2 Punkte von GN⁺ 2024-03-15 | 1 Kommentare | Auf WhatsApp teilen
  • Es wurden Hinweise bekannt, dass Dimitri Shelest, Gründer von Onerep.com, das die Löschung personenbezogener Daten verkauft, mit mehreren Personensuchdiensten verbunden ist. Dadurch wachsen Zweifel an der Vertrauenswürdigkeit des Dienstes und mögliche Interessenkonflikte
  • Onerep wirbt damit, personenbezogene Daten von fast 200 Personensuchseiten zu entfernen. Die Preise beginnen bei 8,33 $ pro Monat für Einzelpersonen und 15 $ pro Monat für Familien; außerdem zielt das Unternehmen auf Kunden aus Unternehmen und öffentlichem Sektor ab
  • In Aufzeichnungen von DomainTools und Constella Intelligence tauchen Shelests E-Mail-Adressen, eine belarussische Telefonnummer sowie Onerep, Nuwber und länderspezifische Personensuch-Domains wiederholt gemeinsam auf
  • In einem Update vom 21. März räumte Shelest ein, Anteile an Nuwber zu halten, erklärte jedoch, es gebe keinen Informationsaustausch oder gemeinsamen Betrieb mit OneRep, und andere ältere Domains würden nicht mehr von ihm betrieben
  • Mozilla beschreibt den automatischen Datenlöschdienst von Mozilla Monitor als Partnerschaft mit OneRep und erklärte, man habe die Bestätigung erhalten, dass frühere Beziehungen beendet seien, werde die Angelegenheit aber weiter prüfen

Onereps Service und Zielkunden

  • Onerep.com stellt sich als Dienst mit Sitz in Virginia vor und wirbt damit, personenbezogene Daten von fast 200 Personensuch-Websites zu entfernen
  • Der Dienst „Protect“ beginnt bei 8,33 $ pro Monat für Einzelpersonen und 15 $ pro Monat für Familien
  • Unternehmenskunden verkauft Onerep einen Service, der dafür sorgen soll, dass Mitarbeiterdaten fortlaufend von Personensuchseiten entfernt werden
  • In den Kundenbeispielen von Onerep.com wird ein Vertrag für Mitarbeiter von Permanente Medicine vorgestellt
    • Permanente Medicine vertritt Ärztinnen und Ärzte innerhalb von Kaiser Permanente
  • Onerep gibt an, auch bei US-Polizeibehörden erste Erfolge erzielt zu haben

Verbindungen durch Domain- und E-Mail-Aufzeichnungen

  • Onerep.com nennt als Gründer und CEO Dimitri Shelest aus Minsk, Belarus; Shelests LinkedIn-Profil enthält dieselben Angaben
  • Historische Registrierungsdaten von DomainTools.com zeigen Shelest als Registranten von onerep.com unter der Adresse dmitrcox2@gmail.com
  • Suchergebnisse von Constella Intelligence verknüpfen den Namen Dimitri Shelest mit folgenden Informationen
    • dimitri.shelest@onerep.com

    • d.sh@nuwber.com

      • Belarussische Telefonnummer +375-292-702786
      • Nuwber.com ist ein Personensuchdienst und eine der mehreren Seiten, die Onerep als Ziel für Datenlöschungen nennt
      • Die Onerep-Website stellt ausdrücklich fest: „OneRep ist nicht mit Nuwber.com verbunden“
      • Constella fand jedoch heraus, dass die mit Nuwber verknüpfte belarussische Telefonnummer 375-292-702786 mehrfach zusammen mit der Adresse dmitrcox@gmail.com verwendet wurde
      • DomainTools zeigt, dass comversus.com sowohl mit dmitrcox@gmail.com als auch mit dmitrcox2@gmail.com verbunden war
      • Zu den Domains, bei denen dieselben beiden E-Mail-Adressen gemeinsam in WHOIS-Einträgen auftauchten, gehören careon.me, docvsdoc.com, dotcomsvdot.com, namevname.com, okanyway.com und tapanyapp.com

Dutzende Personensuch-Domains und frühe Hinweise zu Onerep

  • Eine Suche nach dmitrcox@gmail.com bei DomainTools ergibt Verbindungen zu mindestens 179 Domain-Registrierungen, von denen viele heute nicht mehr aktive Personensuchunternehmen waren
  • Diese Domains richteten sich an Bürgerinnen und Bürger in zahlreichen Ländern, darunter Argentinien, Brasilien, Kanada, Dänemark, Frankreich, Deutschland, Hongkong, Israel, Italien, Japan, Lettland und Mexiko
  • Die 2016 registrierte Domain nuwber.fr war damals identisch mit der Nuwber.com-Homepage
  • Dieselbe E-Mail-Adresse und belarussische Telefonnummer tauchten auch in historischen Registrierungsdaten von nuwber.at, nuwber.ch und nuwber.dk auf
  • Frühere WHOIS-Einträge von onerep.com zeigen, dass die Domain ursprünglich auf eine Person in Sioux Falls, South Dakota, registriert war, um September 2015 herum jedoch von GoDaddy.com zu eNom übertragen wurde und die Registrierungsdaten hinter einem Privacy-Schutz verborgen wurden
  • Um diese Zeit begann onerep.com laut DomainTools, Nameserver des DNS-Anbieters constellix.com zu verwenden
  • Auch Nuwber.com tauchte Ende 2015 erstmals auf, wurde über eNom registriert und begann nahezu zeitgleich, DNS von constellix.com zu nutzen
  • Auf LinkedIn gibt Dimitri Bukuyazau an, von 2015 bis 2018 Produktmanager bei OneRep.com gewesen zu sein
    • In diesem Profil gibt es keinen Eintrag zu Nuwber
    • Constella Intelligence fand als Mitarbeiter-E-Mail-Adressen von nuwber.com d.bu@nuwber.com und d.bu+figure-eight.com@nuwber.com; letztere war auf den Namen „Dzmitry“ registriert
  • PrivacyDuck nannte 2017 Gründe dafür, OneRep und Nuwber als dasselbe Unternehmen zu betrachten, doch onerep.com ist vollständig aus der Wayback Machine ausgeschlossen, weshalb sich das frühe Verhalten nur schwer überprüfen lässt
    • Die Wayback Machine akzeptiert solche Ausschlussanfragen, wenn Domaininhaber sie direkt stellen

Umfangreichere Domain-Historie und Streit um Interessenkonflikte

  • Shelests Name, Telefonnummer und E-Mail-Adresse tauchen auch in Registrierungsdaten zahlreicher länderspezifischer Personensuchdienste auf
  • dmitrcox@gmail.com wurde auch mit einer der Partner-E-Mail-Adressen des 2010 geleakten russischsprachigen Apotheken-Spam-Affiliate-Programms Spamit in Verbindung gebracht
    • Spamit zahlte Spammern Provisionen, wenn über Spam-Werbeseiten Mittel zur Steigerung der männlichen Leistungsfähigkeit verkauft wurden
    • Die betreffende E-Mail-Adresse gehörte nicht zu den ertragreichen Affiliates
  • Shelests Facebook-Profil zeigte seinen Wohnort Minsk und seinen Ehestatus; laut Update vom 16. März 2024 ist das Konto nicht mehr aktiv
  • Facebook-Aktivitäten, die mehr als zehn Jahre zurückliegen, enthielten zahlreiche Likes für Profilseiten von Personensuch-Websites
  • Max Anderson, Chief Growth Officer von 360 Privacy, sagte, eine direkte Verbindung zwischen einem Datenlöschdienst und Data-Broker-Websites sei besorgniserregend
  • Anderson hält es für unethisch, ein Unternehmen zu betreiben, das Informationen von Menschen verkauft, und denselben Menschen Gebühren für deren Löschung zu berechnen

Shelests Antwort und Partnerschaft mit Mozilla Monitor

  • Im Update vom 21. März 2024 gab Shelest eine ausführliche Antwort
    • Er räumte ein, weiterhin Eigentumsanteile an Nuwber zu halten
    • Er erklärte, es gebe „keinerlei gemeinsamen Betrieb oder Informationsaustausch“ mit OneRep
    • Andere ältere Domains, die mit seinem Namen in Verbindung gebracht werden könnten, würden nicht mehr von ihm betrieben
  • Shelest räumte ein, dass seine Beziehung zum Personensuchgeschäft von außen merkwürdig wirken könne, sagte aber, ohne seinen frühen Weg tief in die Funktionsweise von Personensuchseiten hinein hätte Onerep nicht die Technologie und das Team in diesem Bereich aufbauen können
  • Er räumte ein, diese Beziehung in der Vergangenheit nicht klarer gemacht zu haben, und erklärte, dies künftig besser zu tun
  • Die vollständige Antwort ist als PDF verfügbar
  • Im Update vom 15. März 2024 wurde ergänzt, dass Mozilla Monitor der Mozilla Foundation OneRep bündelt
    • Mozilla Monitor wird als kostenloser oder kostenpflichtiger Abo-Dienst angeboten
    • Der kostenlose Dienst für Benachrichtigungen über Datenlecks ist eine Partnerschaft mit Have I Been Pwned
    • Der automatische Datenlöschdienst ist eine Partnerschaft mit OneRep, um personenbezogene Daten aus öffentlichen Online-Verzeichnissen und Informationsaggregatoren zu entfernen
  • Mozilla erklärte, man habe geprüft, ob OneReps Datenlöschdienst gemäß Mozillas Datenschutzgrundsätzen arbeitet
  • Mozilla sagte, man habe von den in dem Beitrag beschriebenen früheren Beziehungen gewusst und vor der Zusammenarbeit die Bestätigung erhalten, dass sie beendet worden seien
  • Mozilla erklärte, man prüfe die Angelegenheit weiter und werde Datenschutz und Sicherheit der Kunden priorisieren

1 Kommentare

 
GN⁺ 2024-03-15
Hacker-News-Kommentare
  • Es ist eigentlich kein großes Geheimnis, dass etliche Reputationsmanagement-Firmen zugleich Public-Records-Websites besitzen, die Mugshots, Gerichtsakten usw. veröffentlichen.
    Wenn man sie beauftragt, Informationen aus dem Internet entfernen zu lassen, löschen sie sie auf ein oder zwei von ihnen betriebenen Websites und stellen sie anderswo wieder ein – ein Kreislauf.
    Am Ende wird daraus ein endloses Whac-a-Mole-Spiel, sogar noch mit monatlichem Abo.

    • In diesem Zusammenhang ist auch Proofpoint berüchtigt.
      Sie blockieren Mailserver ohne ersichtlichen Grund und zwingen einen dann, ein Verfahren zur Entsperrung zu durchlaufen.
      Sobald man bezahlt, verschwindet das Problem wie von Zauberhand, und die Blocklist, auf der man immer landete, war ausschließlich Proofpoint.
    • Das ist ein Erpressungsgeschäft.
    • Auskunfteien fühlen sich genau so an.
      Sie saugen wahllos personenbezogene Daten auf, ohne dass man sich abmelden kann, speichern sie, ob korrekt oder nicht, und weigern sich selbst bei offensichtlich falschen Daten, sie zu löschen.
      Dann verwalten sie die Daten schlampig, sodass alles in die Welt hinausleakt, und sagen einem anschließend, man solle lebenslang für Kreditüberwachung bezahlen, weil unveränderliche Informationen nun bei bösen Leuten gelandet sind.
      Und wem gehören wohl die meisten dieser Kreditüberwachungsfirmen?
    • Das ist dem Fensterreparateur, der Fenster einschlägt, oder dem Reifenhändler, der eine Kiste Nägel auf die Straße kippt, viel zu ähnlich.
      Der Unterschied ist nur, dass solche Handlungen illegal sind.
      Man könnte das wohl die Datenprivatsphäre-Mafia nennen.
    • Die moderne Lektion ist klar: Wer Privatsphäre will, darf keine digitalen Spuren hinterlassen.
      Manche Orte verbieten die Smartphone-Nutzung und lassen einen das Telefon am Eingang abgeben wie einen Mantel an der Garderobe.
      Ein befreundeter Journalist lässt sein Smartphone häufig zu Hause.
  • Ich kann nicht konkret werden, aber ich kenne jemanden, der solche Löschanfragen dieser „Privacy“-Firmen bearbeiten musste.
    Diese Privacy-Firma nahm personenbezogene Daten wie Namen und E-Mail-Adressen der Nutzer und schickte sie per E-Mail an jede Firma, die ihr einfiel – egal ob dort ein Konto existierte oder nicht – mit der Bitte, das Konto zu löschen.

    • Ich hatte den Verdacht, dass solche Dienste, selbst wenn sie in guter Absicht betrieben werden und kein aktiver Datensammel-Betrug sind, in der Praxis mehr schaden als nutzen können.
      Aber das ist auch ein Henne-Ei-Problem: Um darum zu bitten, meine Daten zu löschen, muss ich mitteilen, welche Informationen mich identifizieren.
      Unternehmen haben einen Anreiz, diesen Prozess so schwierig wie möglich zu machen; deshalb ist es unwahrscheinlich, dass freiwillig eine Lösung auf Basis von Daten-Hashes entsteht. Nötig sind strenge Regulierung und hohe Bußgelder.
      Außerdem gibt es das Problem, den Besitz der Daten nachzuweisen, deren Löschung verlangt wird. Selbst unter der DSGVO der EU, wohl der fortschrittlichsten Datenschutzregulierung, verstoßen Unternehmen routinemäßig dagegen, indem sie von Antragstellern noch mehr personenbezogene Daten verlangen.
    • Wenn man solche „delete me“-Dienste nutzt, um Informationen von Plattformen wie Dropbox löschen zu lassen, gibt es eine versteckte Falle.
      Solche Dienste sind häufig mit Firmen verbunden, die mit E-Mail-Adressen handeln; wenn man seine E-Mail zur Löschung einreicht, kann sie an Marketer oder Datenbroker verkauft werden.
      Am Ende bekommt man mehr Spam und unerwünschte Kontakte, oder – je nachdem, wer die E-Mail gekauft hat – personalisierte Werbung.
    • Als Advocatus Diaboli: Eine Stichprobe von 1 ist oft nur ein Datenpunkt und nicht die ganze Geschichte.
      Bei einem legitimen Anbieter könnte man annehmen, dass er vor dem Versenden einer Löschanfrage prüft, ob die jeweilige Firma die Informationen überhaupt hat.
      Natürlich kann ich falschliegen und habe keine Belege, aber bei einer Stichprobe von 1 ist das eine plausible Annahme.
  • Den Nutzungsbedingungen zufolge scheint auch Mozilla Monitor denselben Dienst zu verwenden. Das ist ziemlich gravierend.
    https://www.mozilla.org/en-US/about/legal/terms/subscription...

    • Ich sehe das als Versagen der Due Diligence der Mozilla Corporation.
      Inzwischen dürfte die Rechtsabteilung im Incident-Response-Modus sein.
      Das ist eines der Probleme, die entstehen, wenn eine Organisation selbst nichts direkt macht und Verantwortung sowie rechtliche Last auf externe Partner abwälzt.
      Falls man Mozilla Monitor personenbezogene Daten anvertraut hat: Der Rechtskontakt steht auf der Seite mit den Nutzungsbedingungen: https://www.mozilla.org/en-US/about/legal/terms/subscription...
      Diese Bedingungen begrenzen die Haftung auf 500 US-Dollar und stellen Mozilla zudem frei.
    • Die größere Geschichte hier ist vermutlich dieser Punkt:
      Einem dubiosen Anbieter nicht zu vertrauen, ist leicht; auf einen großen Namen wie Mozilla hereinzufallen, ist eine ganz andere Sache.
  • Solche Dinge sollte man offenbar besser von einer vertrauenswürdigen Erstpartei erledigen lassen, also von einem selbst.
    Liste mit Anleitungen zum Opt-out bei Datenbrokern: https://github.com/yaelwrites/Big-Ass-Data-Broker-Opt-Out-Li...

    • Ich habe Onerep genutzt, dann gehört, dass es verdächtig sei, und es wieder sein lassen.
      Inzwischen nutze ich Optery (https://www.optery.com/), eine YC-Firma; falls es damit Probleme gibt, würde ich sie gern hören.
      Das Problem ist, dass es über 200 Datenbroker gibt und man keine Zeit hat, sich mit allen auseinanderzusetzen.
    • Ich habe diese Methode anhand eines Guides selbst ausprobiert, und bei mylife.com, einem der schlimmsten Bodensatz-Anbieter, hat sie definitiv funktioniert.
      Ich musste ein indisches Callcenter anrufen, höflich bleiben und hartnäckig dranbleiben, während ich mir mehrmals Werbung für ihren „Service“ anhören musste.
      Am Ende haben sie meinen Namen gelöscht, sagten aber, er „könnte“ wieder auftauchen.
      Das war 2018, und heute erscheint mein Name nicht in der Suche der Website. Allerdings bekomme ich von mylife täglich mehrere Müll-E-Mails darüber, dass es „Änderungen“ an meinem Profil, meiner Familie oder meinen Nachbarn gebe.
      Bei solchen Dingen vermeide ich Dritte. Wie Krebs sagte, können sie nicht nur ein Erpressungskonstrukt mit den Müll-Datenbrokern schaffen, sondern manche Anbieter zahlen auch einen Teil der Gebühr an die Datenbroker, damit der Name gelöscht wird.
      Ich will nicht, dass solche Typen mit dieser Tätigkeit Geld verdienen.
      Nebenbei: Gründer und CEO von Mylife.com ist Jeffrey Tinsley, und er scheint mit diesem Datenbroker-Geschäft ziemlich viel Geld verdient zu haben.
    • Ich frage mich, ob jemand den Dienst ausprobiert hat, den der Autor dieser Liste bewirbt. Sieht interessant und nützlich aus.
      https://securityplanner.consumerreports.org/
    • Großartige Liste.
      Mein erster Gedanke war: „Warum stehen all diese Informationen im README, statt als leicht scrapbare JSON-Liste vorzuliegen?“
      Danach dachte ich: „Könnte ich nicht einfach meinen AI-Kumpel das README durchgehen und alle Opt-out-Schritte erledigen lassen?“
  • Erinnert mich an das alte Ironport.
    Ironport baute rackmontierte Spam-Filter-Appliances für Unternehmen und gleichzeitig auch rackmontierte Spam-Versand-Appliances für Unternehmen.
    Das hat ihrem Ruf geschadet.

    • Was Ironports Ruf ruiniert hat, war eher, dass Cisco nach der Übernahme das Produkt vernachlässigte und gleichzeitig die Preise erhöhte.
      Vor der Übernahme war es wirklich hervorragende Hardware.
  • Ich frage mich, ob es Reputationsschutz-Firmen gibt, die eine andere Strategie verfolgen:
    Für jeden Nutzer, der den Service anfragt, erstellen sie Tausende gefälschte Identitäten mit demselben Namen und füllen sie mit schlampigen Profilen, die dem ursprünglichen Nutzer fast ähneln, aber nicht ganz passen.
    Wenn jemand nach dieser Person sucht, werden die Ergebnisse mit Müllinformationen geflutet.
    Wenn es zu schwer ist, geleakte Identitäten zu löschen, ist es vielleicht besser, den Baum im Wald zu verstecken.

    • Ein ehemaliger britischer Premierminister hat einmal auf ähnliche Weise Suchmaschinen-Desinformation gestreut, um einen Skandal zu verbergen.
      In einem Interview sagte er, sein Hobby sei es, kleine rote Busse zu malen; der Skandal, den er verbergen wollte, war eine echte rote Buswerbung mit falscher und schäbiger Botschaft, die in der Brexit-Kampagne verwendet wurde.
    • Reputationsmanagement-Firmen machen das tatsächlich.
      Normalerweise nennt man das Desinformation verbreiten.
  • Mein persönlicher Favorit aus der Kategorie „Gipfel des Internets“ sind Websites, die behaupten, für jeden Menschen auf der Erde gebe es „gefundene Verhaftungsakten“, und die einem diese für 49 Dollar zeigen.
    Wenn man selbst betroffen ist, verlangen sie 99 Dollar für die Löschung.

    • In den USA ist man tatsächlich auf dem Weg dorthin.
      Im Ernst: Das Modell, mit beiden Seiten Geschäfte zu machen oder Schutzgeld zu verkaufen, ist ein ziemlich lukratives Geschäft.
  • Es gibt eine YC-Firma, die hier erwähnenswert ist. Sie reicht Opt-out-Anfragen ein und wirkt auf mich deutlich weniger verdächtig als Onerep.
    https://www.optery.com/
    Ich bin nicht verbunden, nur Nutzer.

  • So etwas sieht man heutzutage häufig. Vielleicht fällt es einem auch nur stärker auf als früher.
    Ein weiteres Beispiel sind Leute, die politischen T-Shirts an beide parteipolitisch gespaltenen Seiten verkaufen. Darunter sind viele aggressive oder geschmacklose.

    • Ich finde das nicht schlimm, solange der Verkäufer nicht behauptet, diese Sache zu vertreten.
    • In den USA fühlt es sich so an, als würde nur eine Seite Merch kaufen.
      Besonders aggressiven und geschmacklosen Merch.
    • Auf Twitter gibt es derzeit wirklich massenhaft solchen Merch-Spam.
      Bei so viel Überparteilichkeit und Emotion frage ich mich oft, wie hoch die Gewinne wohl sind.
    • Elvis’ Manager hat mit „I hate Elvis“-Ansteckern ebenfalls so etwas gemacht.
      Ganz dasselbe ist es aber nicht. Hier wird der Markt absichtlich dazu getäuscht, einen unnötigen Service zu kaufen, und es ist im Grunde eher ein Erpressungsgeschäft.
  • Wenn Suchmaschinen zu mir 0 Treffer zurückgeben, ist das ein guter Zustand.
    Man sollte private Informationen nicht leichtfertig öffentlich ins Netz stellen. Dazu gehört auch ein LinkedIn-Profil.
    Für Geschäftsinhaber habe ich keine Lösung gefunden, aber auch in diesem Fall sollte man die Sichtbarkeit so weit wie möglich reduzieren.