2 पॉइंट द्वारा GN⁺ 2024-03-15 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • निजी डेटा हटाने की सेवा बेचने वाली Onerep.com के संस्थापक Dimitri Shelest के कई people-search सेवाओं से जुड़े होने के संकेत सामने आए हैं, जिससे सेवा की विश्वसनीयता और हितों के टकराव को लेकर सवाल बढ़ गए हैं
  • Onerep दावा करती है कि वह लगभग 200 people-search साइटों से निजी जानकारी हटाती है; कीमतें व्यक्तिगत प्लान के लिए प्रति माह $8.33 और परिवार के लिए प्रति माह $15 से शुरू होती हैं, और यह एंटरप्राइज व सार्वजनिक क्षेत्र के ग्राहकों को भी लक्षित करती है
  • DomainTools और Constella Intelligence के रिकॉर्ड में Shelest का ईमेल, बेलारूस का फोन नंबर, Onerep·Nuwber·देश-विशेष people-search डोमेन बार-बार साथ दिखाई देते हैं
  • Shelest ने 21 मार्च के अपडेट में Nuwber में हिस्सेदारी होने की बात स्वीकार की, लेकिन कहा कि OneRep के साथ कोई जानकारी साझा नहीं होती और न ही cross-operation है, और पुराने अन्य डोमेन अब संचालित नहीं किए जाते
  • Mozilla ने बताया कि Mozilla Monitor की automated data deletion सेवा OneRep partnership है; उसने कहा कि उसे पुष्टि मिली थी कि पुराना संबंध समाप्त हो चुका है, लेकिन वह मामले की और जांच करेगी

Onerep की सेवा और लक्षित ग्राहक

  • Onerep.com खुद को Virginia-आधारित सेवा के रूप में पेश करती है और दावा करती है कि वह लगभग 200 people-search वेबसाइटों से निजी जानकारी हटाती है
  • “Protect” सेवा व्यक्तिगत प्लान के लिए प्रति माह $8.33 और परिवार के लिए प्रति माह $15 से शुरू होती है
  • एंटरप्राइज ग्राहकों को यह सेवा बेची जाती है ताकि कर्मचारियों का डेटा people-search साइटों से लगातार हटता रहे
  • Onerep.com के customer case studies में Permanente Medicine कर्मचारियों के लिए contract का उल्लेख है
    • Permanente Medicine, Kaiser Permanente के भीतर doctors का प्रतिनिधित्व करती है
  • Onerep का कहना है कि उसे अमेरिकी police departments में भी traction मिला है

डोमेन और ईमेल रिकॉर्ड से बने कनेक्शन

  • Onerep.com अपने founder और CEO को Belarus के Minsk से Dimitri Shelest बताती है, और Shelest की LinkedIn प्रोफाइल में भी यही जानकारी है
  • DomainTools.com के पुराने registration records में Shelest dmitrcox2@gmail.com पते का उपयोग करने वाले onerep.com registrant के रूप में दिखते हैं
  • Constella Intelligence के search results Dimitri Shelest नाम को निम्न जानकारी से जोड़ते हैं
    • dimitri.shelest@onerep.com

    • d.sh@nuwber.com

      • Belarus का फोन नंबर +375-292-702786
      • Nuwber.com एक people-search सेवा है, और Onerep जिन कई साइटों को data removal target बताती है, उनमें से एक है
      • Onerep वेबसाइट स्पष्ट रूप से कहती है कि “OneRep का Nuwber.com से कोई संबंध नहीं है”
      • लेकिन Constella ने पाया कि Nuwber से जुड़ा Belarus फोन नंबर 375-292-702786 कई बार dmitrcox@gmail.com पते के साथ उपयोग हुआ
      • DomainTools दिखाता है कि comversus.com dmitrcox@gmail.com और dmitrcox2@gmail.com दोनों से जुड़ा था
      • जिन डोमेनों के WHOIS records में यही दो ईमेल साथ दिखाई दिए, उनमें careon.me, docvsdoc.com, dotcomsvdot.com, namevname.com, okanyway.com, tapanyapp.com शामिल हैं

दर्जनों people-search डोमेन और शुरुआती Onerep के संकेत

  • DomainTools में dmitrcox@gmail.com खोजने पर यह कम-से-कम 179 domain registrations से जुड़ा दिखता है, जिनमें से कई अब सक्रिय नहीं रहीं people-search कंपनियां थीं
  • ये डोमेन Argentina, Brazil, Canada, Denmark, France, Germany, Hong Kong, Israel, Italy, Japan, Latvia, Mexico आदि कई देशों के नागरिकों को लक्षित करते थे
  • 2016 में registered nuwber.fr उस समय Nuwber.com homepage जैसा ही था
  • वही ईमेल और Belarus फोन नंबर nuwber.at, nuwber.ch, nuwber.dk के पुराने registration records में भी दिखाई देते हैं
  • onerep.com के पुराने WHOIS records में यह मूल रूप से South Dakota के Sioux Falls निवासी के नाम registered था, लेकिन सितंबर 2015 के आसपास GoDaddy.com से eNom पर transfer हुआ और registration जानकारी privacy protection के पीछे छिपा दी गई
  • DomainTools के अनुसार इसी समय के आसपास onerep.com ने DNS provider constellix.com के nameservers का उपयोग शुरू किया
  • Nuwber.com भी 2015 के अंत में पहली बार सामने आया, eNom के जरिए registered था, और लगभग उसी समय constellix.com DNS का उपयोग शुरू किया
  • LinkedIn पर Dimitri Bukuyazau को 2015~2018 में OneRep.com का product manager दिखाया गया है
    • इस profile में Nuwber entry नहीं है
    • Constella Intelligence ने nuwber.com employee emails के रूप में d.bu@nuwber.com, d.bu+figure-eight.com@nuwber.com पाए, जिनमें बाद वाला “Dzmitry” नाम से registered था
  • PrivacyDuck ने 2017 में OneRep और Nuwber को एक ही company मानने के आधार बताए थे, लेकिन onerep.com को Wayback Machine से पूरी तरह exclude किया गया है, इसलिए शुरुआती संचालन को आसानी से verify करना कठिन है
    • Wayback Machine domain owner की direct request होने पर ऐसे exclusion requests स्वीकार करता है

व्यापक domain history और हितों के टकराव पर विवाद

  • Shelest का नाम, फोन नंबर और ईमेल कई देश-विशेष people-search services के registration records में भी दिखाई देते हैं
  • dmitrcox@gmail.com 2010 में leak हुए Russian-language pharmacy spam affiliate program Spamit के एक affiliate email से भी जुड़ा था
    • Spamit, spam-ad sites पर पुरुष performance-enhancement दवाएं बिकने पर spammers को commission देता था
    • वह email बहुत लाभदायक affiliate नहीं था
  • Shelest की Facebook profile में Minsk निवास और married status दिखता था, और 16 मार्च 2024 के update के अनुसार वह account अब active नहीं है
  • 10 साल से अधिक पुराने Facebook activity में कई people-search sites के profile pages को likes मिले हुए थे
  • 360 Privacy के Chief Growth Officer Max Anderson ने कहा कि data removal service और data broker websites के बीच direct connection होना चिंताजनक है
  • Anderson के अनुसार, लोगों की जानकारी बेचने वाली company चलाते हुए उन्हीं लोगों से information deletion के पैसे लेना अनैतिक है

Shelest का जवाब और Mozilla Monitor partnership

  • 21 मार्च 2024 के update में Shelest ने लंबा जवाब दिया
    • उन्होंने स्वीकार किया कि वे Nuwber में ownership stake बनाए हुए हैं
    • उन्होंने कहा कि OneRep के साथ “cross-operation या information sharing बिल्कुल नहीं है”
    • उन्होंने कहा कि उनके नाम से जोड़े जा सकने वाले पुराने अन्य domains अब वे संचालित नहीं करते
  • Shelest ने स्वीकार किया कि people-search business से उनका संबंध बाहर से अजीब लग सकता है, लेकिन कहा कि अगर people-search sites के काम करने के तरीके में गहराई से उतरने वाला शुरुआती रास्ता न होता, तो Onerep के पास इस क्षेत्र की technology और team नहीं होती
  • उन्होंने स्वीकार किया कि अतीत में इस संबंध को और स्पष्ट नहीं कर पाए और आगे बेहतर करने की बात कही
  • पूरा जवाब PDF के रूप में उपलब्ध है
  • 15 मार्च 2024 के update में यह जोड़ा गया कि Mozilla Foundation का Mozilla Monitor OneRep को bundle करता है
    • Mozilla Monitor मुफ्त या paid subscription service के रूप में उपलब्ध है
    • मुफ्त breach notification service Have I Been Pwned के साथ partnership है
    • automated data deletion service, सार्वजनिक online directories और information aggregation sites से निजी जानकारी हटाने के लिए OneRep partnership है
  • Mozilla ने कहा कि उसने आकलन किया था कि OneRep की data removal service Mozilla के privacy principles के अनुसार काम करती है या नहीं
  • Mozilla ने कहा कि उसे लेख में बताए गए पुराने संबंधों की जानकारी थी और साथ काम करने से पहले उनके समाप्त हो जाने की पुष्टि मिली थी
  • Mozilla ने कहा कि वह इस मामले को और देख रही है और customers की privacy और security को प्राथमिकता देगी

1 टिप्पणियां

 
GN⁺ 2024-03-15
Hacker News टिप्पणियाँ
  • यह कोई बहुत बड़ा राज़ नहीं है कि कई reputation management कंपनियाँ public records sites भी own करती हैं, जहाँ mugshots, court records वगैरह public किए जाते हैं
    आप इंटरनेट से अपनी जानकारी हटाने के लिए उन्हें hire करते हैं, तो वे अपनी चलने वाली एक-दो sites से उसे हटा देते हैं और दूसरी जगह फिर से डाल देते हैं, जिससे एक चक्र चल पड़ता है
    आखिर में यह मासिक subscription fee के साथ चलने वाला अंतहीन whack-a-mole बन जाता है

    • इसी संदर्भ में Proofpoint की भी काफ़ी खराब reputation है
      वे बिना किसी खास वजह के mail servers को block कर देते हैं, फिर आपको unblock कराने की process से गुजरने पर मजबूर करते हैं
      पैसे दो तो समस्या जैसे जादू से गायब हो जाती है, और जिस blocklist में मैं बार-बार फँसा, वह हमेशा Proofpoint की ही थी
    • यह एक extortion business है
    • credit rating agencies भी बिल्कुल ऐसी ही लगती हैं
      opt out करने का कोई विकल्प दिए बिना वे जितना हो सके उतना personal data चूस लेती हैं, सही हो या गलत उसे रखती रहती हैं, और साफ़ तौर पर गलत data को भी delete करने से मना करती हैं
      फिर data को इतनी लापरवाही से संभालती हैं कि सब कुछ दुनिया के सामने leak हो जाता है, और क्योंकि बदली न जा सकने वाली जानकारी बुरे लोगों तक पहुँच गई, अब आपसे उम्र भर credit monitoring के पैसे देने को कहा जाता है
      और सोचिए, उन credit monitoring कंपनियों में से ज़्यादातर की मालिक कौन है
    • यह कुछ वैसा ही है जैसे खिड़की ठीक करने वाला खुद खिड़की तोड़ दे, या tyre बेचने वाला सड़क पर कीलों का डिब्बा बिखेर दे
      फ़र्क बस इतना है कि वे काम अवैध हैं
      इसे data privacy mafia कहना ग़लत नहीं होगा
    • आज के दौर का सबक साफ़ है: अगर privacy चाहिए, तो digital form में कुछ छोड़ो ही मत
      कुछ जगहों पर smartphone ले जाना मना है, और प्रवेश पर coat जमा कराने की तरह phone जमा कराना पड़ता है
      मेरा एक पत्रकार दोस्त तो अक्सर अपना smartphone घर पर ही छोड़कर निकलता है
  • मैं specifics में नहीं जा सकता, लेकिन मैं किसी ऐसे व्यक्ति को जानता हूँ जिसे ऐसी “privacy” कंपनियों के deletion requests handle करने पड़े थे
    वह privacy कंपनी user का नाम, email जैसी personal information लेकर, account हो या न हो, जितनी कंपनियाँ याद आएँ सबको email भेजकर account delete करने की request करती थी

    • मुझे हमेशा शक रहा कि भले ही ऐसी services अच्छे इरादे से चलाई जा रही हों और खुली data-harvesting scam न हों, फिर भी व्यवहार में ये फ़ायदे से ज़्यादा नुकसान कर सकती हैं
      लेकिन यह chicken-and-egg problem भी है। अगर मुझे अपनी जानकारी मिटानी है, तो मुझे बताना पड़ेगा कि कौन-सी जानकारी मुझे identify करती है
      कंपनियों के पास इस प्रक्रिया को जितना हो सके उतना कठिन बनाने का incentive है, इसलिए data hash आधारित solution स्वेच्छा से आने की संभावना कम है; इसके लिए कड़े regulation और भारी fines चाहिए
      एक समस्या यह भी है कि deletion request वाले data का ownership कैसे prove किया जाए। सबसे प्रगतिशील privacy regulations में गिने जाने वाले EU के GDPR में भी कंपनियाँ request करने वाले से और ज़्यादा personal information माँगकर नियमित रूप से इसका उल्लंघन करती हैं
    • अगर आप Dropbox जैसी platform से जानकारी हटाने के लिए ऐसी “delete me” service इस्तेमाल करते हैं, तो एक hidden trap भी है
      ऐसी services अक्सर उन कंपनियों से जुड़ी होती हैं जो email addresses का कारोबार करती हैं, इसलिए deletion के लिए दिया गया आपका email marketers या data brokers को बेचा जा सकता है
      नतीजा यह हो सकता है कि spam और unwanted contact और बढ़ जाएँ, या email खरीदने वाले के हिसाब से targeted ads पीछे पड़ जाएँ
    • devil’s advocate के तौर पर देखें तो, एक sample अक्सर सिर्फ़ एक data point होता है और पूरी कहानी नहीं बताता
      यह मानना उचित हो सकता है कि कोई legitimate company deletion request भेजने से पहले यह verify करेगी कि उस company के पास वाकई वह जानकारी है या नहीं
      बेशक मैं ग़लत भी हो सकता हूँ और मेरे पास कोई proof नहीं है, लेकिन एक sample के आधार पर इतना अनुमान तो ठीक लगता है
  • terms of service देखकर लगता है कि Mozilla Monitor भी यही service इस्तेमाल करता है। यह काफ़ी गंभीर है
    https://www.mozilla.org/en-US/about/legal/terms/subscription...

    • मेरे हिसाब से यह Mozilla Corporation की due diligence failure है
      अब तक तो legal team incident response mode में चली गई होगी
      जब कोई organization खुद कुछ नहीं करती और ज़िम्मेदारी व कानूनी बोझ किसी बाहरी partner पर डाल देती है, तो यह उन्हीं समस्याओं में से एक है
      अगर आपने Mozilla Monitor को personal information सौंपी है, तो legal contact terms page पर है: https://www.mozilla.org/en-US/about/legal/terms/subscription...
      उन terms में liability limit 500 डॉलर रखी गई है, और Mozilla को indemnity भी दी गई है
    • यहाँ शायद इससे भी बड़ी बात यह है
      संदिग्ध कंपनियों पर भरोसा न करना आसान है, लेकिन Mozilla जैसे बड़े नाम से धोखा खाना बिल्कुल अलग बात है
  • ऐसे मामलों को किसी भरोसेमंद first party, यानी खुद व्यक्ति द्वारा सीधे संभालना बेहतर लगता है
    data broker opt-out तरीकों की सूची: https://github.com/yaelwrites/Big-Ass-Data-Broker-Opt-Out-Li...

    • मैं Onerep इस्तेमाल कर रहा था, फिर इसके संदिग्ध होने की बातें सुनीं और छोड़ दिया
      अभी मैं YC company Optery(https://www.optery.com/) इस्तेमाल कर रहा हूँ, और अगर इसमें कोई समस्या हो तो उसके बारे में सुनना चाहूँगा
      दिक्कत यह है कि 200 से ज़्यादा data brokers हैं, और उन सब से निपटने का समय नहीं है
    • मैंने यह तरीका एक guide फ़ॉलो करके खुद आज़माया था, और सबसे खराब निचले दर्जे के ऑपरेटरों में से एक mylife.com पर यह निश्चित रूप से असरदार रहा
      मुझे India call center में फ़ोन करना पड़ा, और शिष्ट बने रहते हुए डटे रहना पड़ा, साथ ही उनकी “service” की मार्केटिंग कई बार सुननी पड़ी
      आखिरकार उन्होंने नाम हटा दिया, लेकिन कहा कि यह फिर से दिखाई दे “सकता” है
      वह 2018 की बात थी, और अब site search में मेरा नाम नहीं आता। लेकिन mylife की घटिया emails, जिनमें मेरे profile, परिवार और पड़ोसियों में “बदलाव” होने की बात कही जाती है, आज भी दिन में कई बार आती हैं
      मैं ऐसे मामलों में third party से बचता हूँ। Krebs ने जैसा कहा, इससे घटिया data brokers और धमकीनुमा ढाँचे के बीच रिश्ता बन सकता है, और कुछ कंपनियाँ तो नाम हटाने के लिए अपनी fee का एक हिस्सा data broker को देती भी हैं
      मैं नहीं चाहता कि ऐसे लोग इस काम से पैसा कमाएँ
      वैसे, Mylife.com के founder और CEO Jeffrey Tinsley हैं, और लगता है कि इस data broker धंधे से उन्होंने काफ़ी पैसा कमाया है
    • सोच रहा हूँ कि क्या किसी ने उस service का इस्तेमाल किया है जिसका प्रचार इस सूची का लेखक कर रहा है। दिलचस्प और उपयोगी लगती है
      https://securityplanner.consumerreports.org/
    • शानदार सूची है
      पहला ख़याल यह आया: “यह सारी जानकारी README में डालकर, इसे scrape करने में आसान JSON list क्यों नहीं बनाया गया?”
      उसके बाद सोचा, “क्यों न किसी AI दोस्त से README स्कैन करवा कर सारे opt-out काम ही करवा लिए जाएँ?”
  • पुराने Ironport की याद आ गई
    Ironport enterprise rackmount spam filtering उपकरण बनाता था, और साथ ही enterprise rackmount spam sending उपकरण भी बनाता था
    उसी ने उसकी प्रतिष्ठा खराब की

    • Ironport की प्रतिष्ठा ज़्यादा इस वजह से खराब हुई कि Cisco द्वारा अधिग्रहण के बाद उन्होंने product को लगभग छोड़ दिया और साथ ही कीमतें बढ़ा दीं
      अधिग्रहण से पहले यह सचमुच शानदार उपकरण था
  • सोच रहा हूँ कि क्या reputation protection companies में कोई दूसरी strategy इस्तेमाल करता है
    यानी service माँगने वाले हर user के लिए उसी नाम की fake identities के हज़ारों रिकॉर्ड बना दिए जाएँ, और उन्हें ऐसे ढीले-ढाले profiles से भर दिया जाए जो मूल user से बहुत मिलते-जुलते हों, लेकिन पूरी तरह मेल न खाते हों
    अगर कोई उस व्यक्ति को search करे, तो results कचरा जानकारी से भर जाएँ
    अगर लीक हुई पहचान मिटाना बहुत मुश्किल है, तो शायद जंगल में पेड़ छिपाने वाला तरीका बेहतर हो

    • एक पूर्व UK prime minister ने अपना scandal छिपाने के लिए इसी तरह की search engine distraction information फैलाने की कोशिश की थी
      एक interview में उन्होंने कहा था कि उनका शौक छोटे लाल bus की तस्वीरें बनाना है, जबकि जिस scandal को वे दबाना चाहते थे वह Brexit campaign में इस्तेमाल हुई असली लाल bus पर किया गया झूठा और भद्दा प्रचार था
    • reputation management कंपनियाँ सच में ऐसा करती हैं
      आम तौर पर इसे disinformation कहा जाता है
  • “इंटरनेट के शिखर” जैसी चीज़ों में मेरी निजी पसंद वे sites हैं जो दावा करती हैं कि धरती के हर व्यक्ति के लिए “arrest record found” है, और उसे दिखाने के लिए 49 डॉलर माँगती हैं
    अगर बात आप ही की हो, तो हटाने के लिए 99 डॉलर माँगती हैं

    • अमेरिका में हम सचमुच उसी दिशा में बढ़ रहे हैं
      गंभीरता से कहूँ तो, दोनों पक्षों से सौदा करने या protection money बेचने वाला model काफ़ी मुनाफ़ेदार business है
  • यहाँ एक YC company का ज़िक्र करना बनता है। यह opt-out requests submit करती है, और मुझे यह Onerep से काफ़ी कम संदिग्ध लगती है
    https://www.optery.com/
    मैं इससे जुड़ा नहीं हूँ, बस एक user हूँ

  • आजकल ऐसा बहुत दिख रहा है। शायद यह सिर्फ़ पहले से ज़्यादा नज़र आने लगा है
    एक और उदाहरण है वे लोग जो राजनीतिक रूप से बँटे हुए दोनों पक्षों को political T-shirts बेचते हैं। उनमें से कुछ काफ़ी आक्रामक या आपत्तिजनक भी होते हैं

    • अगर seller यह दावा नहीं कर रहा कि वह खुद उस मकसद का प्रतिनिधित्व करता है, तो मुझे यह बुरा नहीं लगता
    • अमेरिका में ऐसा लगता है कि merchandise ज़्यादातर सिर्फ़ एक ही पक्ष खरीदता है
      खासकर आक्रामक और आपत्तिजनक merchandise में तो और भी ज़्यादा
    • Twitter पर इस तरह का merch spam अभी सचमुच बिखरा पड़ा है
      ध्रुवीकरण और भावनाएँ इतनी ऊँची हैं कि मैं अक्सर सोचता हूँ कि इसमें कमाई कितनी होती होगी
    • Elvis के manager ने भी “I hate Elvis” badges के साथ ऐसा किया था
      हालाँकि यह पूरी तरह वही बात नहीं है। यहाँ मामला यह है कि बाज़ार को जानबूझकर ऐसे service खरीदने के लिए गुमराह किया जाता है जिसकी ज़रूरत ही नहीं, और यह लगभग extortion business जैसा है
  • अगर search engines मेरे बारे में 0 results लौटाएँ, तो मैं उसे अच्छी स्थिति मानूँगा
    अपनी personal information को लापरवाही से सार्वजनिक जगहों पर नहीं डालना चाहिए। इसमें LinkedIn profile भी शामिल है
    अगर आप business owner हैं, तो मेरे पास उसका हल नहीं है, लेकिन उस स्थिति में भी exposure को जितना हो सके कम रखना बेहतर है