2 puntos por GN⁺ 2024-03-15 | 1 comentarios | Compartir por WhatsApp
  • Se revelaron indicios que vinculan a Dimitri Shelest, fundador de Onerep.com, que vende eliminación de datos personales, con varios servicios de búsqueda de personas, lo que agrava las dudas sobre la confiabilidad del servicio y los conflictos de interés
  • Onerep promociona que elimina información personal de casi 200 sitios de búsqueda de personas, con planes desde $8.33 al mes para individuos y $15 al mes para familias, además de apuntar a clientes corporativos y del sector público
  • Registros de DomainTools y Constella Intelligence muestran repetidamente juntos el correo de Shelest, un número telefónico de Bielorrusia y Onerep·Nuwber·dominios de búsqueda de personas por país
  • En una actualización del 21 de marzo, Shelest reconoció que mantiene una participación en Nuwber, pero afirmó que no existe intercambio de información ni operación cruzada con OneRep, y que otros dominios antiguos ya no están en funcionamiento
  • Mozilla explicó que el servicio automático de eliminación de datos de Mozilla Monitor es una alianza con OneRep, y dijo que había recibido confirmación de que la relación pasada ya había terminado, aunque revisará más el asunto

El servicio de Onerep y sus clientes objetivo

  • Onerep.com se presenta como un servicio con sede en Virginia y promociona que elimina información personal de casi 200 sitios web de búsqueda de personas
  • El servicio “Protect” comienza desde $8.33 al mes para individuos y $15 al mes para familias
  • Para clientes empresariales, vende un servicio que mantiene eliminados de los sitios de búsqueda de personas los datos de los empleados
  • Entre los casos de clientes de Onerep.com se menciona un contrato para empleados de Permanente Medicine
    • Permanente Medicine representa a médicos dentro de Kaiser Permanente
  • Onerep también afirma haber logrado adopción en departamentos de policía de Estados Unidos

La conexión creada por los registros de dominios y correos

  • Onerep.com presenta a su fundador y CEO como Dimitri Shelest, originario de Minsk, Bielorrusia, y el perfil de LinkedIn de Shelest contiene la misma información
  • Los registros históricos de DomainTools.com muestran que Shelest aparecía como registrante de onerep.com usando la dirección dmitrcox2@gmail.com
  • Los resultados de búsqueda de Constella Intelligence vinculan el nombre Dimitri Shelest con la siguiente información
    • dimitri.shelest@onerep.com

    • d.sh@nuwber.com

      • número telefónico de Bielorrusia +375-292-702786
      • Nuwber.com es un servicio de búsqueda de personas y uno de los múltiples sitios que Onerep presenta como objetivos de eliminación de datos
      • El sitio web de Onerep indica explícitamente que “OneRep no está relacionado con Nuwber.com”
      • Sin embargo, Constella encontró que el número telefónico de Bielorrusia 375-292-702786 vinculado a Nuwber fue usado repetidamente junto con la dirección dmitrcox@gmail.com
      • DomainTools muestra que comversus.com estuvo vinculado tanto a dmitrcox@gmail.com como a dmitrcox2@gmail.com
      • Entre los dominios donde los mismos dos correos aparecieron juntos en registros WHOIS están careon.me, docvsdoc.com, dotcomsvdot.com, namevname.com, okanyway.com, tapanyapp.com

Decenas de dominios de búsqueda de personas e indicios iniciales de Onerep

  • Una búsqueda de dmitrcox@gmail.com en DomainTools lo vincula con al menos 179 registros de dominios, muchos de ellos compañías de búsqueda de personas hoy fuera de operación
  • Estos dominios apuntaban a ciudadanos de varios países, entre ellos Argentina, Brasil, Canadá, Dinamarca, Francia, Alemania, Hong Kong, Israel, Italia, Japón, Letonia y México
  • nuwber.fr, registrado en 2016, era idéntico en ese momento a la página principal de Nuwber.com
  • El mismo correo y número telefónico de Bielorrusia también aparecen en registros históricos de nuwber.at, nuwber.ch, nuwber.dk
  • Los registros históricos WHOIS de onerep.com muestran que originalmente estaba registrado a nombre de una persona de Sioux Falls, Dakota del Sur, pero alrededor de septiembre de 2015 fue transferido de GoDaddy.com a eNom y la información de registro quedó oculta tras protección de privacidad
  • DomainTools muestra que por esa época onerep.com empezó a usar servidores de nombres del proveedor DNS constellix.com
  • Nuwber.com también apareció por primera vez a fines de 2015, fue registrado mediante eNom y comenzó a usar DNS de constellix.com casi al mismo tiempo
  • En LinkedIn, Dimitri Bukuyazau figura como gerente de producto de OneRep.com entre 2015 y 2018
    • Ese perfil no incluye ninguna mención de Nuwber
    • Constella Intelligence encontró como correos de empleados de nuwber.com d.bu@nuwber.com y d.bu+figure-eight.com@nuwber.com, y el segundo estaba registrado con el nombre “Dzmitry”
  • PrivacyDuck presentó en 2017 indicios para considerar que OneRep y Nuwber eran la misma empresa, pero onerep.com está completamente excluido de Wayback Machine, lo que dificulta verificar con facilidad su funcionamiento inicial
    • Wayback Machine acepta este tipo de solicitudes de exclusión cuando el dueño del dominio las pide directamente

Historial de dominios más amplio y polémica por conflicto de interés

  • El nombre, teléfono y correo de Shelest también aparecen en registros de múltiples servicios de búsqueda de personas por país
  • dmitrcox@gmail.com también fue vinculado a uno de los correos de afiliados del programa de afiliación de spam farmacéutico en ruso Spamit, filtrado en 2010
    • Spamit pagaba comisiones a spammers cuando se vendían medicamentos para mejorar el rendimiento masculino en sitios anunciados por spam
    • Ese correo no pertenecía a un afiliado especialmente rentable
  • El perfil de Facebook de Shelest mostraba que vivía en Minsk y su estado civil, y según una actualización del 16 de marzo de 2024 esa cuenta ya no está activa
  • En actividad de Facebook de hace más de 10 años había múltiples “me gusta” a páginas de perfil de varios sitios de búsqueda de personas
  • Max Anderson, director de crecimiento de 360 Privacy, dijo que resulta preocupante que exista una conexión directa entre servicios de eliminación de datos y sitios web de brokers de datos
  • Anderson considera que es poco ético operar una empresa que vende la información de las personas y al mismo tiempo cobrarles a esas mismas personas por eliminarla

Respuesta de Shelest y alianza con Mozilla Monitor

  • En la actualización del 21 de marzo de 2024, Shelest dio una respuesta extensa
    • Reconoció que mantiene una participación accionaria en Nuwber
    • Afirmó que no existe “ninguna operación cruzada ni intercambio de información” con OneRep
    • Dijo que otros dominios antiguos que pudieran estar vinculados con su nombre ya no son operados por él
  • Shelest reconoció que desde fuera la relación con el negocio de búsqueda de personas puede parecer extraña, pero dijo que sin ese camino inicial de involucrarse a fondo en cómo funcionan esos sitios, Onerep no habría desarrollado la tecnología y el equipo de esa área
  • Admitió que en el pasado no dejó esa relación suficientemente clara y dijo que lo hará mejor en adelante
  • La respuesta completa está disponible en PDF
  • En la actualización del 15 de marzo de 2024 se agregó que Mozilla Monitor de Mozilla Foundation ofrece OneRep como parte del paquete
    • Mozilla Monitor se ofrece como servicio gratuito o de suscripción paga
    • El servicio gratuito de alertas de filtraciones es una alianza con Have I Been Pwned
    • El servicio automático de eliminación de datos es una alianza con OneRep para quitar información personal de directorios públicos en línea y sitios de agregación de información
  • Mozilla dijo que evaluó si el servicio de eliminación de datos de OneRep opera conforme a los principios de privacidad de Mozilla
  • Mozilla afirmó que conocía la relación pasada mencionada en el artículo y que recibió confirmación de que había terminado antes de trabajar juntos
  • Mozilla dijo que seguirá revisando el asunto y que priorizará la privacidad y la seguridad de sus clientes

1 comentarios

 
GN⁺ 2024-03-15
Opiniones en Hacker News
  • No es precisamente un secreto que muchas empresas de gestión de reputación también poseen sitios de registros públicos que publican mugshots, expedientes judiciales, etc.
    Si les encargas borrar tu información de internet, entras en un ciclo en el que la quitan de uno o dos sitios que ellos operan y la vuelven a subir en otros.
    Al final se convierte en un juego interminable de pegarle al topo, encima con suscripción mensual.

    • Proofpoint también tiene mala fama por algo parecido.
      Bloquean servidores de correo sin mucha razón y te obligan a pasar por el proceso para que los desbloqueen.
      Si pagabas, el problema desaparecía como por arte de magia, y la única lista de bloqueo en la que siempre caías era la de Proofpoint.
    • Esto es un negocio de extorsión.
    • Las agencias de crédito se sienten exactamente así.
      Absorben información personal a diestra y siniestra sin que puedas optar por salir, la guardan sea correcta o no, y se niegan a eliminar datos evidentemente erróneos.
      Luego administran esos datos de forma tan descuidada que se filtran al mundo entero, y después te dicen que, como información que no puedes cambiar ya llegó a manos de gente mala, debes pagar de por vida por monitoreo de crédito.
      ¿Quién creen que posee la mayoría de esas empresas de monitoreo de crédito?
    • Se parece demasiado a un reparador de ventanas que rompe ventanas, o a un vendedor de llantas que tira cajas de clavos en la calle.
      La única diferencia es que esas acciones sí son ilegales.
      A esto bien se le podría llamar mafia de la privacidad de datos.
    • La lección moderna es clara: si quieres privacidad, no debes dejar nada en formato digital.
      En algunos lugares prohíben el uso de smartphones y te hacen dejar el celular en la entrada, como cuando dejas el abrigo en guardarropa.
      Un amigo periodista suele salir dejando el smartphone en casa.
  • No puedo dar detalles concretos, pero conozco a alguien que tuvo que procesar solicitudes de eliminación de estas empresas de “privacidad”.
    Esa empresa de privacidad tomaba información personal de los usuarios, como nombre y correo electrónico, y la enviaba por email a todas las empresas que se le ocurrían, hubiera o no una cuenta, pidiendo que eliminaran la cuenta.

    • Sospechaba que, aunque estos servicios se operaran de buena fe y no fueran una estafa activa de recolección de datos, en la práctica podrían hacer más daño que bien.
      Pero también es un problema del huevo y la gallina: para pedir que borren mi información, tengo que decir qué información me identifica.
      Como las empresas tienen incentivos para hacer que este proceso sea lo más difícil posible, es poco probable que surja voluntariamente una solución basada en hashes de datos; hacen falta regulación fuerte y multas altas.
      También está el problema de demostrar la propiedad de los datos cuya eliminación se solicita. Incluso con el GDPR de la UE, que podría considerarse la regulación de privacidad más avanzada, las empresas lo incumplen rutinariamente exigiendo más información personal al solicitante.
    • Hay una trampa oculta si usas estos servicios tipo “delete me” para borrar información de plataformas como Dropbox.
      Muchas veces estos servicios están conectados con empresas que comercian direcciones de correo, así que al enviar tu email para que lo eliminen, podría terminar vendido a marketers o brokers de datos.
      Al final podrías recibir más spam y contactos no deseados, o incluso anuncios personalizados según quién haya comprado el email.
    • Haciendo de abogado del diablo, una muestra de tamaño 1 suele ser solo un dato, no toda la historia.
      Se podría asumir que una empresa legítima verifica si esa compañía tiene información antes de enviar una solicitud de eliminación.
      Claro que podría estar equivocado y no tengo pruebas, pero es una suposición tan plausible como una muestra de tamaño 1.
  • Por los términos, parece que Mozilla Monitor también usa el mismo servicio. Es bastante grave.
    https://www.mozilla.org/en-US/about/legal/terms/subscription...

    • Veo esto como una falla de due diligence de Mozilla Corporation.
      Para estas alturas, su equipo legal probablemente ya debe estar en modo respuesta a incidentes.
      Es uno de los problemas que surgen cuando una organización no hace nada directamente y transfiere la responsabilidad y la carga legal a un socio externo.
      Si le confiaste información personal a Mozilla Monitor, el contacto legal está en la página de términos: https://www.mozilla.org/en-US/about/legal/terms/subscription...
      Esos términos limitan la responsabilidad a 500 dólares y también eximen a Mozilla.
    • La historia más importante aquí probablemente sea esta:
      Es fácil no confiar en una empresa sospechosa, pero dejarse engañar por un nombre grande como Mozilla es un asunto completamente distinto.
  • Parece mejor que este tipo de cosas las maneje directamente una primera parte confiable, es decir, uno mismo.
    Lista de métodos para darse de baja de data brokers: https://github.com/yaelwrites/Big-Ass-Data-Broker-Opt-Out-Li...

    • Usaba Onerep, pero lo dejé después de escuchar que era sospechoso.
      Ahora uso Optery (https://www.optery.com/), una empresa de YC, y si tiene algún problema me gustaría saberlo.
      El problema es que hay más de 200 data brokers y no tengo tiempo para lidiar con todos.
    • Probé hacerlo yo mismo siguiendo una guía, y definitivamente funcionó con mylife.com, uno de los peores operadores de baja categoría.
      Tuve que llamar a un call center en India y, manteniendo la cortesía, insistir con paciencia mientras escuchaba varias veces la promoción de su “servicio”.
      Al final borraron mi nombre, pero dijeron que “podría” volver a aparecer.
      Eso fue en 2018 y ahora mi nombre no aparece en la búsqueda del sitio. Sin embargo, recibo varias veces al día correos basura de mylife diciendo que hay “cambios” en mi perfil, mi familia y mis vecinos.
      Para estas cosas evito a terceros. Como dijo Krebs, no solo pueden crear una estructura de extorsión con data brokers basura, sino que algunas empresas incluso pagan parte de la comisión a los data brokers para que borren el nombre.
      No quiero hacer que estos tipos ganen dinero con esa actividad.
      Como referencia, el fundador y CEO de Mylife.com es Jeffrey Tinsley, y parece haber ganado bastante dinero con este negocio de data brokers.
    • Me pregunto si alguien ha probado el servicio que promociona el autor de esta lista. Parece interesante y útil.
      https://securityplanner.consumerreports.org/
    • Excelente lista.
      Mi primer pensamiento fue: “¿Por qué no puso toda esta información en el README y la convirtió en una lista JSON fácil de scrapear?”.
      Luego pensé: “¿No podría simplemente hacer que mi amigo de IA revise el README y se encargue de todas las bajas?”.
  • Me recuerda al viejo Ironport.
    Ironport fabricaba equipos rackmount corporativos para filtrar spam y, al mismo tiempo, también fabricaba equipos rackmount corporativos para enviar spam.
    Eso arruinó su reputación.

    • Lo que arruinó la reputación de Ironport fue más bien que Cisco lo compró y luego dejó abandonado el producto mientras subía los precios al mismo tiempo.
      Antes de la adquisición era un equipo realmente excelente.
  • Me pregunto si hay empresas de protección de reputación que usen otra estrategia.
    Por cada usuario que solicita el servicio, crearían miles de identidades falsas con el mismo nombre de esa persona, pero llenas de perfiles imprecisos: casi iguales al usuario original, aunque no del todo correctos.
    Si alguien busca a esa persona, los resultados se inundan de información basura.
    Si eliminar una identidad filtrada es demasiado difícil, quizá sea mejor esconder el árbol en el bosque.

    • Un ex primer ministro del Reino Unido una vez difundió información de distracción para motores de búsqueda de una forma parecida para ocultar un escándalo suyo.
      En una entrevista dijo que su pasatiempo era pintar pequeños autobuses rojos, pero el escándalo que intentaba ocultar era una publicidad falsa y vulgar en un autobús rojo real usada en la campaña del Brexit.
    • Las empresas de gestión de reputación de hecho hacen eso.
      Normalmente se llama difusión de desinformación.
  • Mi favorito personal dentro de ese tipo de cosas como “la cumbre de internet” son los sitios que afirman que todas las personas del planeta tienen “antecedentes de arresto encontrados” y que te los muestran si pagas 49 dólares.
    Si eres la persona en cuestión, te dicen que pagues 99 dólares para borrarlo.

    • En EE. UU. en realidad vamos camino a que eso sea así.
      Hablando en serio, el modelo de negociar con ambos lados o vender protección es un negocio bastante lucrativo.
  • Hay una empresa de YC que vale la pena mencionar aquí. Presenta solicitudes de baja y, para mí, parece mucho menos sospechosa que Onerep.
    https://www.optery.com/
    No estoy vinculado; solo soy usuario.

  • Últimamente veo mucho este tipo de cosas. Quizá simplemente ahora se ve más que antes.
    Otro ejemplo son las personas que venden camisetas políticas a ambos lados de una división partidista. Muchas de ellas son agresivas u ofensivas.

    • No lo veo mal si el vendedor no afirma representar esa causa.
    • En EE. UU. siento que solo un lado compra merchandising.
      Especialmente el merchandising agresivo y ofensivo.
    • En Twitter ahora hay muchísimo spam de merchandising de ese tipo.
      La polarización y las emociones son tan altas que a menudo me pregunto cuán rentable será.
    • El mánager de Elvis también hizo esto con insignias de “I hate Elvis”.
      Aunque no es exactamente lo mismo. Aquí se está engañando deliberadamente al mercado para que compre un servicio que no necesita, y en la práctica se parece más a un negocio de extorsión.
  • Si un motor de búsqueda devuelve 0 resultados sobre mí, estoy en buen estado.
    No hay que poner información personal de forma descuidada en lugares públicos. Eso incluye un perfil de LinkedIn.
    Si eres dueño de un negocio, no he encontrado una solución, pero incluso en ese caso conviene reducir la exposición tanto como sea posible.