2 ポイント 投稿者 GN⁺ 2024-03-15 | 1件のコメント | WhatsAppで共有
  • 個人情報削除を販売するOnerep.comの創業者 Dimitri Shelest が、複数の人物検索サービスとつながっていたことを示す状況が明らかになり、サービスの信頼性と利益相反の問題が大きくなっている
  • Onerepは、ほぼ200件の人物検索サイトから個人情報を削除すると宣伝しており、個人向けは月 $8.33、家族向けは月 $15 からで、企業・公共部門の顧客も対象としている
  • DomainToolsとConstella Intelligenceの記録には、Shelestのメールアドレス、ベラルーシの電話番号、Onerep・Nuwber・各国向け人物検索ドメイン が繰り返し一緒に現れる
  • Shelestは3月21日の更新で Nuwberの持分保有 を認めたが、OneRepとの情報共有や交差運営はなく、古い他のドメインはもはや運営していないと述べた
  • Mozillaは、Mozilla Monitorの自動データ削除サービスが OneRep提携 であると説明し、過去の関係は終了しているとの確認を受けたが、この件をさらに調査すると述べた

Onerepのサービスと顧客対象

  • Onerep.com はバージニア拠点のサービスを名乗り、ほぼ200件の人物検索ウェブサイトから個人情報を削除すると宣伝している
  • 「Protect」サービスは、個人向け月 $8.33、家族向け月 $15 から始まる
  • 企業顧客には、従業員データが人物検索サイトから継続的に削除されるようにするサービスを販売している
  • Onerep.comの顧客事例には、Permanente Medicine の従業員向け契約が紹介されている
    • Permanente Medicineは Kaiser Permanente 内の医師を代表している
  • Onerepは、米国の警察部門でも導入実績があると述べている

ドメイン・メール記録が作ったつながり

  • Onerep.comは、創業者兼CEOをベラルーシ・ミンスク出身の Dimitri Shelest と紹介しており、Shelestの LinkedInプロフィール にも同じ情報がある
  • DomainTools.com の過去の登録記録では、Shelestが dmitrcox2@gmail.com アドレスを使った onerep.com の登録者として記載されている
  • Constella Intelligence の検索結果は、Dimitri Shelestという名前と次の情報を結び付けている
    • dimitri.shelest@onerep.com

    • d.sh@nuwber.com

      • ベラルーシの電話番号 +375-292-702786
      • Nuwber.com は人物検索サービスであり、Onerepがデータ削除対象として挙げる複数サイトの1つである
      • Onerepのウェブサイトには「OneRepはNuwber.comと関係がない」と明記されている
      • しかしConstellaは、Nuwberに結び付いたベラルーシの電話番号 375-292-702786dmitrcox@gmail.com アドレスと何度も一緒に使われていたことを見つけた
      • DomainToolsは comversus.com が dmitrcox@gmail.com と dmitrcox2@gmail.com の両方に結び付いていると表示している
      • 同じ2つのメールアドレスがWHOIS記録に一緒に現れたドメインには、careon.medocvsdoc.com、dotcomsvdot.com、namevname.com、okanyway.com、tapanyapp.com が含まれる

数十の人物検索ドメインと初期Onerepの状況

  • DomainToolsで dmitrcox@gmail.com を検索すると、少なくとも 179件のドメイン登録 に結び付いており、その多くは現在運営されていない人物検索企業だった
  • これらのドメインは、アルゼンチン、ブラジル、カナダ、デンマーク、フランス、ドイツ、香港、イスラエル、イタリア、日本、ラトビア、メキシコなど、複数の国の市民を対象としていた
  • 2016年に登録された nuwber.fr は、当時の Nuwber.comホームページ と同一だった
  • 同じメールアドレスとベラルーシの電話番号は、nuwber.atnuwber.chnuwber.dk の過去の登録記録にも現れる
  • onerep.comの過去のWHOIS記録では、当初はサウスダコタ州Sioux Falls在住者に登録されていたが、2015年9月前後 にGoDaddy.comからeNomへ移管され、登録情報はプライバシー保護の背後に隠された
  • この頃、onerep.comはDNSプロバイダ constellix.com のネームサーバーを使い始めたことがDomainToolsに示されている
  • Nuwber.com も2015年末に初めて登場し、eNom経由で登録され、ほぼ同じ時期に constellix.com のDNSを使い始めた
  • LinkedInでは、Dimitri Bukuyazau が2015〜2018年にOneRep.comのプロダクトマネージャーだったと表示されている
    • このプロフィールにはNuwberの記載はない
    • Constella Intelligenceは、nuwber.comの従業員メールとして d.bu@nuwber.comd.bu+figure-eight.com@nuwber.com を見つけており、後者は「Dzmitry」という名前で登録されていた
  • PrivacyDuckは2017年にOneRepとNuwberが同じ会社であるとみなす根拠を示したが、onerep.comはWayback Machineから完全に除外されており、初期の動作を容易に検証することは難しい
    • Wayback Machineは、ドメイン所有者からの直接要請があった場合、このような除外要請を受け入れる

より広いドメイン履歴と利益相反論争

  • Shelestの名前、電話番号、メールアドレスは、多数の国別人物検索サービスの登録記録にも現れる
  • dmitrcox@gmail.com は、2010年に流出したロシア語圏の薬局スパム提携プログラム Spamit の提携メールの1つとも結び付いていた
    • Spamitは、スパム広告サイトで男性機能改善薬が売れた際にスパマーへ手数料を支払っていた
    • 当該メールアドレスは、収益性の高い提携者ではなかった
  • ShelestのFacebookプロフィールはミンスク在住と既婚を示しており、2024年3月16日の更新によれば、そのアカウントはもはやアクティブではない
  • 10年以上前のFacebook活動には、多数の人物検索サイトのプロフィールページへの「いいね」があった
  • 360 Privacyの最高成長責任者 Max Anderson は、データ削除サービスとデータブローカーのウェブサイトの間に直接のつながりがあるのは懸念されると述べた
  • Andersonは、人々の情報を販売する会社を運営しながら、同じ人々に情報削除の費用を請求するのは非倫理的だと見ている

Shelestの回答とMozilla Monitor提携

  • 2024年3月21日の更新 で、Shelestは長文の回答を提供した
    • Nuwberに対する所有持分を維持していることを認めた
    • OneRepとの「交差運営や情報共有は一切ない」と述べた
    • 自身の名前と結び付けられうる古い他のドメインは、もはや自分が運営していないと話した
  • Shelestは、人物検索事業との関係が外部から奇妙に見えるかもしれない点を認めつつ、人物検索サイトの仕組みに深く入り込む初期ルートがなければ、Onerepはこの分野の技術やチームを持てなかっただろうと述べた
  • 過去にこの関係をより明確にできなかったことを認め、今後はよりよく対応すると述べた
  • 全文の回答は PDF で提供されている
  • 2024年3月15日の更新 では、Mozilla Foundationの Mozilla Monitor がOneRepをバンドル提供している内容が追加された
    • Mozilla Monitorは無料または有料のサブスクリプションサービスとして提供される
    • 無料の侵害通知サービスは Have I Been Pwned との提携である
    • 自動データ削除サービスは、公開オンラインディレクトリや情報集約サイトから個人情報を削除するための OneRep提携 である
  • Mozillaは、OneRepのデータ削除サービスがMozillaのプライバシー保護原則に従って動作するかを評価したと述べた
  • Mozillaは、この記事で言及された過去の関係を把握しており、協業前に終了していたとの確認を受けたと述べた
  • Mozillaは、この件をさらに調査しており、顧客のプライバシーとセキュリティを優先すると述べた

1件のコメント

 
GN⁺ 2024-03-15
Hacker News のコメント
  • 評判管理業者のかなり多くが、マグショットや裁判記録などを公開する公的記録サイトも併せて所有しているというのは、別に大した秘密でもない
    インターネット上の情報を削除してほしいと依頼すると、彼らが運営するサイトの1つか2つからは消してくれるが、別の場所にはまた掲載されるという循環にはまる
    結局、月額購読料まで付いた終わりのないモグラたたきになる

    • 関連して、Proofpointも悪名高い
      特に理由もなくメールサーバーをブロックしておいて、ブロック解除の手続きを踏ませる
      お金を払うと問題が魔法のように消え、いつも引っかかるブロックリストは Proofpoint だけだった
    • これは恐喝ビジネス
    • 信用情報機関がまさにこんな感じ
      オプトアウトもできない状態で個人情報を手当たり次第に吸い上げ、正確かどうかに関係なく保管し、明らかに誤ったデータの削除も拒否する
      そのうえデータをずさんに管理してすべて世の中に流出させた後、変更できない情報が悪人たちに広まったのだから、一生信用監視の費用を払えと言ってくる
      その信用監視業者の大半を誰が所有しているのだろうか
    • 窓修理業者が窓を割ったり、タイヤ販売業者が道路に釘の箱をまいたりするのとよく似ている
      違いは、そうした行為は違法だという点だけ
      これはデータプライバシー・マフィアと呼んでもよさそうだ
    • 現代の教訓は明確だ。プライバシーが欲しいなら、デジタルな形で残してはいけない
      場所によってはスマートフォンの使用を禁止し、入口でコートを預けるように携帯電話を預けさせる
      記者の友人の1人は、スマートフォンを家に置いて出かけることが多い
  • 具体的には言いにくいが、こうした「プライバシー」企業からの削除リクエストを処理しなければならなかった人を知っている
    そのプライバシー企業は、ユーザーの名前やメールアドレスのような個人情報を持ってきて、アカウントがあるかどうかに関係なく、思いつく限りの企業にメールで送り、アカウントの削除を依頼していた

    • こうしたサービスが善意で運営されており、積極的なデータ収集詐欺でなかったとしても、実際には得より損のほうが大きいのではないかと疑っていた
      ただ、これは鶏と卵の問題でもある。自分の情報を消してほしいと言うには、どの情報が自分を識別するのかを知らせなければならないからだ
      企業にはこの手続きをできるだけ難しくするインセンティブがあるため、データハッシュに基づく解決策が自発的に出てくる可能性は低く、強い規制と高額な罰金が必要だ
      削除リクエストの対象データの所有権を証明する問題もある。最も先進的な個人情報保護規制と言えるEUのGDPRでさえ、企業はリクエスト者にさらに多くの個人情報を要求し、これを日常的に破っている
    • Dropbox のようなプラットフォームで情報を消すためにこうした「delete me」サービスを使うと、隠れた落とし穴がある
      こうしたサービスはメールアドレスを取引する企業とつながっていることが多く、削除のためにメールアドレスを提出した結果、マーケターやデータブローカーに売られる可能性がある
      結局、スパムや望まない連絡が増えたり、メールアドレスを買った側によってはターゲティング広告が付いて回ったりすることもある
    • 悪魔の代弁をすれば、サンプル1件は単なるデータポイントにすぎず、全体像ではないことが多い
      正規の業者であれば、削除リクエストを送る前に、その企業に情報があるかどうか確認できると仮定することはできる
      もちろん間違っているかもしれないし証拠もないが、サンプル1件分としてはそれなりにあり得る推測だ
  • 利用規約を見ると、Mozilla Monitorも同じサービスを使っているように見える。かなり深刻だ
    https://www.mozilla.org/en-US/about/legal/terms/subscription...

    • これは Mozilla Corporation のデューデリジェンス不足だと思う
      今ごろ法務チームはインシデント対応モードに入っているのではないか
      組織が自ら何もしないで、外部パートナーに責任と法的負担を押し付けるときに起きる問題の1つだ
      Mozilla Monitor に個人情報を預けたなら、法務窓口は利用規約ページにある: https://www.mozilla.org/en-US/about/legal/terms/subscription...
      その規約は責任上限を500ドルに制限し、Mozilla に免責も与えている
    • ここでより大きな話は、おそらくこの点だ
      怪しい業者を信じないのは簡単だが、Mozillaのような大きな名前にだまされるのはまったく別の問題だ
  • こういうことは、信頼できる一次当事者、つまり本人が直接対応するほうがよさそう
    データブローカーからのオプトアウト方法一覧: https://github.com/yaelwrites/Big-Ass-Data-Broker-Opt-Out-Li...

    • Onerepを使っていたが、怪しいという話を聞いてやめた
      今はYC企業のOptery(https://www.optery.com/)を使っているが、問題があるなら聞きたい
      問題はデータブローカーが200社以上あり、それら全部を相手にする時間がないこと
    • この方法をガイドに従って自分で試してみたが、最悪クラスの底辺業者の一つであるmylife.comには確かに効果があった
      インドのコールセンターに電話しなければならず、礼儀を保ちながら粘り強く耐え、彼らの「サービス」の売り込みを何度も聞かされた
      最終的に名前は消してくれたが、また表示される「かもしれない」と言われた
      それは2018年のことで、今はサイト検索に自分の名前は出てこない。ただし、自分のプロフィール、家族、近所の人に「変更」があったというmylifeのゴミメールは、今でも1日に何通も届く
      こういうことでは第三者を避けている。Krebsが言ったように、ゴミのようなデータブローカーと恐喝構造を作れるだけでなく、一部の業者は手数料の一部をデータブローカーに支払って名前を消しているから
      こういう連中がその活動で金を受け取るようにはしたくない
      ちなみにMylife.comの創業者兼CEOはJeffrey Tinsleyで、このデータブローカー商売でかなり大金を稼いだようだ
    • このリストの作成者が宣伝しているサービスを使ったことがある人がいるのか気になる。興味深く、有用そうに見える
      https://securityplanner.consumerreports.org/
    • すばらしいリスト
      最初に思ったのは「なぜこの情報を全部READMEに入れて、スクレイピングしやすいJSONリストにしなかったのだろう」だった
      その次に「AIの友人にREADMEをざっと読ませて、オプトアウト作業を全部やらせられるのでは」と思った
  • 昔のIronportを思い出す
    Ironportは企業向けラックマウント型スパムフィルタリング機器を作っていて、同時に企業向けラックマウント型スパム送信機器も作っていた
    それが評判を壊した

    • Ironportの評判を壊したのは、Ciscoが買収したあと製品を放置しつつ同時に価格を上げたことのほうが大きい
      買収前は本当にすばらしい機器だった
  • 評判保護会社の中に、別の戦略を使っているところがあるのか気になる
    サービスを依頼したユーザーごとに、その人と同じ名前の偽の身元を何千個も作り、元のユーザーとほとんど似ているが完全には一致しない雑なプロフィールで埋める方式
    誰かがその人を検索すると、結果がゴミ情報であふれる
    流出した身元情報を削除するのが難しすぎるなら、森の中に木を隠すほうがよいかもしれない

    • 元英国首相が自分のスキャンダルを隠すために、似たような検索エンジン攪乱情報を流したことがある
      あるインタビューで趣味は小さな赤いバスを描くことだと話したが、隠そうとしていたスキャンダルは、Brexitキャンペーンで使われた本物の赤いバスの虚偽で低俗な広告だった
    • 評判管理会社は実際にそうしている
      普通は偽情報の拡散と呼ぶ
  • 「インターネットの極み」みたいな類いで個人的にいちばん好きなのは、地球上の全員について「逮捕記録が見つかりました」と主張し、49ドル払えば見せるというサイト
    本人なら99ドル払って削除しろと言う

    • 米国では実際にそうなる道を進んではいる
      真面目に言うと、両側と取引したり、みかじめ料を売るモデルはかなり収益性の高いビジネス
  • ここで言及に値するYC企業が一つある。オプトアウト要求を提出してくれて、私にはOnerepよりずっと怪しくなさそうに見える
    https://www.optery.com/
    関係者ではなく、ただのユーザー

  • 最近こういうことをよく見かける。もしかすると以前より見えやすくなっただけかもしれない
    別の例として、党派的に分かれた両陣営に政治Tシャツを売る人たちがいる。その中には攻撃的だったり不快だったりするものも多い

    • 販売者が自分がその大義を代表していると主張していないなら、悪いとは思わない
    • 米国では片側だけがグッズを買っているように感じる
      特に攻撃的で不快なグッズはなおさら
    • Twitterにはそういうグッズスパムが今本当にあふれている
      超党派性と感情の高まりがあまりに大きいので、どれくらい儲かっているのかよく気になる
    • Elvisのマネージャーも「I hate Elvis」バッジでこういうことをしていた
      ただし完全に同じではない。ここでは必要のないサービスを買うよう市場を意図的にだましており、実質的に恐喝ビジネスに近い
  • 検索エンジンが自分について0件を返すなら、悪くない状態
    個人情報を不用意に公開の場に載せるべきではない。LinkedInプロフィールも含む
    事業主なら解決策は見つけられていないが、その場合でも露出はできるだけ減らすほうがよい