1 Punkte von GN⁺ 2024-03-23 | 1 Kommentare | Auf WhatsApp teilen
  • Die kürzlich in Firefox integrierte Onerep-Partnerschaft wird kurz nach der Kontroverse um einen Interessenkonflikt des CEO beendet, was die Vertrauensfrage rund um Mozilla Monitor Plus verschärft
  • Onerep war ein kostenpflichtiger Dienst, der Nutzer aus Hunderten von Personensuchseiten löschen sollte, doch Gründer Dimitiri Shelest hielt weiterhin Anteile am Datenbroker Nuwber
  • Shelest bestritt einen Informationsaustausch oder einen gemeinsamen Betrieb zwischen Nuwber und Onerep, doch der zentrale Streitpunkt ist, dass er beim Verkauf eines Dienstes zur Entfernung persönlicher Daten gleichzeitig mit dem Personensuchgeschäft verbunden war
  • Mozilla erklärte, Kundendaten seien nie gefährdet gewesen, bereitet nun aber einen Übergangsplan vor, da die externen finanziellen Interessen und Aktivitäten des CEO nicht mit den eigenen Werten vereinbar seien
  • Der Fall zeigt, wie Datenbroker und die Personensuchbranche durch Ausnahmen für öffentliche und staatliche Register wachsen, und befeuert die Debatte über Verbraucherdatenschutz und Datenschutzregulierung

Onerep aus Mozilla Monitor Plus entfernt

  • Mozilla, die gemeinnützige Organisation hinter Firefox, hat damit begonnen, ihre neue Partnerschaft mit dem Identitätsschutzdienst Onerep zurückzufahren und zu beenden
  • Onerep wurde erst vor Kurzem zusammen mit Firefox gebündelt und bot einen Dienst an, der Nutzerinformationen von Hunderten von Personensuchseiten entfernen sollte
  • Mozilla begann im vergangenen Monat, Onerep als kostenpflichtige Abonnementfunktion von Mozilla Monitor Plus anzubieten
  • Mozilla Monitor wurde 2018 unter dem Namen Firefox Monitor eingeführt und prüft Daten aus Have I Been Pwned?, um Nutzer darüber zu informieren, ob ihre E-Mail-Adresse oder ihr Passwort in einem Datenleck enthalten war

Die Vorgeschichte des Onerep-CEO im Personensuchgeschäft

  • Eine Untersuchung vom 14. März zeigte, dass der aus Belarus stammende CEO und Gründer von Onerep, Dimitiri Shelest, seit 2010 mehrere Personensuchdienste gestartet hat
  • Dazu gehörte auch der aktive Datenbroker Nuwber, der Hintergrundberichte über Personen verkauft
  • Onerep und Shelest reagierten am 14. März nicht auf Anfragen um Stellungnahme zu der Untersuchung
  • In einer langen Stellungnahme vom 21. März räumte Shelest ein, weiterhin Anteile an dem 2015 gegründeten Verbraucher-Datenbroker Nuwber zu halten
    • 2015 ist ungefähr auch der Zeitraum, in dem Onerep startete
    • Shelest erklärte, Nuwber habe „keinerlei gemeinsamen Betrieb oder Informationsaustausch“ mit Onerep
    • Er behauptete außerdem, dass andere ältere Domains, die mit seinem Namen in Verbindung gebracht werden könnten, nicht mehr von ihm betrieben würden
  • Laut Shelest mag die Verbindung zum Personensuchgeschäft von außen seltsam wirken, doch seine frühe, tiefgehende Erfahrung mit der Funktionsweise solcher Seiten habe schließlich zur Technologie und zum Team von Onerep geführt
  • Shelests vollständige Stellungnahme wurde als PDF veröffentlicht

Mozillas Entscheidung und der Übergang für Kunden

  • Ein Mozilla-Sprecher erklärte, das Unternehmen entferne sich von der Nutzung von Onerep als Dienstleister für das Produkt Monitor Plus
  • Mozilla betonte, dass Kundendaten nie gefährdet gewesen seien, kam aber zu dem Schluss, dass die externen finanziellen Interessen und Aktivitäten des Onerep-CEO nicht mit den Werten von Mozilla vereinbar seien
  • Derzeit werde ein Übergangsplan konkretisiert, der bestehenden Kunden eine unterbrechungsfreie Erfahrung bieten und ihre Interessen in den Vordergrund stellen solle

Verdachtsmomente rund um Spamit und Werbeschaltung

  • Shelests E-Mail-Adresse soll um 2010 von einem Partner von Spamit verwendet worden sein
  • Spamit war eine russischsprachige Organisation, die Menschen dafür bezahlte, Websites aggressiv zu bewerben, die Potenzmittel und Generika verkauften
  • Diese Verbindung sei laut der Untersuchung vom 14. März durch Forschungsarbeiten mehrerer Doktoranden der George Mason University bestätigt worden
  • Shelest bestritt jede Verbindung zu Spamit
    • Er erklärte, er habe zwischen 2010 und 2014 Webseiten erstellt, Suchmaschinenoptimierung (SEO) betrieben und anschließend AdSense-Banner eingebunden
    • Das dürfte sich auf mehrere Personensuch-Domains beziehen, die KrebsOnSecurity mit seiner E-Mail-Adresse in Verbindung brachte
    • Später habe er festgestellt, dass viele Anfragen die Suche nach Personen betrafen
  • Shelest räumte ein, dass Onerep unter bestimmten Umständen Werbung auf einigen Datenbroker-Seiten schaltet
    • Die Werbung werde angezeigt, nachdem Nutzer selbst ein Opt-out-Formular ausgefüllt hätten
    • Laut seiner Erklärung soll dies Nutzer darauf hinweisen, dass sie möglicherweise auch auf anderen Seiten gelistet sind, und ihnen automatisierte Opt-out-Optionen wie Onerep vorstellen

Die Datenbroker-Branche und Regulierungslücken

  • Troy Hunt, Gründer von Have I Been Pwned, sagte, er habe gewusst, dass Mozilla seine Partnerschaft mit Onerep überprüfte, aber nichts von den zahlreichen Interessenkonflikten des Onerep-CEO gewusst
  • Hunt teilte Mozilla mit, dass die Wirksamkeit der Datenentfernung bei legal betriebenen Diensten begrenzt sei und bei tatsächlich schädlichen, illegalen Diensten gar nicht entfernt werden könne
  • Das Modell, ein Problem zu schaffen und zu verbreiten und dann einen Dienst zu dessen Lösung zu verkaufen, mag unethisch sein, ist in den USA aber nicht illegal
  • Auch das Sammeln und Verkaufen von Daten über US-Bürger ist in den USA an sich nicht illegal
  • Datenschutzexperten führen die Existenz von Datenbrokern, Personensuchdiensten wie Nuwber und Online-Reputationsfirmen wie Onerep darauf zurück, dass die meisten US-Bundesstaaten sogenannte öffentliche Register oder staatliche Register von Verbraucherdatenschutzgesetzen ausnehmen
    • Dazu gehören Wählerverzeichnisse, Grundbucheinträge, Heiratsurkunden, Fahrzeugregister, Strafregister, Gerichtsunterlagen, Sterberegister, Berufszulassungen und Insolvenzanträge
    • Datenbroker können Verbraucherprofile zudem mit Social-Media-Daten und Informationen über bekannte Kontakte anreichern
  • Die drei Untersuchungen im März beleuchten die Datenbroker- und Personensuchbranche und unterstreichen den Bedarf an Aufsicht durch den Kongress oder Regulierung beim Schutz von Verbraucherdaten und der Privatsphäre
    • A Close Up Look at the Consumer Data Broker Radaris vom 8. März behandelt, dass die Mitgründer von Radaris mehrere russischsprachige Dating-Dienste und Partnerprogramme betreiben
    • Dieselbe Untersuchung beschreibt auch, dass mehrere ihrer Geschäfte offenbar mit einer kalifornischen Marketingfirma verbunden sind, die mit einem russischen staatlichen Medienkonglomerat zusammenarbeitet, gegen das die US-Regierung Sanktionen verhängt hat
    • The Not-So-True People-Search Network from China vom 20. März enthüllt, dass ein Netzwerk aus gefälschten Personensuchfirmen und Führungskräften geschaffen wurde, um den Standort eines Personensuch-Partners in China zu verschleiern

1 Kommentare

 
GN⁺ 2024-03-23
Hacker-News-Kommentare
  • Wenn Firma A ein Problem schafft und Firma B daran verdient, dieses Problem zu lösen, dann profitiert Firma B davon, je größer A das Problem macht.
    Dadurch haben A und B beide ein Interesse daran, dass das Problem ein Problem bleibt, und werden zu einer symbiotischen Beziehung, in der beide Gewinne abschöpfen, ohne der Gesellschaft einen Nettonutzen zu bringen.
    Das ist Rent-Seeking, belastet die Wirtschaft und ist auch ethisch schwer zu rechtfertigen.
    Dieses Problem lässt sich nur durch Regulierung lösen.

    • Kürzlich gab es auf HN einen Beitrag, der auf Regierungsbehörden und allgemeiner auch auf Privatunternehmen anwendbar war: Eine Organisation, die geschaffen wurde, um Problem X zu lösen, entwickelt sich mit der Zeit in eine Richtung, die das Problem nicht unbedingt selbst erzeugt, aber seine Lösung schwieriger macht.
    • Microsoft vereint Firma A und B gewissermaßen in einem einzigen Körper.
      Sie verkaufen eine hochgradig unsichere OS- und Cloud-Umgebung und verkaufen dann erneut Sicherheitswerkzeuge mit dem Versprechen, die Probleme zu beheben, die sie überhaupt erst selbst geschaffen haben.
    • Das hat die Struktur eines Schutzgelderpressungs-Geschäfts.
  • Um solche Partnerschaften zu prüfen, braucht man meines Erachtens jemanden mit sehr tiefem Wissen, Prinzipienfestigkeit und Skepsis.
    Das ist normalerweise nichts für Leute, die vor allem aus Business-Development- oder Karriereperspektive darauf schauen.
    Für die Nachbereitung scheint jetzt eher ein Kämpfer nötig zu sein, der einen Weg findet, diese ganze Organisation legal zu zerschlagen.
    Das könnte zwar zur Mission von Mozilla passen, aber noch wichtiger ist, dass nach dieser Sache Mozillas Ruf wiederhergestellt werden muss.
    Selbst wenn die Gegenseite gegenüber Verbrauchern irgendwie davongekommen ist, könnte es im Geschäft mit Mozilla neue Ansatzpunkte geben, die eher wie eine andere Art von Betrug aussehen, und Mozilla hat viel mehr Möglichkeiten als die meisten Einzelpersonen, dem nachzugehen.

    • Wenn man diese Person wegen irreführender Darstellung oder etwas Ähnlichem angreifen könnte, würde ich jedes Mal von der Seitenlinie aus anfeuern.
      Wenn es einen legalen Fonds zum Angriff auf Stalker-Firmen gäbe, würde ich sogar Geld dazugeben.
    • Ich verstehe nicht, was man da eigentlich verfolgen will.
      Mozilla sollte bitte einfach Browser bauen.
      Das ist ein schlichtes Konzept; man braucht keine Formulierungen, die klingen, als hätte man ChatGPT auf dramatischen Stil gestellt.
    • Wenn ich diese Analogie mit meinem eigenen Denken ergänze: Wenn der Verkäufer Joe seinem Freund Al einen Gebrauchtwagen verkauft hat und sich herausstellt, dass es eine Schrottkarre war, dann lässt sich die Lehre daraus in mehrere Stufen aufteilen.
      a) Es war ein ehrlicher Fehler, und bei Gebrauchtwagen gibt es solche Schwankungen eben; der Markt wird das Problem korrigieren, und man hat weiterhin das Gefühl, bei Bedarf ruhig einen Gebrauchtwagen von Joe kaufen zu können.
      b) Joe wusste, dass das Auto mangelhaft war, hielt Al aber für ein leichtes Opfer und hat es verschwiegen; ich kann Autos besser beurteilen oder Menschen besser einschätzen als Al, also muss ich nur vorsichtig sein, wenn ich bei Joe kaufe.
      c) Joe verkauft nur Schrottkarren, sein Geschäftsmodell besteht darin, Leute auszunehmen, also gibt es keine Möglichkeit, bei Joe einen guten Deal zu bekommen, und man sollte sich woanders umsehen.
      d) Alle Gebrauchtwagenhändler haben dieses Geschäftsmodell, also sollte man keine Gebrauchtwagen bei Gebrauchtwagenhändlern kaufen.
      e) Alle Geschäftsmodelle mit Informationsasymmetrie zwischen Käufer und Verkäufer sind so; deshalb sollte man keine Dinge kaufen, bei denen man die Untergrenze des Nutzens nicht kennen kann, und man braucht Mechanismen wie Garantien.
      Das ist nur ein Beispiel, das ein Spektrum davon zeigen soll, wie viel Feindseligkeit man unterstellt.
      Kürzlich gab es auf HN einen Beitrag darüber, dass Verkäufer selbst noch leichter getäuscht werden; ich denke, das liegt daran, dass Verkäufer bei dieser Frage zu Antwort (b) neigen und in der Praxis nur mit Leuten zu tun haben, die (a), (b) oder (c) denken.
      Eigentlich gilt das nicht nur für Verkäufer, sondern erscheint ähnlich auch im MBA-Denken.
      Der Kern des MBA-Glaubens ist, regulatorische Strukturen und die Psychologie von Menschen zu umgehen und sie dazu zu bringen, mehr Geld zu zahlen, als die Herstellung einer Sache gekostet hat; letztlich kommt auch das Einkommen von MBAs daher.
      Für jemanden, der die obige Frage mit (b) beantwortet, wird diese Denkweise viel natürlicher wirken.
      Deshalb scheint es oft so, dass man, sobald man hört, irgendeine Firma habe beschlossen, irgendetwas zu kaufen, besonders eine Dienstleistung, instinktiv annimmt, der Käufer sei ein leichtgläubiger Idiot gewesen und alles würde viel besser laufen, wenn einfach niemand irgendetwas kaufen könnte.
      Ich persönlich glaube nicht, dass man zur Lösung dieses Problems wilde Skepsis braucht.
      Viel billiger und einfacher wäre ein Verbot nutzloser Einkäufe.
      Mozilla muss absolut kein Kunde sein.
  • Alle bisherigen Tools zum Löschen bei Datenbrokern haben Schwächen, weil sie manuelle Arbeit dafür einsetzen, Nutzer von Websites zu entfernen, und diese Arbeit meist von Arbeitskräften aus der Dritten Welt erledigt wird
    Wir entwickeln bei https://redact.dev einen rein softwarebasierten Ansatz, der Opt-outs direkt auf dem Gerät der Nutzer verarbeitet
    Bereits jetzt wird Massenlöschung auf mehr als 40 Social-Media- und Utility-Diensten unterstützt

    • Ich hasse diesen Trend wirklich, aus allem einen Abodienst zu machen
      Ich kann mir einen Nischenmarkt vorstellen, der Inhalte fortlaufend löschen will, die älter als ein beliebiger Zeitraum sind, aber die meisten Nutzer brauchen so einen Dienst doch wohl nur gelegentlich
      Auch die Preisgestaltung scheint das im Grunde einzuräumen: monatliche Zahlung kostet $35 pro Monat, jährlich gezahlt sind es $8 pro Monat
      Ich weiß wirklich nicht, wer ernsthaft erwartet, dass Leute das absichtlich jeden Monat verlängern
      Schwer zu bestreiten ist allerdings, dass Leute, die vergessen zu kündigen, die Kosten mittragen, aber als Geschäftsmodell fühlt sich das schäbig an
    • Das erklärt den Ablauf auf Reddit, bei dem Beiträge erst in bedeutungslosen Inhalt geändert und dann gelöscht werden
      Ich persönlich finde, dass dieses Verhalten das Web als Wissensbasis ärmer macht
      Man hat das Recht, mit eigenen Inhalten so zu verfahren, aber im großen Maßstab wird das Internet zu einem weniger nützlichen Werkzeug, und die Scraper haben die Daten ohnehin wahrscheinlich schon, was es etwas traurig macht
    • Das ist kein echter Mangel
      Der eigentliche Mangel ist, dass Unternehmen in diesem Bereich Daten zentralisieren und weiterverkaufen und dem Datensatz dabei eine neue Zeile hinzufügen: „möchte die eigenen Datenspuren löschen“
    • Bei easyoptouts.com, wo ich arbeite, wird keine Handarbeit eingesetzt, alles ist vollständig automatisiert
      Es ist definitiv wichtig, nicht noch mehr Menschen Zugriff auf die Daten zu geben
      Dank der Automatisierung ist der Preis auch deutlich niedriger als bei den meisten ähnlichen Diensten
    • Viele Datenbroker machen es natürlich absichtlich sehr schwer, Informationen löschen zu lassen
      Deshalb müssen selbst seriöse Löschdienste teilweise auf manuelle Arbeit zurückgreifen
      Eine vollständige Automatisierung wäre schön, aber ich glaube nicht daran, bis ich sie wirklich sehe
      Als ich zuletzt nachgesehen habe, entfernte Optery bei mehr als 325 Stellen
      Viel Glück, aber der Weg ist noch lang
      Bearbeitung: Das scheint ein völlig anderer Dienst zu sein
      Alte Beiträge massenhaft zu löschen und personenbezogene Informationen bei Datenbrokern zu entfernen, sind zwei verschiedene Dinge
  • Bei einem Tool, das an alle Unternehmen, mit denen ich zu tun hatte, Massen-Opt-out-Anfragen schickt, könnte ich nur dann Vertrauen haben, wenn es kostenlos und Open Source wäre
    Selbst bei guten Absichten wird Kommerz zu einem weiteren Mittel der Nachverfolgung

    • Unmöglich
      Open-Source-Code kann keine eingeschränkte Vollmacht besitzen, und die Datenbroker würden den Code ebenfalls lesen und die Logik zum Ausfüllen der Formulare umgehen
  • Das habe ich mir schon gedacht
    https://news.ycombinator.com/item?id=39280369

    • Stimmt, aber damals gab es nichts, womit man das über Belege, Schlussfolgerungen oder bloße Vermutungen hinaus hätte untermauern können
      Wenn man genug Spaghetti an die Wand wirft, bleibt irgendwann etwas davon kleben
  • Ich denke, Mozillas Absicht ging grundsätzlich in die richtige Richtung, aber es ist ziemlich enttäuschend, dass bei der Partnerprüfung nicht gründlicher untersucht wurde, was GMU-Doktoranden aufdecken konnten
    Ich frage mich, ob es bei ähnlichen Diensten noch weitere fragwürdige Verbindungen gibt, die noch nicht ans Licht gekommen sind
    Ich beobachte auch DeleteMe, einen beliebten Podcast-Sponsor

    • Genau deshalb ist es wichtig, von allen Unternehmen Offenlegung der wirtschaftlich Berechtigten zu verlangen
      Die Welt ist voll von Menschen, die dich absichtlich vergiften, um dir dann das Gegenmittel zu verkaufen, oder besser noch eine lebenslange Behandlung
    • Kanary war im Mozilla-Inkubator und ist im Kern ein großartiger Dienst, deshalb ist schwer zu verstehen, warum man sich mit Onerep zusammengeschlossen hat
    • Wichtig ist, was es brauchte, damit GMU-Doktoranden das aufdecken konnten
      Doktoranden haben im Allgemeinen mehr Zeit und können durchaus genügend Fachwissen haben
      Wenn sie ihren Abschluss machen und bei Mozilla anfangen, haben sie womöglich nicht mehr die Muße, unwahrscheinlichen Spuren nachzugehen
    • Ich bin Mitgründer von DeleteMe
      Ich entwickle und betreibe seit 15 Jahren Datenschutz-Tools und habe auch hier auf HN Gespräche geführt
      Ich beantworte gern Fragen, aber ein wenig weniger haltlose Anschuldigungen wäre schön
    • So ähnlich wie Firefox als Datenschutz-Browser zu vermarkten und zugleich mit Google zusammenzuarbeiten: Man hat die Partner schlicht nicht gründlich genug geprüft
  • Ich musste einfach akzeptieren, dass Privatsphäre vollständig und unumkehrbar tot ist
    Menschen mit Macht oder Geld können heute fast alles über dich herausfinden, vielleicht sogar mehr, als du selbst über dich weißt oder bewusst wahrnimmst
    Wer hat schon die Zeit, alle Aspekte des eigenen Lebens und Verhaltens sowie alle sich daraus ergebenden Verbindungen regelmäßig gründlich zu dokumentieren und zu reflektieren
    Nichts wird sich ändern, solange Senat, Repräsentantenhaus und Präsident sich nicht massiv dafür zusammentun, dieses endlose widerliche Geschäft, Menschen zu überwachen, sie dadurch zu schwächen und sich selbst zu bereichern, mit spürbaren Strafen zu verbieten
    Das wird aber nie passieren, weil die US-Regierung der größte Kunde und Anbieter solcher Dienste ist
    Mozilla ist fast einer der letzten Orte, die Privatsphäre überhaupt noch ansprechen, und selbst Mozilla hat sich mit dieser Person eingelassen
    Deshalb ist die Lage so hoffnungslos

    • Datenbroker stellen viele personenbezogene Informationen kostenlos ins öffentliche Web
      Es kostet nichts, den Namen einer Person, alle früheren Adressen, Familiennamen und Ähnliches herauszufinden
  • Solche Unternehmen gehören ausradiert
    Ich warte darauf, dass die EU dieses Problem schnell erkennt

    • Mindestens genauso beängstigend sind Unternehmen, die Gesichtserkennungssuche über das gesamte crawlbare Web ermöglichen
  • Mozilla will offensichtlich keine Organisation unterstützen, die Menschen aufspürt, aber ich bezweifle, dass hier tatsächlich genau das geschieht
    Das Fachwissen aus dem Bereich Personensuche könnte genau das Fachwissen sein, das man braucht, um Menschen aus den Listen solcher Organisationen zu entfernen
    Die eigentliche Frage ist, ob außerhalb von Onerep Datenhandel stattfindet
    Das wirkt wie ein Fall, in dem der Anschein über die Substanz gesiegt hat

    • Es geht nicht nur darum, dass die Person Erfahrung hat, sie ist als Investor noch immer mit einem Unternehmen verbunden, das Schlechtes tut
      Sie spielt auf beiden Seiten gleichzeitig