2 điểm bởi GN⁺ 2024-03-15 | 1 bình luận | Chia sẻ qua WhatsApp
  • Dimitri Shelest, nhà sáng lập Onerep.com, công ty bán dịch vụ xóa dữ liệu cá nhân, bị phát hiện có liên hệ với nhiều dịch vụ tìm kiếm thông tin cá nhân, làm dấy lên lo ngại lớn về độ tin cậy của dịch vụ và xung đột lợi ích
  • Onerep quảng bá rằng họ có thể xóa dữ liệu cá nhân khỏi gần 200 trang tìm kiếm thông tin cá nhân, với giá từ $8.33/tháng cho cá nhân và $15/tháng cho gia đình, đồng thời cũng nhắm đến khách hàng doanh nghiệp và khu vực công
  • Hồ sơ từ DomainTools và Constella Intelligence cho thấy email của Shelest, số điện thoại Belarus, cùng các domain Onerep·Nuwber·các domain tìm kiếm thông tin cá nhân theo từng quốc gia liên tục xuất hiện cùng nhau
  • Trong bản cập nhật ngày 21/3, Shelest thừa nhận nắm giữ cổ phần tại Nuwber, nhưng nói rằng không có chia sẻ thông tin hay vận hành chéo với OneRep, và các domain cũ khác hiện không còn do ông vận hành
  • Mozilla cho biết dịch vụ xóa dữ liệu tự động của Mozilla Monitor là đối tác với OneRep, đồng thời nói rằng họ đã được xác nhận mối quan hệ trong quá khứ đã chấm dứt, nhưng sẽ tiếp tục xem xét thêm vấn đề này

Dịch vụ của Onerep và nhóm khách hàng mục tiêu

  • Onerep.com tự giới thiệu là một dịch vụ có trụ sở tại Virginia và quảng bá rằng có thể xóa thông tin cá nhân khỏi gần 200 website tìm kiếm thông tin cá nhân
  • Dịch vụ “Protect” có giá từ $8.33/tháng cho cá nhân và $15/tháng cho gia đình
  • Với khách hàng doanh nghiệp, công ty bán dịch vụ giúp dữ liệu của nhân viên tiếp tục được gỡ khỏi các trang tìm kiếm thông tin cá nhân
  • Phần case study khách hàng trên Onerep.com có giới thiệu hợp đồng dành cho nhân viên của Permanente Medicine
    • Permanente Medicine đại diện cho các bác sĩ trong Kaiser Permanente
  • Onerep cũng cho biết họ đã đạt được kết quả thâm nhập vào các sở cảnh sát tại Mỹ

Mối liên kết được tạo ra từ hồ sơ domain và email

  • Onerep.com giới thiệu nhà sáng lập kiêm CEO là Dimitri Shelest đến từ Minsk, Belarus, và hồ sơ LinkedIn của Shelest cũng ghi cùng thông tin đó
  • Theo hồ sơ đăng ký lịch sử của DomainTools.com, Shelest xuất hiện là người đăng ký onerep.com bằng địa chỉ dmitrcox2@gmail.com
  • Kết quả tìm kiếm trên Constella Intelligence liên kết tên Dimitri Shelest với các thông tin sau
    • dimitri.shelest@onerep.com

    • d.sh@nuwber.com

      • số điện thoại Belarus +375-292-702786
      • Nuwber.com là một dịch vụ tìm kiếm thông tin cá nhân và cũng là một trong nhiều trang mà Onerep nêu tên là mục tiêu xóa dữ liệu
      • Website Onerep ghi rõ rằng “OneRep không liên quan đến Nuwber.com”
      • Tuy nhiên, Constella phát hiện số điện thoại Belarus 375-292-702786 liên kết với Nuwber đã nhiều lần được dùng cùng địa chỉ dmitrcox@gmail.com
      • DomainTools cho thấy comversus.com được liên kết với cả dmitrcox@gmail.com và dmitrcox2@gmail.com
      • Các domain mà hai email này cùng xuất hiện trong hồ sơ WHOIS gồm careon.me, docvsdoc.com, dotcomsvdot.com, namevname.com, okanyway.com, tapanyapp.com

Hàng chục domain tìm kiếm thông tin cá nhân và dấu vết OneRep thời kỳ đầu

  • Khi tìm dmitrcox@gmail.com trên DomainTools, kết quả cho thấy địa chỉ này liên quan đến ít nhất 179 domain đăng ký, trong đó nhiều domain từng là các công ty tìm kiếm thông tin cá nhân hiện không còn hoạt động
  • Các domain này nhắm đến công dân tại nhiều quốc gia như Argentina, Brazil, Canada, Đan Mạch, Pháp, Đức, Hồng Kông, Israel, Ý, Nhật Bản, Latvia, Mexico...
  • nuwber.fr được đăng ký năm 2016 vào thời điểm đó giống hệt trang chủ Nuwber.com
  • Cùng email và số điện thoại Belarus đó cũng xuất hiện trong hồ sơ đăng ký cũ của nuwber.at, nuwber.ch, nuwber.dk
  • Hồ sơ WHOIS cũ của onerep.com cho thấy ban đầu domain này được đăng ký cho một cư dân tại Sioux Falls, South Dakota, nhưng vào khoảng tháng 9/2015, nó được chuyển từ GoDaddy.com sang eNom và thông tin đăng ký bị ẩn sau lớp bảo vệ riêng tư
  • DomainTools cũng cho thấy vào thời điểm này onerep.com bắt đầu sử dụng nameserver của nhà cung cấp DNS constellix.com
  • Nuwber.com cũng xuất hiện lần đầu vào cuối năm 2015, được đăng ký qua eNom, và bắt đầu dùng DNS constellix.com gần như cùng thời điểm
  • LinkedIn cho thấy Dimitri Bukuyazau từng là quản lý sản phẩm của OneRep.com giai đoạn 2015~2018
    • Hồ sơ này không có mục nào về Nuwber
    • Constella Intelligence tìm thấy các email nhân viên của nuwber.com là d.bu@nuwber.com, d.bu+figure-eight.com@nuwber.com, trong đó email sau được đăng ký với tên “Dzmitry”
  • PrivacyDuck từng nêu ra các căn cứ cho rằng OneRep và Nuwber là cùng một công ty vào năm 2017, nhưng onerep.com bị loại trừ hoàn toàn khỏi Wayback Machine nên rất khó kiểm chứng hoạt động thời kỳ đầu
    • Wayback Machine chấp nhận các yêu cầu loại trừ như vậy nếu có yêu cầu trực tiếp từ chủ sở hữu domain

Lịch sử domain rộng hơn và tranh cãi về xung đột lợi ích

  • Tên, số điện thoại và email của Shelest cũng xuất hiện trong hồ sơ đăng ký của nhiều dịch vụ tìm kiếm thông tin cá nhân theo quốc gia khác
  • dmitrcox@gmail.com cũng được liên kết với một trong các email affiliate của chương trình affiliate spam nhà thuốc tiếng Nga Spamit bị rò rỉ năm 2010
    • Spamit trả hoa hồng cho spammer khi thuốc tăng cường sinh lý nam được bán qua các website quảng cáo spam
    • Email này không thuộc nhóm affiliate sinh lời cao
  • Hồ sơ Facebook của Shelest cho biết ông sống ở Minsk và đã kết hôn; theo cập nhật ngày 16/3/2024, tài khoản đó không còn hoạt động
  • Hoạt động Facebook hơn 10 năm trước có nhiều lượt thích dành cho các trang hồ sơ của nhiều website tìm kiếm thông tin cá nhân
  • Max Anderson, Giám đốc tăng trưởng của 360 Privacy, cho rằng việc có mối liên hệ trực tiếp giữa dịch vụ xóa dữ liệu và website môi giới dữ liệu là điều đáng lo ngại
  • Anderson cho rằng việc vừa vận hành công ty bán thông tin của mọi người vừa thu phí chính những người đó để xóa thông tin là phi đạo đức

Phản hồi của Shelest và quan hệ đối tác với Mozilla Monitor

  • Trong bản cập nhật ngày 21/3/2024, Shelest đã đưa ra phản hồi dài
    • Ông thừa nhận vẫn giữ cổ phần sở hữu trong Nuwber
    • Ông nói rằng không có “vận hành chéo hay chia sẻ thông tin nào” giữa OneRep và Nuwber
    • Ông cũng cho biết các domain cũ khác có thể từng liên kết với tên mình hiện không còn do ông vận hành
  • Shelest thừa nhận rằng từ bên ngoài, mối quan hệ với mảng tìm kiếm thông tin cá nhân có thể trông kỳ lạ, nhưng nói rằng nếu không có con đường khởi đầu đi sâu vào cách các website loại này vận hành thì Onerep sẽ không thể có được công nghệ và đội ngũ cho lĩnh vực này
  • Ông thừa nhận trước đây đã không làm rõ mối quan hệ này tốt hơn và nói rằng sẽ làm tốt hơn trong tương lai
  • Toàn bộ phản hồi được cung cấp dưới dạng PDF
  • Bản cập nhật ngày 15/3/2024 bổ sung rằng Mozilla Monitor của Mozilla Foundation có cung cấp OneRep theo gói
    • Mozilla Monitor được cung cấp dưới dạng dịch vụ miễn phí hoặc thuê bao trả phí
    • Dịch vụ cảnh báo rò rỉ miễn phí là hợp tác với Have I Been Pwned
    • Dịch vụ xóa dữ liệu tự động là đối tác với OneRep để xóa dữ liệu cá nhân khỏi các thư mục trực tuyến công khai và các trang tổng hợp thông tin
  • Mozilla cho biết họ đã đánh giá việc dịch vụ xóa dữ liệu của OneRep có hoạt động phù hợp với các nguyên tắc bảo vệ quyền riêng tư của Mozilla hay không
  • Mozilla nói rằng họ biết về mối quan hệ trong quá khứ được nêu trong bài viết này và đã nhận được xác nhận rằng mối quan hệ đó đã chấm dứt trước khi hai bên hợp tác
  • Mozilla cho biết họ đang xem xét thêm vấn đề này và sẽ ưu tiên quyền riêng tư và an toàn của khách hàng

1 bình luận

 
GN⁺ 2024-03-15
Ý kiến trên Hacker News
  • Việc khá nhiều công ty quản lý danh tiếng cũng sở hữu các trang hồ sơ công khai đăng mugshot, hồ sơ tòa án, v.v. chẳng phải bí mật gì lớn
    Khi bạn giao cho họ xóa thông tin khỏi internet, bạn sẽ rơi vào một vòng lặp: họ xóa ở một hai trang do chính họ vận hành, rồi lại đưa lên chỗ khác
    Cuối cùng thành trò đập chuột chũi bất tận, còn kèm cả phí thuê bao hằng tháng

    • Liên quan đến chuyện này, Proofpoint cũng khét tiếng
      Họ chặn máy chủ mail chẳng vì lý do gì đáng kể, rồi bắt bạn đi qua quy trình gỡ chặn
      Nếu trả tiền thì vấn đề biến mất như có phép màu, và danh sách chặn lúc nào cũng vướng chỉ có Proofpoint
    • Đây là mô hình kinh doanh tống tiền
    • Các cơ quan chấm điểm tín dụng cũng cho cảm giác y hệt
      Họ hút bừa bãi thông tin cá nhân trong khi bạn không thể chọn thoát, lưu giữ dù đúng hay sai, và từ chối xóa cả những dữ liệu sai rành rành
      Rồi sau khi quản lý dữ liệu cẩu thả để mọi thứ rò rỉ ra ngoài, họ bảo bạn phải trả phí giám sát tín dụng suốt đời vì những thông tin không thể thay đổi đã lan đến tay kẻ xấu
      Bạn đoán phần lớn các công ty giám sát tín dụng đó thuộc sở hữu của ai?
    • Quá giống thợ sửa cửa sổ đi đập cửa sổ, hay người bán lốp xe rải hộp đinh ra đường
      Khác biệt duy nhất là những hành vi đó là bất hợp pháp
      Có lẽ nên gọi đây là mafia quyền riêng tư dữ liệu
    • Bài học thời hiện đại rất rõ: nếu muốn có quyền riêng tư thì đừng để lại dưới dạng kỹ thuật số
      Có nơi cấm dùng smartphone và bắt gửi điện thoại ở lối vào như gửi áo khoác
      Một người bạn làm báo của tôi thường để smartphone ở nhà
  • Khó nói cụ thể, nhưng tôi biết một người từng phải xử lý yêu cầu xóa từ các công ty “quyền riêng tư” như vậy
    Công ty quyền riêng tư đó lấy thông tin cá nhân như tên và email của người dùng, rồi gửi email đến mọi công ty họ nghĩ ra được, dù có tài khoản hay không, yêu cầu xóa tài khoản

    • Tôi từng nghi ngờ rằng ngay cả khi các dịch vụ này được vận hành với thiện ý và không phải trò lừa đảo thu thập dữ liệu chủ động, trên thực tế chúng vẫn có thể gây hại nhiều hơn lợi
      Nhưng đây cũng là vấn đề con gà và quả trứng. Muốn yêu cầu xóa thông tin của mình thì phải cho biết thông tin nào nhận diện mình
      Các công ty có động cơ làm quy trình này khó nhất có thể, nên một giải pháp dựa trên băm dữ liệu khó có khả năng tự nguyện xuất hiện; cần quy định mạnh và mức phạt cao
      Cũng còn vấn đề chứng minh quyền sở hữu đối với dữ liệu bị yêu cầu xóa. Ngay cả với GDPR của EU, có thể xem là quy định bảo vệ dữ liệu cá nhân tiến bộ nhất, các công ty vẫn thường xuyên vi phạm bằng cách đòi người yêu cầu cung cấp thêm thông tin cá nhân
    • Nếu dùng các dịch vụ “delete me” kiểu này để xóa thông tin trên những nền tảng như Dropbox thì có một cạm bẫy ẩn
      Các dịch vụ này thường có liên hệ với những công ty buôn bán địa chỉ email, nên khi bạn nộp email để được xóa, nó có thể bị bán cho marketer hoặc data broker
      Kết cục là spam và liên hệ không mong muốn tăng lên, hoặc tùy bên mua email, quảng cáo nhắm mục tiêu cũng có thể bám theo
    • Nếu đóng vai người biện hộ cho quỷ dữ, một mẫu duy nhất thường chỉ là một điểm dữ liệu chứ không phải toàn bộ câu chuyện
      Có thể giả định rằng một nhà cung cấp hợp pháp sẽ kiểm tra xem công ty đó có thông tin hay không trước khi gửi yêu cầu xóa
      Tất nhiên tôi có thể sai và cũng không có bằng chứng, nhưng với chỉ một mẫu thì đó là suy đoán hợp lý
  • Nhìn vào điều khoản, có vẻ Mozilla Monitor cũng dùng cùng dịch vụ đó. Khá nghiêm trọng
    https://www.mozilla.org/en-US/about/legal/terms/subscription...

    • Tôi xem đây là thất bại trong thẩm định của Mozilla Corporation
      Chắc giờ đội pháp lý đã chuyển sang chế độ ứng phó sự cố
      Đây là một trong những vấn đề phát sinh khi tổ chức không tự làm gì mà chuyển trách nhiệm và gánh nặng pháp lý cho đối tác bên ngoài
      Nếu bạn đã giao thông tin cá nhân cho Mozilla Monitor, thông tin liên hệ pháp lý nằm trên trang điều khoản: https://www.mozilla.org/en-US/about/legal/terms/subscription...
      Điều khoản đó giới hạn trách nhiệm ở mức 500 USD và cũng miễn trừ trách nhiệm cho Mozilla
    • Câu chuyện lớn hơn ở đây có lẽ là phần này
      Không tin một công ty đáng ngờ thì dễ, nhưng bị một cái tên lớn như Mozilla đánh lừa lại là chuyện hoàn toàn khác
  • Những việc như thế này có vẻ nên để một bên thứ nhất đáng tin cậy, tức là chính bản thân bạn, trực tiếp xử lý thì hơn
    Danh sách cách rút khỏi các data broker: https://github.com/yaelwrites/Big-Ass-Data-Broker-Opt-Out-Li...

    • Tôi từng dùng Onerep nhưng nghe nói đáng ngờ nên đã bỏ
      Hiện tôi đang dùng Optery(https://www.optery.com/), một công ty YC; nếu có vấn đề gì thì tôi muốn được biết
      Vấn đề là có hơn 200 data broker, và tôi không có thời gian để xử lý tất cả
    • Tôi đã tự làm theo cách này bằng một hướng dẫn, và nó chắc chắn có hiệu quả với mylife.com, một trong những công ty đáy xã hội tệ nhất
      Tôi phải gọi đến call center ở Ấn Độ, vừa giữ lịch sự vừa kiên trì bám trụ, đồng thời phải nghe họ quảng bá “dịch vụ” của họ nhiều lần
      Cuối cùng họ đã xóa tên tôi, nhưng nói rằng nó “có thể” xuất hiện trở lại
      Đó là năm 2018, và hiện giờ khi tìm trên trang đó không thấy tên tôi. Tuy nhiên mỗi ngày tôi vẫn nhận nhiều email rác từ mylife nói rằng có “thay đổi” trong hồ sơ, gia đình và hàng xóm của tôi
      Tôi tránh dùng bên thứ ba cho những việc như thế này. Như Krebs nói, không chỉ có thể tạo ra cấu trúc thông đồng/tống tiền với các data broker rác rưởi, mà một số công ty còn trả một phần phí cho data broker để xóa tên
      Tôi không muốn khiến bọn này được trả tiền nhờ hoạt động đó
      Nhân tiện, nhà sáng lập kiêm CEO của Mylife.com là Jeffrey Tinsley, và có vẻ ông ta đã kiếm được khá nhiều tiền từ việc kinh doanh data broker này
    • Tôi tò mò không biết có ai từng dùng dịch vụ mà người lập danh sách này quảng cáo chưa. Trông khá thú vị và hữu ích
      https://securityplanner.consumerreports.org/
    • Danh sách rất hay
      Ý nghĩ đầu tiên của tôi là “tại sao lại đưa toàn bộ thông tin này vào README, mà không làm thành một danh sách JSON dễ scrape nhỉ”
      Rồi tôi nghĩ “hay cứ để anh bạn AI đọc lướt README và làm toàn bộ việc rút khỏi dịch vụ hộ mình được không”
  • Làm tôi nhớ đến Ironport ngày xưa
    Ironport làm thiết bị rackmount lọc spam cho doanh nghiệp, đồng thời cũng làm thiết bị rackmount gửi spam cho doanh nghiệp
    Điều đó đã phá hỏng danh tiếng của họ

    • Thứ phá hỏng danh tiếng của Ironport có lẽ đúng hơn là việc sau khi Cisco mua lại, họ bỏ bê sản phẩm đồng thời tăng giá
      Trước khi bị mua lại, đó thực sự là một thiết bị tuyệt vời
  • Tôi tự hỏi liệu có công ty bảo vệ danh tiếng nào dùng chiến lược khác không
    Tức là với mỗi người dùng yêu cầu dịch vụ, họ tạo ra hàng nghìn danh tính giả có cùng tên với người đó, nhưng điền bằng các hồ sơ sơ sài gần giống người dùng gốc nhưng không khớp hoàn toàn
    Khi ai đó tìm kiếm người đó, kết quả sẽ bị ngập trong thông tin rác
    Nếu quá khó để xóa danh tính đã bị rò rỉ, có lẽ tốt hơn là giấu cây trong rừng

    • Một cựu thủ tướng Anh từng rải thông tin gây nhiễu công cụ tìm kiếm theo cách tương tự để che giấu bê bối của mình
      Trong một cuộc phỏng vấn, ông ta nói sở thích của mình là vẽ những chiếc xe buýt đỏ nhỏ, trong khi bê bối muốn che giấu là quảng cáo sai sự thật và rẻ tiền trên chiếc xe buýt đỏ thật được dùng trong chiến dịch Brexit
    • Các công ty quản lý danh tiếng thực sự làm như vậy
      Thường được gọi là phát tán thông tin sai lệch
  • Thứ tôi thích nhất trong nhóm kiểu “đỉnh cao của Internet” là các trang tuyên bố rằng mọi người trên Trái Đất đều có “hồ sơ bị bắt giữ được tìm thấy” và nếu trả 49 đô la thì sẽ cho xem
    Nếu là chính bạn, họ bảo trả 99 đô la để xóa

    • Ở Mỹ thì thực ra chúng ta cũng đang trên con đường dẫn đến chuyện đó
      Nói nghiêm túc thì mô hình làm ăn với cả hai phía hoặc bán tiền bảo kê là một ngành kinh doanh khá sinh lợi
  • Có một công ty YC đáng nhắc ở đây. Họ nộp yêu cầu rút khỏi dịch vụ thay bạn, và với tôi trông ít đáng ngờ hơn Onerep nhiều
    https://www.optery.com/
    Tôi không liên quan gì, chỉ là người dùng

  • Dạo này thấy nhiều chuyện như vậy. Có thể chỉ là giờ nhìn thấy rõ hơn trước
    Một ví dụ khác là những người bán áo thun chính trị cho cả hai phe chia rẽ đảng phái. Trong đó có nhiều mẫu công kích hoặc khó chịu

    • Nếu người bán không tuyên bố rằng họ đại diện cho chính nghĩa đó, tôi không thấy là xấu
    • Ở Mỹ, tôi có cảm giác chỉ một bên mới mua hàng lưu niệm/đồ ủng hộ
      Đặc biệt là các món công kích và khó chịu thì càng vậy
    • Trên Twitter, spam bán đồ merch kiểu đó hiện thực sự tràn lan
      Vì tính xuyên đảng phái và cảm xúc đều quá cao, tôi thường tự hỏi lợi nhuận của nó ở mức nào
    • Quản lý của Elvis cũng từng làm chuyện này với huy hiệu “I hate Elvis”
      Nhưng không hoàn toàn giống. Ở đây là cố tình đánh lừa thị trường để khiến người ta mua một dịch vụ không cần thiết, về cơ bản gần với kinh doanh tống tiền
  • Nếu công cụ tìm kiếm trả về 0 kết quả về tôi thì đó là trạng thái ổn
    Không nên tùy tiện đưa thông tin cá nhân lên nơi công khai. Kể cả hồ sơ LinkedIn cũng vậy
    Nếu là chủ doanh nghiệp thì tôi chưa tìm ra giải pháp, nhưng ngay cả trong trường hợp đó cũng nên giảm mức độ lộ diện hết mức có thể