Mozilla stellt Onerep ein, nachdem CEO den Betrieb eines Personensuch-Netzwerks eingeräumt hat
(krebsonsecurity.com)- Die kürzlich in Firefox integrierte Onerep-Partnerschaft wird kurz nach der Kontroverse um einen Interessenkonflikt des CEO beendet, was die Vertrauensfrage rund um Mozilla Monitor Plus verschärft
- Onerep war ein kostenpflichtiger Dienst, der Nutzer aus Hunderten von Personensuchseiten löschen sollte, doch Gründer Dimitiri Shelest hielt weiterhin Anteile am Datenbroker Nuwber
- Shelest bestritt einen Informationsaustausch oder einen gemeinsamen Betrieb zwischen Nuwber und Onerep, doch der zentrale Streitpunkt ist, dass er beim Verkauf eines Dienstes zur Entfernung persönlicher Daten gleichzeitig mit dem Personensuchgeschäft verbunden war
- Mozilla erklärte, Kundendaten seien nie gefährdet gewesen, bereitet nun aber einen Übergangsplan vor, da die externen finanziellen Interessen und Aktivitäten des CEO nicht mit den eigenen Werten vereinbar seien
- Der Fall zeigt, wie Datenbroker und die Personensuchbranche durch Ausnahmen für öffentliche und staatliche Register wachsen, und befeuert die Debatte über Verbraucherdatenschutz und Datenschutzregulierung
Onerep aus Mozilla Monitor Plus entfernt
- Mozilla, die gemeinnützige Organisation hinter Firefox, hat damit begonnen, ihre neue Partnerschaft mit dem Identitätsschutzdienst Onerep zurückzufahren und zu beenden
- Onerep wurde erst vor Kurzem zusammen mit Firefox gebündelt und bot einen Dienst an, der Nutzerinformationen von Hunderten von Personensuchseiten entfernen sollte
- Mozilla begann im vergangenen Monat, Onerep als kostenpflichtige Abonnementfunktion von Mozilla Monitor Plus anzubieten
- Mozilla Monitor wurde 2018 unter dem Namen Firefox Monitor eingeführt und prüft Daten aus Have I Been Pwned?, um Nutzer darüber zu informieren, ob ihre E-Mail-Adresse oder ihr Passwort in einem Datenleck enthalten war
Die Vorgeschichte des Onerep-CEO im Personensuchgeschäft
- Eine Untersuchung vom 14. März zeigte, dass der aus Belarus stammende CEO und Gründer von Onerep, Dimitiri Shelest, seit 2010 mehrere Personensuchdienste gestartet hat
- Dazu gehörte auch der aktive Datenbroker Nuwber, der Hintergrundberichte über Personen verkauft
- Onerep und Shelest reagierten am 14. März nicht auf Anfragen um Stellungnahme zu der Untersuchung
- In einer langen Stellungnahme vom 21. März räumte Shelest ein, weiterhin Anteile an dem 2015 gegründeten Verbraucher-Datenbroker Nuwber zu halten
- 2015 ist ungefähr auch der Zeitraum, in dem Onerep startete
- Shelest erklärte, Nuwber habe „keinerlei gemeinsamen Betrieb oder Informationsaustausch“ mit Onerep
- Er behauptete außerdem, dass andere ältere Domains, die mit seinem Namen in Verbindung gebracht werden könnten, nicht mehr von ihm betrieben würden
- Laut Shelest mag die Verbindung zum Personensuchgeschäft von außen seltsam wirken, doch seine frühe, tiefgehende Erfahrung mit der Funktionsweise solcher Seiten habe schließlich zur Technologie und zum Team von Onerep geführt
- Shelests vollständige Stellungnahme wurde als PDF veröffentlicht
Mozillas Entscheidung und der Übergang für Kunden
- Ein Mozilla-Sprecher erklärte, das Unternehmen entferne sich von der Nutzung von Onerep als Dienstleister für das Produkt Monitor Plus
- Mozilla betonte, dass Kundendaten nie gefährdet gewesen seien, kam aber zu dem Schluss, dass die externen finanziellen Interessen und Aktivitäten des Onerep-CEO nicht mit den Werten von Mozilla vereinbar seien
- Derzeit werde ein Übergangsplan konkretisiert, der bestehenden Kunden eine unterbrechungsfreie Erfahrung bieten und ihre Interessen in den Vordergrund stellen solle
Verdachtsmomente rund um Spamit und Werbeschaltung
- Shelests E-Mail-Adresse soll um 2010 von einem Partner von Spamit verwendet worden sein
- Spamit war eine russischsprachige Organisation, die Menschen dafür bezahlte, Websites aggressiv zu bewerben, die Potenzmittel und Generika verkauften
- Diese Verbindung sei laut der Untersuchung vom 14. März durch Forschungsarbeiten mehrerer Doktoranden der George Mason University bestätigt worden
- Shelest bestritt jede Verbindung zu Spamit
- Er erklärte, er habe zwischen 2010 und 2014 Webseiten erstellt, Suchmaschinenoptimierung (SEO) betrieben und anschließend AdSense-Banner eingebunden
- Das dürfte sich auf mehrere Personensuch-Domains beziehen, die KrebsOnSecurity mit seiner E-Mail-Adresse in Verbindung brachte
- Später habe er festgestellt, dass viele Anfragen die Suche nach Personen betrafen
- Shelest räumte ein, dass Onerep unter bestimmten Umständen Werbung auf einigen Datenbroker-Seiten schaltet
- Die Werbung werde angezeigt, nachdem Nutzer selbst ein Opt-out-Formular ausgefüllt hätten
- Laut seiner Erklärung soll dies Nutzer darauf hinweisen, dass sie möglicherweise auch auf anderen Seiten gelistet sind, und ihnen automatisierte Opt-out-Optionen wie Onerep vorstellen
Die Datenbroker-Branche und Regulierungslücken
- Troy Hunt, Gründer von Have I Been Pwned, sagte, er habe gewusst, dass Mozilla seine Partnerschaft mit Onerep überprüfte, aber nichts von den zahlreichen Interessenkonflikten des Onerep-CEO gewusst
- Hunt teilte Mozilla mit, dass die Wirksamkeit der Datenentfernung bei legal betriebenen Diensten begrenzt sei und bei tatsächlich schädlichen, illegalen Diensten gar nicht entfernt werden könne
- Das Modell, ein Problem zu schaffen und zu verbreiten und dann einen Dienst zu dessen Lösung zu verkaufen, mag unethisch sein, ist in den USA aber nicht illegal
- Auch das Sammeln und Verkaufen von Daten über US-Bürger ist in den USA an sich nicht illegal
- Datenschutzexperten führen die Existenz von Datenbrokern, Personensuchdiensten wie Nuwber und Online-Reputationsfirmen wie Onerep darauf zurück, dass die meisten US-Bundesstaaten sogenannte öffentliche Register oder staatliche Register von Verbraucherdatenschutzgesetzen ausnehmen
- Dazu gehören Wählerverzeichnisse, Grundbucheinträge, Heiratsurkunden, Fahrzeugregister, Strafregister, Gerichtsunterlagen, Sterberegister, Berufszulassungen und Insolvenzanträge
- Datenbroker können Verbraucherprofile zudem mit Social-Media-Daten und Informationen über bekannte Kontakte anreichern
- Die drei Untersuchungen im März beleuchten die Datenbroker- und Personensuchbranche und unterstreichen den Bedarf an Aufsicht durch den Kongress oder Regulierung beim Schutz von Verbraucherdaten und der Privatsphäre
- A Close Up Look at the Consumer Data Broker Radaris vom 8. März behandelt, dass die Mitgründer von Radaris mehrere russischsprachige Dating-Dienste und Partnerprogramme betreiben
- Dieselbe Untersuchung beschreibt auch, dass mehrere ihrer Geschäfte offenbar mit einer kalifornischen Marketingfirma verbunden sind, die mit einem russischen staatlichen Medienkonglomerat zusammenarbeitet, gegen das die US-Regierung Sanktionen verhängt hat
- The Not-So-True People-Search Network from China vom 20. März enthüllt, dass ein Netzwerk aus gefälschten Personensuchfirmen und Führungskräften geschaffen wurde, um den Standort eines Personensuch-Partners in China zu verschleiern
1 Kommentare
Hacker-News-Kommentare
Wenn Firma A ein Problem schafft und Firma B daran verdient, dieses Problem zu lösen, dann profitiert Firma B davon, je größer A das Problem macht.
Dadurch haben A und B beide ein Interesse daran, dass das Problem ein Problem bleibt, und werden zu einer symbiotischen Beziehung, in der beide Gewinne abschöpfen, ohne der Gesellschaft einen Nettonutzen zu bringen.
Das ist Rent-Seeking, belastet die Wirtschaft und ist auch ethisch schwer zu rechtfertigen.
Dieses Problem lässt sich nur durch Regulierung lösen.
Sie verkaufen eine hochgradig unsichere OS- und Cloud-Umgebung und verkaufen dann erneut Sicherheitswerkzeuge mit dem Versprechen, die Probleme zu beheben, die sie überhaupt erst selbst geschaffen haben.
Um solche Partnerschaften zu prüfen, braucht man meines Erachtens jemanden mit sehr tiefem Wissen, Prinzipienfestigkeit und Skepsis.
Das ist normalerweise nichts für Leute, die vor allem aus Business-Development- oder Karriereperspektive darauf schauen.
Für die Nachbereitung scheint jetzt eher ein Kämpfer nötig zu sein, der einen Weg findet, diese ganze Organisation legal zu zerschlagen.
Das könnte zwar zur Mission von Mozilla passen, aber noch wichtiger ist, dass nach dieser Sache Mozillas Ruf wiederhergestellt werden muss.
Selbst wenn die Gegenseite gegenüber Verbrauchern irgendwie davongekommen ist, könnte es im Geschäft mit Mozilla neue Ansatzpunkte geben, die eher wie eine andere Art von Betrug aussehen, und Mozilla hat viel mehr Möglichkeiten als die meisten Einzelpersonen, dem nachzugehen.
Wenn es einen legalen Fonds zum Angriff auf Stalker-Firmen gäbe, würde ich sogar Geld dazugeben.
Mozilla sollte bitte einfach Browser bauen.
Das ist ein schlichtes Konzept; man braucht keine Formulierungen, die klingen, als hätte man ChatGPT auf dramatischen Stil gestellt.
a) Es war ein ehrlicher Fehler, und bei Gebrauchtwagen gibt es solche Schwankungen eben; der Markt wird das Problem korrigieren, und man hat weiterhin das Gefühl, bei Bedarf ruhig einen Gebrauchtwagen von Joe kaufen zu können.
b) Joe wusste, dass das Auto mangelhaft war, hielt Al aber für ein leichtes Opfer und hat es verschwiegen; ich kann Autos besser beurteilen oder Menschen besser einschätzen als Al, also muss ich nur vorsichtig sein, wenn ich bei Joe kaufe.
c) Joe verkauft nur Schrottkarren, sein Geschäftsmodell besteht darin, Leute auszunehmen, also gibt es keine Möglichkeit, bei Joe einen guten Deal zu bekommen, und man sollte sich woanders umsehen.
d) Alle Gebrauchtwagenhändler haben dieses Geschäftsmodell, also sollte man keine Gebrauchtwagen bei Gebrauchtwagenhändlern kaufen.
e) Alle Geschäftsmodelle mit Informationsasymmetrie zwischen Käufer und Verkäufer sind so; deshalb sollte man keine Dinge kaufen, bei denen man die Untergrenze des Nutzens nicht kennen kann, und man braucht Mechanismen wie Garantien.
Das ist nur ein Beispiel, das ein Spektrum davon zeigen soll, wie viel Feindseligkeit man unterstellt.
Kürzlich gab es auf HN einen Beitrag darüber, dass Verkäufer selbst noch leichter getäuscht werden; ich denke, das liegt daran, dass Verkäufer bei dieser Frage zu Antwort (b) neigen und in der Praxis nur mit Leuten zu tun haben, die (a), (b) oder (c) denken.
Eigentlich gilt das nicht nur für Verkäufer, sondern erscheint ähnlich auch im MBA-Denken.
Der Kern des MBA-Glaubens ist, regulatorische Strukturen und die Psychologie von Menschen zu umgehen und sie dazu zu bringen, mehr Geld zu zahlen, als die Herstellung einer Sache gekostet hat; letztlich kommt auch das Einkommen von MBAs daher.
Für jemanden, der die obige Frage mit (b) beantwortet, wird diese Denkweise viel natürlicher wirken.
Deshalb scheint es oft so, dass man, sobald man hört, irgendeine Firma habe beschlossen, irgendetwas zu kaufen, besonders eine Dienstleistung, instinktiv annimmt, der Käufer sei ein leichtgläubiger Idiot gewesen und alles würde viel besser laufen, wenn einfach niemand irgendetwas kaufen könnte.
Ich persönlich glaube nicht, dass man zur Lösung dieses Problems wilde Skepsis braucht.
Viel billiger und einfacher wäre ein Verbot nutzloser Einkäufe.
Mozilla muss absolut kein Kunde sein.
Alle bisherigen Tools zum Löschen bei Datenbrokern haben Schwächen, weil sie manuelle Arbeit dafür einsetzen, Nutzer von Websites zu entfernen, und diese Arbeit meist von Arbeitskräften aus der Dritten Welt erledigt wird
Wir entwickeln bei https://redact.dev einen rein softwarebasierten Ansatz, der Opt-outs direkt auf dem Gerät der Nutzer verarbeitet
Bereits jetzt wird Massenlöschung auf mehr als 40 Social-Media- und Utility-Diensten unterstützt
Ich kann mir einen Nischenmarkt vorstellen, der Inhalte fortlaufend löschen will, die älter als ein beliebiger Zeitraum sind, aber die meisten Nutzer brauchen so einen Dienst doch wohl nur gelegentlich
Auch die Preisgestaltung scheint das im Grunde einzuräumen: monatliche Zahlung kostet $35 pro Monat, jährlich gezahlt sind es $8 pro Monat
Ich weiß wirklich nicht, wer ernsthaft erwartet, dass Leute das absichtlich jeden Monat verlängern
Schwer zu bestreiten ist allerdings, dass Leute, die vergessen zu kündigen, die Kosten mittragen, aber als Geschäftsmodell fühlt sich das schäbig an
Ich persönlich finde, dass dieses Verhalten das Web als Wissensbasis ärmer macht
Man hat das Recht, mit eigenen Inhalten so zu verfahren, aber im großen Maßstab wird das Internet zu einem weniger nützlichen Werkzeug, und die Scraper haben die Daten ohnehin wahrscheinlich schon, was es etwas traurig macht
Der eigentliche Mangel ist, dass Unternehmen in diesem Bereich Daten zentralisieren und weiterverkaufen und dem Datensatz dabei eine neue Zeile hinzufügen: „möchte die eigenen Datenspuren löschen“
Es ist definitiv wichtig, nicht noch mehr Menschen Zugriff auf die Daten zu geben
Dank der Automatisierung ist der Preis auch deutlich niedriger als bei den meisten ähnlichen Diensten
Deshalb müssen selbst seriöse Löschdienste teilweise auf manuelle Arbeit zurückgreifen
Eine vollständige Automatisierung wäre schön, aber ich glaube nicht daran, bis ich sie wirklich sehe
Als ich zuletzt nachgesehen habe, entfernte Optery bei mehr als 325 Stellen
Viel Glück, aber der Weg ist noch lang
Bearbeitung: Das scheint ein völlig anderer Dienst zu sein
Alte Beiträge massenhaft zu löschen und personenbezogene Informationen bei Datenbrokern zu entfernen, sind zwei verschiedene Dinge
Bei einem Tool, das an alle Unternehmen, mit denen ich zu tun hatte, Massen-Opt-out-Anfragen schickt, könnte ich nur dann Vertrauen haben, wenn es kostenlos und Open Source wäre
Selbst bei guten Absichten wird Kommerz zu einem weiteren Mittel der Nachverfolgung
Open-Source-Code kann keine eingeschränkte Vollmacht besitzen, und die Datenbroker würden den Code ebenfalls lesen und die Logik zum Ausfüllen der Formulare umgehen
Das habe ich mir schon gedacht
https://news.ycombinator.com/item?id=39280369
Wenn man genug Spaghetti an die Wand wirft, bleibt irgendwann etwas davon kleben
Ich denke, Mozillas Absicht ging grundsätzlich in die richtige Richtung, aber es ist ziemlich enttäuschend, dass bei der Partnerprüfung nicht gründlicher untersucht wurde, was GMU-Doktoranden aufdecken konnten
Ich frage mich, ob es bei ähnlichen Diensten noch weitere fragwürdige Verbindungen gibt, die noch nicht ans Licht gekommen sind
Ich beobachte auch DeleteMe, einen beliebten Podcast-Sponsor
Die Welt ist voll von Menschen, die dich absichtlich vergiften, um dir dann das Gegenmittel zu verkaufen, oder besser noch eine lebenslange Behandlung
Doktoranden haben im Allgemeinen mehr Zeit und können durchaus genügend Fachwissen haben
Wenn sie ihren Abschluss machen und bei Mozilla anfangen, haben sie womöglich nicht mehr die Muße, unwahrscheinlichen Spuren nachzugehen
Ich entwickle und betreibe seit 15 Jahren Datenschutz-Tools und habe auch hier auf HN Gespräche geführt
Ich beantworte gern Fragen, aber ein wenig weniger haltlose Anschuldigungen wäre schön
Ich musste einfach akzeptieren, dass Privatsphäre vollständig und unumkehrbar tot ist
Menschen mit Macht oder Geld können heute fast alles über dich herausfinden, vielleicht sogar mehr, als du selbst über dich weißt oder bewusst wahrnimmst
Wer hat schon die Zeit, alle Aspekte des eigenen Lebens und Verhaltens sowie alle sich daraus ergebenden Verbindungen regelmäßig gründlich zu dokumentieren und zu reflektieren
Nichts wird sich ändern, solange Senat, Repräsentantenhaus und Präsident sich nicht massiv dafür zusammentun, dieses endlose widerliche Geschäft, Menschen zu überwachen, sie dadurch zu schwächen und sich selbst zu bereichern, mit spürbaren Strafen zu verbieten
Das wird aber nie passieren, weil die US-Regierung der größte Kunde und Anbieter solcher Dienste ist
Mozilla ist fast einer der letzten Orte, die Privatsphäre überhaupt noch ansprechen, und selbst Mozilla hat sich mit dieser Person eingelassen
Deshalb ist die Lage so hoffnungslos
Es kostet nichts, den Namen einer Person, alle früheren Adressen, Familiennamen und Ähnliches herauszufinden
Solche Unternehmen gehören ausradiert
Ich warte darauf, dass die EU dieses Problem schnell erkennt
Mozilla will offensichtlich keine Organisation unterstützen, die Menschen aufspürt, aber ich bezweifle, dass hier tatsächlich genau das geschieht
Das Fachwissen aus dem Bereich Personensuche könnte genau das Fachwissen sein, das man braucht, um Menschen aus den Listen solcher Organisationen zu entfernen
Die eigentliche Frage ist, ob außerhalb von Onerep Datenhandel stattfindet
Das wirkt wie ein Fall, in dem der Anschein über die Substanz gesiegt hat
Sie spielt auf beiden Seiten gleichzeitig