CEO của công ty bảo vệ dữ liệu cá nhân Onerep.com bị phát hiện đã thành lập hàng chục công ty tìm kiếm thông tin cá nhân
(krebsonsecurity.com)- Dimitri Shelest, nhà sáng lập Onerep.com, công ty bán dịch vụ xóa dữ liệu cá nhân, bị phát hiện có liên hệ với nhiều dịch vụ tìm kiếm thông tin cá nhân, làm dấy lên lo ngại lớn về độ tin cậy của dịch vụ và xung đột lợi ích
- Onerep quảng bá rằng họ có thể xóa dữ liệu cá nhân khỏi gần 200 trang tìm kiếm thông tin cá nhân, với giá từ $8.33/tháng cho cá nhân và $15/tháng cho gia đình, đồng thời cũng nhắm đến khách hàng doanh nghiệp và khu vực công
- Hồ sơ từ DomainTools và Constella Intelligence cho thấy email của Shelest, số điện thoại Belarus, cùng các domain Onerep·Nuwber·các domain tìm kiếm thông tin cá nhân theo từng quốc gia liên tục xuất hiện cùng nhau
- Trong bản cập nhật ngày 21/3, Shelest thừa nhận nắm giữ cổ phần tại Nuwber, nhưng nói rằng không có chia sẻ thông tin hay vận hành chéo với OneRep, và các domain cũ khác hiện không còn do ông vận hành
- Mozilla cho biết dịch vụ xóa dữ liệu tự động của Mozilla Monitor là đối tác với OneRep, đồng thời nói rằng họ đã được xác nhận mối quan hệ trong quá khứ đã chấm dứt, nhưng sẽ tiếp tục xem xét thêm vấn đề này
Dịch vụ của Onerep và nhóm khách hàng mục tiêu
- Onerep.com tự giới thiệu là một dịch vụ có trụ sở tại Virginia và quảng bá rằng có thể xóa thông tin cá nhân khỏi gần 200 website tìm kiếm thông tin cá nhân
- Dịch vụ “Protect” có giá từ $8.33/tháng cho cá nhân và $15/tháng cho gia đình
- Với khách hàng doanh nghiệp, công ty bán dịch vụ giúp dữ liệu của nhân viên tiếp tục được gỡ khỏi các trang tìm kiếm thông tin cá nhân
- Phần case study khách hàng trên Onerep.com có giới thiệu hợp đồng dành cho nhân viên của Permanente Medicine
- Permanente Medicine đại diện cho các bác sĩ trong Kaiser Permanente
- Onerep cũng cho biết họ đã đạt được kết quả thâm nhập vào các sở cảnh sát tại Mỹ
Mối liên kết được tạo ra từ hồ sơ domain và email
- Onerep.com giới thiệu nhà sáng lập kiêm CEO là Dimitri Shelest đến từ Minsk, Belarus, và hồ sơ LinkedIn của Shelest cũng ghi cùng thông tin đó
- Theo hồ sơ đăng ký lịch sử của DomainTools.com, Shelest xuất hiện là người đăng ký onerep.com bằng địa chỉ dmitrcox2@gmail.com
- Kết quả tìm kiếm trên Constella Intelligence liên kết tên Dimitri Shelest với các thông tin sau
-
dimitri.shelest@onerep.com
-
d.sh@nuwber.com
- số điện thoại Belarus +375-292-702786
- Nuwber.com là một dịch vụ tìm kiếm thông tin cá nhân và cũng là một trong nhiều trang mà Onerep nêu tên là mục tiêu xóa dữ liệu
- Website Onerep ghi rõ rằng “OneRep không liên quan đến Nuwber.com”
- Tuy nhiên, Constella phát hiện số điện thoại Belarus 375-292-702786 liên kết với Nuwber đã nhiều lần được dùng cùng địa chỉ dmitrcox@gmail.com
- DomainTools cho thấy comversus.com được liên kết với cả dmitrcox@gmail.com và dmitrcox2@gmail.com
- Các domain mà hai email này cùng xuất hiện trong hồ sơ WHOIS gồm careon.me, docvsdoc.com, dotcomsvdot.com, namevname.com, okanyway.com, tapanyapp.com
-
Hàng chục domain tìm kiếm thông tin cá nhân và dấu vết OneRep thời kỳ đầu
- Khi tìm dmitrcox@gmail.com trên DomainTools, kết quả cho thấy địa chỉ này liên quan đến ít nhất 179 domain đăng ký, trong đó nhiều domain từng là các công ty tìm kiếm thông tin cá nhân hiện không còn hoạt động
- Các domain này nhắm đến công dân tại nhiều quốc gia như Argentina, Brazil, Canada, Đan Mạch, Pháp, Đức, Hồng Kông, Israel, Ý, Nhật Bản, Latvia, Mexico...
- nuwber.fr được đăng ký năm 2016 vào thời điểm đó giống hệt trang chủ Nuwber.com
- Cùng email và số điện thoại Belarus đó cũng xuất hiện trong hồ sơ đăng ký cũ của nuwber.at, nuwber.ch, nuwber.dk
- Hồ sơ WHOIS cũ của onerep.com cho thấy ban đầu domain này được đăng ký cho một cư dân tại Sioux Falls, South Dakota, nhưng vào khoảng tháng 9/2015, nó được chuyển từ GoDaddy.com sang eNom và thông tin đăng ký bị ẩn sau lớp bảo vệ riêng tư
- DomainTools cũng cho thấy vào thời điểm này onerep.com bắt đầu sử dụng nameserver của nhà cung cấp DNS constellix.com
- Nuwber.com cũng xuất hiện lần đầu vào cuối năm 2015, được đăng ký qua eNom, và bắt đầu dùng DNS constellix.com gần như cùng thời điểm
- LinkedIn cho thấy Dimitri Bukuyazau từng là quản lý sản phẩm của OneRep.com giai đoạn 2015~2018
- Hồ sơ này không có mục nào về Nuwber
- Constella Intelligence tìm thấy các email nhân viên của nuwber.com là d.bu@nuwber.com, d.bu+figure-eight.com@nuwber.com, trong đó email sau được đăng ký với tên “Dzmitry”
- PrivacyDuck từng nêu ra các căn cứ cho rằng OneRep và Nuwber là cùng một công ty vào năm 2017, nhưng onerep.com bị loại trừ hoàn toàn khỏi Wayback Machine nên rất khó kiểm chứng hoạt động thời kỳ đầu
- Wayback Machine chấp nhận các yêu cầu loại trừ như vậy nếu có yêu cầu trực tiếp từ chủ sở hữu domain
Lịch sử domain rộng hơn và tranh cãi về xung đột lợi ích
- Tên, số điện thoại và email của Shelest cũng xuất hiện trong hồ sơ đăng ký của nhiều dịch vụ tìm kiếm thông tin cá nhân theo quốc gia khác
- Ví dụ: pplcrwlr.in, pplcrwlr.fr, pplcrwlr.dk, pplcrwlr.jp
- Ví dụ: peeepl.br.com, peeepl.in, peeepl.it, peeepl.co.uk
- Ví dụ: waatpp.de, waatp1.fr, azersab.com, ahavoila.com
- dmitrcox@gmail.com cũng được liên kết với một trong các email affiliate của chương trình affiliate spam nhà thuốc tiếng Nga Spamit bị rò rỉ năm 2010
- Spamit trả hoa hồng cho spammer khi thuốc tăng cường sinh lý nam được bán qua các website quảng cáo spam
- Email này không thuộc nhóm affiliate sinh lời cao
- Hồ sơ Facebook của Shelest cho biết ông sống ở Minsk và đã kết hôn; theo cập nhật ngày 16/3/2024, tài khoản đó không còn hoạt động
- Hoạt động Facebook hơn 10 năm trước có nhiều lượt thích dành cho các trang hồ sơ của nhiều website tìm kiếm thông tin cá nhân
- DomainTools cho thấy các site đó được đăng ký bằng dmitrcox@gmail.com
- Ví dụ: findita.com, findmedo.com, folkscan.com, huntize.com, ifindy.com, jupery.com
- Max Anderson, Giám đốc tăng trưởng của 360 Privacy, cho rằng việc có mối liên hệ trực tiếp giữa dịch vụ xóa dữ liệu và website môi giới dữ liệu là điều đáng lo ngại
- Anderson cho rằng việc vừa vận hành công ty bán thông tin của mọi người vừa thu phí chính những người đó để xóa thông tin là phi đạo đức
Phản hồi của Shelest và quan hệ đối tác với Mozilla Monitor
- Trong bản cập nhật ngày 21/3/2024, Shelest đã đưa ra phản hồi dài
- Ông thừa nhận vẫn giữ cổ phần sở hữu trong Nuwber
- Ông nói rằng không có “vận hành chéo hay chia sẻ thông tin nào” giữa OneRep và Nuwber
- Ông cũng cho biết các domain cũ khác có thể từng liên kết với tên mình hiện không còn do ông vận hành
- Shelest thừa nhận rằng từ bên ngoài, mối quan hệ với mảng tìm kiếm thông tin cá nhân có thể trông kỳ lạ, nhưng nói rằng nếu không có con đường khởi đầu đi sâu vào cách các website loại này vận hành thì Onerep sẽ không thể có được công nghệ và đội ngũ cho lĩnh vực này
- Ông thừa nhận trước đây đã không làm rõ mối quan hệ này tốt hơn và nói rằng sẽ làm tốt hơn trong tương lai
- Toàn bộ phản hồi được cung cấp dưới dạng PDF
- Bản cập nhật ngày 15/3/2024 bổ sung rằng Mozilla Monitor của Mozilla Foundation có cung cấp OneRep theo gói
- Mozilla Monitor được cung cấp dưới dạng dịch vụ miễn phí hoặc thuê bao trả phí
- Dịch vụ cảnh báo rò rỉ miễn phí là hợp tác với Have I Been Pwned
- Dịch vụ xóa dữ liệu tự động là đối tác với OneRep để xóa dữ liệu cá nhân khỏi các thư mục trực tuyến công khai và các trang tổng hợp thông tin
- Mozilla cho biết họ đã đánh giá việc dịch vụ xóa dữ liệu của OneRep có hoạt động phù hợp với các nguyên tắc bảo vệ quyền riêng tư của Mozilla hay không
- Mozilla nói rằng họ biết về mối quan hệ trong quá khứ được nêu trong bài viết này và đã nhận được xác nhận rằng mối quan hệ đó đã chấm dứt trước khi hai bên hợp tác
- Mozilla cho biết họ đang xem xét thêm vấn đề này và sẽ ưu tiên quyền riêng tư và an toàn của khách hàng
1 bình luận
Ý kiến trên Hacker News
Việc khá nhiều công ty quản lý danh tiếng cũng sở hữu các trang hồ sơ công khai đăng mugshot, hồ sơ tòa án, v.v. chẳng phải bí mật gì lớn
Khi bạn giao cho họ xóa thông tin khỏi internet, bạn sẽ rơi vào một vòng lặp: họ xóa ở một hai trang do chính họ vận hành, rồi lại đưa lên chỗ khác
Cuối cùng thành trò đập chuột chũi bất tận, còn kèm cả phí thuê bao hằng tháng
Họ chặn máy chủ mail chẳng vì lý do gì đáng kể, rồi bắt bạn đi qua quy trình gỡ chặn
Nếu trả tiền thì vấn đề biến mất như có phép màu, và danh sách chặn lúc nào cũng vướng chỉ có Proofpoint
Họ hút bừa bãi thông tin cá nhân trong khi bạn không thể chọn thoát, lưu giữ dù đúng hay sai, và từ chối xóa cả những dữ liệu sai rành rành
Rồi sau khi quản lý dữ liệu cẩu thả để mọi thứ rò rỉ ra ngoài, họ bảo bạn phải trả phí giám sát tín dụng suốt đời vì những thông tin không thể thay đổi đã lan đến tay kẻ xấu
Bạn đoán phần lớn các công ty giám sát tín dụng đó thuộc sở hữu của ai?
Khác biệt duy nhất là những hành vi đó là bất hợp pháp
Có lẽ nên gọi đây là mafia quyền riêng tư dữ liệu
Có nơi cấm dùng smartphone và bắt gửi điện thoại ở lối vào như gửi áo khoác
Một người bạn làm báo của tôi thường để smartphone ở nhà
Khó nói cụ thể, nhưng tôi biết một người từng phải xử lý yêu cầu xóa từ các công ty “quyền riêng tư” như vậy
Công ty quyền riêng tư đó lấy thông tin cá nhân như tên và email của người dùng, rồi gửi email đến mọi công ty họ nghĩ ra được, dù có tài khoản hay không, yêu cầu xóa tài khoản
Nhưng đây cũng là vấn đề con gà và quả trứng. Muốn yêu cầu xóa thông tin của mình thì phải cho biết thông tin nào nhận diện mình
Các công ty có động cơ làm quy trình này khó nhất có thể, nên một giải pháp dựa trên băm dữ liệu khó có khả năng tự nguyện xuất hiện; cần quy định mạnh và mức phạt cao
Cũng còn vấn đề chứng minh quyền sở hữu đối với dữ liệu bị yêu cầu xóa. Ngay cả với GDPR của EU, có thể xem là quy định bảo vệ dữ liệu cá nhân tiến bộ nhất, các công ty vẫn thường xuyên vi phạm bằng cách đòi người yêu cầu cung cấp thêm thông tin cá nhân
Các dịch vụ này thường có liên hệ với những công ty buôn bán địa chỉ email, nên khi bạn nộp email để được xóa, nó có thể bị bán cho marketer hoặc data broker
Kết cục là spam và liên hệ không mong muốn tăng lên, hoặc tùy bên mua email, quảng cáo nhắm mục tiêu cũng có thể bám theo
Có thể giả định rằng một nhà cung cấp hợp pháp sẽ kiểm tra xem công ty đó có thông tin hay không trước khi gửi yêu cầu xóa
Tất nhiên tôi có thể sai và cũng không có bằng chứng, nhưng với chỉ một mẫu thì đó là suy đoán hợp lý
Nhìn vào điều khoản, có vẻ Mozilla Monitor cũng dùng cùng dịch vụ đó. Khá nghiêm trọng
https://www.mozilla.org/en-US/about/legal/terms/subscription...
Chắc giờ đội pháp lý đã chuyển sang chế độ ứng phó sự cố
Đây là một trong những vấn đề phát sinh khi tổ chức không tự làm gì mà chuyển trách nhiệm và gánh nặng pháp lý cho đối tác bên ngoài
Nếu bạn đã giao thông tin cá nhân cho Mozilla Monitor, thông tin liên hệ pháp lý nằm trên trang điều khoản: https://www.mozilla.org/en-US/about/legal/terms/subscription...
Điều khoản đó giới hạn trách nhiệm ở mức 500 USD và cũng miễn trừ trách nhiệm cho Mozilla
Không tin một công ty đáng ngờ thì dễ, nhưng bị một cái tên lớn như Mozilla đánh lừa lại là chuyện hoàn toàn khác
Những việc như thế này có vẻ nên để một bên thứ nhất đáng tin cậy, tức là chính bản thân bạn, trực tiếp xử lý thì hơn
Danh sách cách rút khỏi các data broker: https://github.com/yaelwrites/Big-Ass-Data-Broker-Opt-Out-Li...
Hiện tôi đang dùng Optery(https://www.optery.com/), một công ty YC; nếu có vấn đề gì thì tôi muốn được biết
Vấn đề là có hơn 200 data broker, và tôi không có thời gian để xử lý tất cả
Tôi phải gọi đến call center ở Ấn Độ, vừa giữ lịch sự vừa kiên trì bám trụ, đồng thời phải nghe họ quảng bá “dịch vụ” của họ nhiều lần
Cuối cùng họ đã xóa tên tôi, nhưng nói rằng nó “có thể” xuất hiện trở lại
Đó là năm 2018, và hiện giờ khi tìm trên trang đó không thấy tên tôi. Tuy nhiên mỗi ngày tôi vẫn nhận nhiều email rác từ mylife nói rằng có “thay đổi” trong hồ sơ, gia đình và hàng xóm của tôi
Tôi tránh dùng bên thứ ba cho những việc như thế này. Như Krebs nói, không chỉ có thể tạo ra cấu trúc thông đồng/tống tiền với các data broker rác rưởi, mà một số công ty còn trả một phần phí cho data broker để xóa tên
Tôi không muốn khiến bọn này được trả tiền nhờ hoạt động đó
Nhân tiện, nhà sáng lập kiêm CEO của Mylife.com là Jeffrey Tinsley, và có vẻ ông ta đã kiếm được khá nhiều tiền từ việc kinh doanh data broker này
https://securityplanner.consumerreports.org/
Ý nghĩ đầu tiên của tôi là “tại sao lại đưa toàn bộ thông tin này vào README, mà không làm thành một danh sách JSON dễ scrape nhỉ”
Rồi tôi nghĩ “hay cứ để anh bạn AI đọc lướt README và làm toàn bộ việc rút khỏi dịch vụ hộ mình được không”
Làm tôi nhớ đến Ironport ngày xưa
Ironport làm thiết bị rackmount lọc spam cho doanh nghiệp, đồng thời cũng làm thiết bị rackmount gửi spam cho doanh nghiệp
Điều đó đã phá hỏng danh tiếng của họ
Trước khi bị mua lại, đó thực sự là một thiết bị tuyệt vời
Tôi tự hỏi liệu có công ty bảo vệ danh tiếng nào dùng chiến lược khác không
Tức là với mỗi người dùng yêu cầu dịch vụ, họ tạo ra hàng nghìn danh tính giả có cùng tên với người đó, nhưng điền bằng các hồ sơ sơ sài gần giống người dùng gốc nhưng không khớp hoàn toàn
Khi ai đó tìm kiếm người đó, kết quả sẽ bị ngập trong thông tin rác
Nếu quá khó để xóa danh tính đã bị rò rỉ, có lẽ tốt hơn là giấu cây trong rừng
Trong một cuộc phỏng vấn, ông ta nói sở thích của mình là vẽ những chiếc xe buýt đỏ nhỏ, trong khi bê bối muốn che giấu là quảng cáo sai sự thật và rẻ tiền trên chiếc xe buýt đỏ thật được dùng trong chiến dịch Brexit
Thường được gọi là phát tán thông tin sai lệch
Thứ tôi thích nhất trong nhóm kiểu “đỉnh cao của Internet” là các trang tuyên bố rằng mọi người trên Trái Đất đều có “hồ sơ bị bắt giữ được tìm thấy” và nếu trả 49 đô la thì sẽ cho xem
Nếu là chính bạn, họ bảo trả 99 đô la để xóa
Nói nghiêm túc thì mô hình làm ăn với cả hai phía hoặc bán tiền bảo kê là một ngành kinh doanh khá sinh lợi
Có một công ty YC đáng nhắc ở đây. Họ nộp yêu cầu rút khỏi dịch vụ thay bạn, và với tôi trông ít đáng ngờ hơn Onerep nhiều
https://www.optery.com/
Tôi không liên quan gì, chỉ là người dùng
Dạo này thấy nhiều chuyện như vậy. Có thể chỉ là giờ nhìn thấy rõ hơn trước
Một ví dụ khác là những người bán áo thun chính trị cho cả hai phe chia rẽ đảng phái. Trong đó có nhiều mẫu công kích hoặc khó chịu
Đặc biệt là các món công kích và khó chịu thì càng vậy
Vì tính xuyên đảng phái và cảm xúc đều quá cao, tôi thường tự hỏi lợi nhuận của nó ở mức nào
Nhưng không hoàn toàn giống. Ở đây là cố tình đánh lừa thị trường để khiến người ta mua một dịch vụ không cần thiết, về cơ bản gần với kinh doanh tống tiền
Nếu công cụ tìm kiếm trả về 0 kết quả về tôi thì đó là trạng thái ổn
Không nên tùy tiện đưa thông tin cá nhân lên nơi công khai. Kể cả hồ sơ LinkedIn cũng vậy
Nếu là chủ doanh nghiệp thì tôi chưa tìm ra giải pháp, nhưng ngay cả trong trường hợp đó cũng nên giảm mức độ lộ diện hết mức có thể