendisi tarafından doğrudan yapılması daha iyi görünüyor
    Veri brokerlarından çıkış yöntemleri listesi: https://github.com/yaelwrites/Big-Ass-Data-Broker-Opt-Out-Li...

    • Onerep kullanıyordum ama şüpheli olduğuna dair şeyler duyunca bıraktım
      Şimdi YC şirketi Optery'yi (https://www.optery.com/) kullanıyorum; bir sorunu varsa duymak isterim
      Sorun şu ki 200'den fazla veri brokerı var ve bunların hepsiyle uğraşacak zamanım yok
    • Bu yöntemi bir rehberi izleyerek bizzat denedim ve en berbat dip seviye şirketlerden biri olan mylife.com için kesinlikle işe yaradı
      Hindistan'daki bir çağrı merkezini aramam gerekti; kibar kalıp ısrarla diretmek ve onların “hizmetlerini” defalarca dinlemek zorunda kaldım
      Sonunda adımı sildiler ama tekrar ortaya çıkabileceğini söylediler
      Bu 2018'deydi ve şimdi sitede yapılan aramalarda adım çıkmıyor. Yine de mylife'dan profilimde, ailemde ve komşularımda “değişiklikler” olduğuna dair çöp e-postalar günde birkaç kez geliyor
      Böyle işlerde üçüncü taraflardan kaçınıyorum. Krebs'in dediği gibi, bu sadece çöp veri brokerlarıyla bir çeşit şantaj düzeni yaratmakla kalmıyor, bazı şirketler isim silme karşılığında ücretin bir kısmını veri brokerlarına da ödüyor
      Bu pisliklerin bu faaliyetlerinden para kazanmasını istemiyorum
      Bu arada Mylife.com'un kurucusu ve CEO'su Jeffrey Tinsley ve bu veri brokerlığı işinden epey büyük para kazanmış gibi görünüyor
    • Bu listenin yazarının reklamını yaptığı hizmeti kullanan biri var mı merak ediyorum. İlginç ve faydalı görünüyor
      https://securityplanner.consumerreports.org/
    • Harika bir liste
      Aklıma ilk gelen şey, “neden tüm bu bilgileri README'ye koyup kolayca kazınabilir bir JSON listesine dönüştürmemişler” oldu
      Sonra da “README'yi bir AI arkadaşa taratıp tüm çıkış işlemlerini ona yaptıramaz mıyız” diye düşündüm
  • Eski Ironport'u hatırlattı
    Ironport, kurumsal rackmount spam filtreleme cihazları yapıyordu ve aynı zamanda kurumsal rackmount spam gönderme cihazları da yapıyordu
    Bu da itibarını mahvetti

    • Ironport'un itibarını asıl mahveden şey, Cisco'nun satın aldıktan sonra ürünü ihmal ederken aynı anda fiyatları artırmasıydı
      Satın alma öncesinde gerçekten harika cihazlardı
  • İtibar koruma şirketleri arasında farklı bir strateji kullanan var mı merak ediyorum
    Hizmeti talep eden her kullanıcı için, o kişiyle aynı adı taşıyan sahte kimliklerden binlercesini üretip, asıl kullanıcıya çok benzeyen ama tam uymayan özensiz profillerle doldurmak gibi
    Biri o kişiyi aradığında sonuçlar çöp bilgilerle taşar
    Sızmış bir kimliği silmek çok zorsa, belki de ağacı ormanda saklamak daha iyidir

    • Eski bir Birleşik Krallık başbakanı, kendi skandalını gizlemeye çalışırken buna benzer bir arama motoru yanıltma bilgisi yaymıştı
      Bir röportajda hobisinin küçük kırmızı otobüsler çizmek olduğunu söylemişti; gizlemeye çalıştığı skandal ise Brexit kampanyasında kullanılan gerçek kırmızı otobüsteki sahte ve bayağı reklamlardı
    • İtibar yönetimi şirketleri bunu gerçekten yapıyor
      Genelde buna dezenformasyon yayma deniyor
  • Kişisel olarak “internetin zirvesi” türünde en sevdiğim şey, dünyadaki herkese dair “tutuklama kaydı bulundu” olduğunu iddia eden ve bunu göstermek için 49 dolar isteyen siteler
    Sizin içinse 99 dolar öderseniz sileceklerini söylüyorlar

    • ABD'de işler gerçekten o noktaya doğru gidiyor
      Ciddi konuşursak, her iki tarafla da iş yapan ya da koruma parası satan model oldukça kârlı bir iş
  • Burada anılmaya değer bir YC şirketi var. Çıkış taleplerini onlar gönderiyor ve bana Onerep'ten çok daha az şüpheli görünüyor
    https://www.optery.com/
    İlgili biri değilim, sadece kullanıcısıyım

  • Son zamanlarda bunu çok görüyorum. Belki de sadece eskisine göre daha görünür hale gelmiştir
    Başka bir örnek olarak, siyasi olarak kutuplaşmış her iki tarafa da politik tişört satan insanlar var. Bazıları saldırgan ya da rahatsız edici bile oluyor

    • Satıcı kendi adına o davayı temsil ettiğini iddia etmiyorsa bunu kötü görmüyorum
    • ABD'de sanki sadece bir taraf bu tarz ürünler alıyormuş gibi geliyor
      Özellikle de saldırgan ve rahatsız edici olanları
    • Twitter'da böyle ürün spam'i şu anda gerçekten her yere yayılmış durumda
      Aşırı tarafsallık iddiası ve duygusal yoğunluk o kadar yüksek ki bunun ne kadar kazandırdığını sık sık merak ediyorum
    • Elvis'in menajeri de “I hate Elvis” rozetleriyle böyle bir şey yapmıştı
      Yine de tamamen aynı değil. Burada mesele, insanları ihtiyaç duymadıkları bir hizmeti satın almaya kasıtlı olarak kandırmak ve bu fiilen bir şantaj işine oldukça yakın
  • Arama motorları benim hakkımda 0 sonuç döndürüyorsa bu iyi bir durumdur
    Kişisel bilgilerinizi rastgele herkese açık yerlere koymamalısınız. Buna LinkedIn profili de dahil
    Bir işletme sahibiyseniz çözümü bilmiyorum ama o durumda bile görünürlüğü mümkün olduğunca azaltmak daha iyi