モジラ、CEOが人物検索ネットワークの運営を認めた後にOnerepを打ち切り
(krebsonsecurity.com)- Firefoxに最近組み込まれた Onerep提携 が、CEOの利益相反を巡る論争の直後に縮小・終了手続きに入り、Mozilla Monitor Plusの信頼性への懸念が高まる
- Onerepは数百の人物検索サイトから利用者情報を削除する有料サービスだったが、創業者 Dimitiri Shelest がデータブローカー Nuwber の持分を維持していた
- ShelestはNuwberとOnerepの間で情報共有やクロス運営はないと否定したが、個人情報削除サービスを販売しながら人物検索事業とつながっていた点が核心的な争点となった
- Mozillaは顧客データが危険にさらされたことはないとした一方、CEOの外部の財務上の利害関係と活動が自社の価値観に合わないとして、移行計画 を準備中としている
- 今回の事例は、データブローカーと人物検索業界が公的記録・政府記録の例外を活用して成長する構造を示し、消費者データ保護とプライバシー規制を巡る議論を強めている
Mozilla Monitor PlusからOnerepを除外
- Firefoxを支援する非営利組織Mozillaは、身元保護サービス Onerep との新たな提携を縮小・終了する手続きに入った
- Onerepは最近Firefoxにバンドルされ、数百の人物検索サイトから利用者情報を削除するサービスを提供していた
- Mozillaは先月、Onerepを Mozilla Monitor Plus の有料購読機能として提供し始めた
- Mozilla Monitorは2018年に Firefox Monitor という名前で公開され、Have I Been Pwned? のデータを確認して、メールアドレスやパスワードがデータ漏えいに含まれていたかを知らせる
Onerep CEOの人物検索事業の経歴
- ベラルーシ出身のOnerep CEO兼創業者 Dimitiri Shelest は、2010年以降に複数の人物検索サービスを立ち上げていたことが、3月14日の調査で明らかになった
- そのサービスには、人物の身元調査レポートを販売する現役のデータブローカー Nuwber も含まれる
- OnerepとShelestは、3月14日の調査に関するコメント要請に応じなかった
- Shelestは3月21日に長文の声明を出し、2015年に設立した消費者データブローカーNuwberの持分を維持していると認めた
- 2015年はOnerepを始めた時期と近い
- Shelestは、NuwberはOnerepと「クロス運営も情報共有も一切ない」と述べた
- 自身の名前と結び付けられる他の古いドメインについては、もはや自分は運営していないと主張した
- 人物検索事業との関係は外部から見ると奇妙に見えるかもしれないが、人物検索サイトの仕組みを深く掘り下げた初期の経験がOnerepの技術とチームにつながった、というのがShelestの説明だ
- Shelestの声明全文は PDF で公開されている
Mozillaの判断と顧客移行
- Mozillaの広報担当者は、Monitor Plus製品でOnerepをサービス提供者として使う形から離れつつあると述べた
- Mozillaは、顧客データが危険にさらされたことはないが、Onerep CEOの 外部の財務上の利害関係と活動 はMozillaの価値観に合わないと判断した
- 現在の顧客に途切れのない体験を提供し、顧客利益を優先する 移行計画 を具体化している最中だという
Spamitとの関連疑惑と広告運用
- Shelestのメールアドレスは、2010年ごろに Spamit のアフィリエイトが使っていたものとして確認された
- Spamitは、男性機能改善薬やジェネリック医薬品を販売するWebサイトを積極的に宣伝した人々に報酬を支払っていたロシア語圏の組織だ
- このつながりは、George Mason Universityの大学院生複数名の研究で確認されたと、3月14日の調査で扱われた
- ShelestはSpamitとの関係を否定している
- 2010年から2014年の間にWebページを作成し、検索エンジン最適化(SEO)を行った後、AdSenseバナーを貼っていたと述べた
- これは、KrebsOnSecurityが彼のメールアドレスと結び付けた複数の人物検索ドメインを指しているようだ
- その後、多くの問い合わせが人探しに関する内容だと気付いたと説明した
- Shelestは、Onerepが一部のデータブローカーサイトに対して特定の状況で広告を配信していることを認めた
- 利用者が自分でオプトアウトフォームを完了した後に広告が表示される
- あるサイトに掲載されていたなら他の場所にも掲載されている可能性があることを知らせ、Onerepのような自動オプトアウト手段を紹介する目的だと説明した
データブローカー業界と規制の空白
- Have I Been Pwnedの創業者 Troy Hunt は、MozillaがOnerepとの提携を見直していることは知っていたが、Onerep CEOの複数の利益相反については知らなかったと述べた
- Huntは、合法的に運営されるサービスからデータを削除する効果は限定的であり、実際に被害をもたらす違法サービスからは削除できない点をMozillaに伝えていた
- 同じ問題を作り広めながら、その問題を解決するサービスを販売するやり方は非倫理的かもしれないが、米国では違法ではない
- 米国では、米国人のデータを収集して販売する行為自体も違法ではない
- プライバシー専門家は、データブローカー、Nuwberのような人物検索サービス、Onerepのようなオンライン評判管理会社が存在する理由として、米国の大半の州でいわゆる 公的記録 または 政府記録 が消費者プライバシー法の適用除外になっている構造を挙げている
- 有権者登録簿、不動産登記、婚姻証明書、自動車記録、犯罪記録、裁判所文書、死亡記録、専門職免許、破産申請などが含まれる
- データブローカーは、ソーシャルメディアのデータや既知の関連人物情報を加えて消費者記録を補強できる
- 3月の3本の調査は、データブローカーと人物検索業界を精査し、消費者データ保護とプライバシーを巡る 議会の監督または規制 の必要性を強調した
- 3月8日の A Close Up Look at the Consumer Data Broker Radaris は、Radarisの共同創業者らが複数のロシア語圏デーティングサービスとアフィリエイトプログラムを運営していると報じた
- 同じ調査では、彼らの複数の事業が、米国政府の制裁対象であるロシア国営メディア複合体と仕事をするカリフォルニアのマーケティング会社と関連しているようだとされた
- 3月20日の The Not-So-True People-Search Network from China は、中国にいる人物検索アフィリエイトの所在地を隠すために、偽の人物検索企業と役員ネットワークが作られていたと明らかにした
1件のコメント
Hacker Newsのコメント
会社Aが問題を作り、会社Bがその問題の解決で金を稼ぐなら、会社BはAが問題を大きくするほど利益を得る
するとAとBの双方が、その問題が問題のままであり続けることを望む利害関係を持つことになり、社会に純利益をもたらさないまま両者が利益を吸い上げる共生関係になる
これはレントシーキングであり、経済に負担をかけ、倫理的にも正当化しにくい
この問題は規制でしか解決できない
非常に安全でないOSとクラウド環境を売り、そもそも自分たちが作った問題を直すとしてセキュリティツールをまた売っている
こうした提携を検証するには、非常に深い知識があり、原則を持ち、懐疑的な人が必要だと思う
主に事業開発やキャリアの観点で見る人が担当すべき仕事ではない
今や事後対応としては、この組織全体を合法的に解体する方法を見つける闘士が必要に見える
それはMozillaの使命にも合うかもしれないが、より重要なのは今回の件で傷ついたMozillaの評判を回復しなければならないからだ
たとえば相手が消費者相手には何とか逃げ切ったとしても、Mozillaとの取引では別種の詐欺のような新しい切り口があるかもしれないし、Mozillaはたいていの個人よりはるかにその問題を追及する余力がある
合法的なストーカー企業攻撃ファンドのようなものがあるなら金も出せる
Mozillaはどうかブラウザを作る仕事に集中してほしい
単純な話で、ChatGPTを芝居がかった文体で回したような言葉は要らない
a) 誠実なミスであり、中古車にはこうしたばらつきがあるのだから市場が問題を調整するだろうと見て、必要ならJoeから中古車を買っても構わないと感じる場合
b) Joeはその車が不良品だという情報を知っていたが、Alをカモだと思って隠しており、自分はAlより車を見る目があるか、人を見る目があるので、Joeから買うときは注意すべきだと見る場合
c) Joeは不良車しか売らず、事業モデルが人を食い物にすることなので、Joeから良い取引を得る方法はなく、別の場所を見るべきだと見る場合
d) すべての中古車販売業者がこういう事業モデルなのだから、中古車販売店で中古車を買うべきではないと見る場合
e) 買い手と売り手の間に情報の非対称性があるあらゆる事業モデルがこうなのだから、効用の下限が分からない物は買うべきではなく、保証のような仕組みが必要だと見る場合
これは、どれだけ敵対性を仮定するかのスペクトラムを示す例にすぎない
最近HNで、セールスマンのほうがむしろだまされやすいという投稿があったが、セールスマンはこの問いの答えを(b)だと見る傾向があり、実際に(a)、(b)、(c)と考える人たちだけを相手にしているからだと思う
実際、セールスマンだけでなくMBA的な思考でも似たことが起きる
MBAの中核的な信念は、規制の構造と人々の心理を迂回して、物を作るのにかかった費用より多くの金を払わせられるというもので、MBAの所得も結局そこから来る
上の問いの答えを(b)だと見る人には、こうした考え方がずっと自然に感じられるはずだ
だから、ある会社が何か、特にサービスを購入することにしたという話を聞くと、たいてい買い手はうまくだまされた愚か者で、誰も何も買えないようにしたほうがずっとうまく回ると直感してしまうようだ
個人的には、この問題を解くのに猛烈な懐疑主義が必要だとは思わない
もっと安く簡単に解決するには、無駄な購買の禁止を設ければいい
Mozillaは決して顧客になる必要がない
既存のデータブローカー削除ツールにはどれも欠陥があり、サイトからユーザーを削除するのに手作業の労働を使っていて、その作業は主に第三世界の労働者が担っている、ということです
私たちは https://redact.dev で、ユーザーのデバイス上で直接オプトアウトを処理する純粋なソフトウェア方式を作っています
すでに40以上のソーシャルメディアやユーティリティで一括削除をサポートしています
任意の期間より古いコンテンツを継続的に削除したいというニッチな市場は想像できますが、ほとんどのユーザーはこうしたサービスをたまにしか必要としないのではないでしょうか
価格設定も実質的にそれを認めているように見えます。月払いは月額$35なのに、年払いだと月額$8です
いったい誰が意図的に毎月更新し続けると期待しているのか分かりません
解約を忘れた人たちが費用を負担している点は否定しがたいですが、事業モデルとしては後味が悪いです
個人的には、こうした行為はウェブを知識基盤としてより貧しいものにすると考えています
自分のコンテンツに対してそうする権利はありますが、大規模に行われるとインターネットはより役に立たない道具になり、しかもスクレイパーはどうせすでにデータを持っているはずなので、少し悲しいです
本当の欠陥は、この分野の企業がデータを中央集権化して再販売し、データセットに「自分のデータ痕跡を消したがっている」という新しい行を追加してしまう点です
より多くの人にデータアクセス権を与えないことは確かに重要です
自動化のおかげで、価格も大半の類似サービスよりずっと低くなっています
そのため、まともな削除業者でも一部は手作業に頼らざるを得ません
完全自動化できればよいのですが、実際に見るまでは信じがたいです
最後に確認した時点で、Optery は325以上から削除していました
幸運を祈りますが、道のりは長いです
修正: これはまったく別のサービスのようです
古い投稿の一括削除と、データブローカーから個人識別情報を削除することは別の話です
私が取引したすべての企業に一括オプトアウト要求を送るツールなら、無料かつオープンソースである場合にしか信頼できません
意図が善良でも、商業はまた別の追跡手段になります
オープンソースのコードは限定委任状を持てませんし、データブローカー側もコードを読んでフォーム入力ロジックを回避するでしょう
やはりそうだと思っていました
https://news.ycombinator.com/item?id=39280369
壁にスパゲッティを十分投げれば、何本かはくっつくものです
Mozilla の意図そのものは正しい方向にあったと思いますが、GMU の大学院生たちが明らかにできたことを、パートナー審査でもっと厳密に見られなかったのはかなり残念です
類似サービスにも、まだ表に出ていない怪しいつながりがほかにもあるのではないかと気になります
人気ポッドキャストのスポンサーである DeleteMe も注視しています
世の中には、解毒剤を売るために、あるいはもっと言えば生涯治療を売るために、わざと毒を盛る人たちが大勢います
一般に大学院生は時間がより多く、専門性も十分にあるかもしれません
彼らが卒業して Mozilla に就職したら、可能性の低い手がかりを深掘りするほど暇ではないかもしれません
15年間にわたってプライバシー保護ツールを作り提供してきて、HNでも対話してきました
質問には喜んで答えますが、根拠のない非難は少し控えてもらえるとありがたいです
プライバシーは完全に、取り返しがつかない形で死んだのだと受け入れるしかありませんでした
権力や金を持つ人は今や、あなたに関するほぼすべてだけでなく、もしかするとあなた自身が知覚して理解している以上のことまで知ることができます
自分の人生と行動のあらゆる側面、そしてそこから続くあらゆるつながりを定期的かつ徹底的に記録して省みる時間など、いったい誰にあるのでしょうか
人を監視して弱体化させ、自分を豊かにする終わりなきおぞましい行為が、実質的な処罰付きで違法化されるように上院・下院・大統領が大規模に結集しない限り、何も変わりません
そんなことは決して起きないでしょう。なぜなら米国政府はこの種のサービスの最大の顧客であり供給者でもあるからです
Mozilla はプライバシーを口にするほとんど最後の存在ですが、その Mozilla がこの人物と手を組みました
だから状況はこれほど絶望的なのです
誰かの名前、住んだことのあるすべての住所、家族の名前などを知るのにお金はかかりません
こういう会社は吹き飛ばされるべきです
EU がこの問題に早く気づくのを待っています
Mozilla が人探し組織を支援することは明らかに望んでいないでしょうが、ここで本当にそういうことが起きているのかは疑問です
人探し分野で得た専門知識は、そうした組織が使う名簿から人を削除するのにまさに必要な専門知識でもあるはずです
本当の問いは、Onerep の外にデータ仲介が行われているかどうかです
これは実態よりも見た目が勝ってしまった事例のように見えます
両方の盤面で同時にプレーしているのです