प्राइवेसी कंपनी Onerep.com के CEO ने दर्जनों people-search कंपनियां स्थापित कीं
(krebsonsecurity.com)- निजी डेटा हटाने की सेवा बेचने वाली Onerep.com के संस्थापक Dimitri Shelest के कई people-search सेवाओं से जुड़े होने के संकेत सामने आए हैं, जिससे सेवा की विश्वसनीयता और हितों के टकराव को लेकर सवाल बढ़ गए हैं
- Onerep दावा करती है कि वह लगभग 200 people-search साइटों से निजी जानकारी हटाती है; कीमतें व्यक्तिगत प्लान के लिए प्रति माह $8.33 और परिवार के लिए प्रति माह $15 से शुरू होती हैं, और यह एंटरप्राइज व सार्वजनिक क्षेत्र के ग्राहकों को भी लक्षित करती है
- DomainTools और Constella Intelligence के रिकॉर्ड में Shelest का ईमेल, बेलारूस का फोन नंबर, Onerep·Nuwber·देश-विशेष people-search डोमेन बार-बार साथ दिखाई देते हैं
- Shelest ने 21 मार्च के अपडेट में Nuwber में हिस्सेदारी होने की बात स्वीकार की, लेकिन कहा कि OneRep के साथ कोई जानकारी साझा नहीं होती और न ही cross-operation है, और पुराने अन्य डोमेन अब संचालित नहीं किए जाते
- Mozilla ने बताया कि Mozilla Monitor की automated data deletion सेवा OneRep partnership है; उसने कहा कि उसे पुष्टि मिली थी कि पुराना संबंध समाप्त हो चुका है, लेकिन वह मामले की और जांच करेगी
Onerep की सेवा और लक्षित ग्राहक
- Onerep.com खुद को Virginia-आधारित सेवा के रूप में पेश करती है और दावा करती है कि वह लगभग 200 people-search वेबसाइटों से निजी जानकारी हटाती है
- “Protect” सेवा व्यक्तिगत प्लान के लिए प्रति माह $8.33 और परिवार के लिए प्रति माह $15 से शुरू होती है
- एंटरप्राइज ग्राहकों को यह सेवा बेची जाती है ताकि कर्मचारियों का डेटा people-search साइटों से लगातार हटता रहे
- Onerep.com के customer case studies में Permanente Medicine कर्मचारियों के लिए contract का उल्लेख है
- Permanente Medicine, Kaiser Permanente के भीतर doctors का प्रतिनिधित्व करती है
- Onerep का कहना है कि उसे अमेरिकी police departments में भी traction मिला है
डोमेन और ईमेल रिकॉर्ड से बने कनेक्शन
- Onerep.com अपने founder और CEO को Belarus के Minsk से Dimitri Shelest बताती है, और Shelest की LinkedIn प्रोफाइल में भी यही जानकारी है
- DomainTools.com के पुराने registration records में Shelest dmitrcox2@gmail.com पते का उपयोग करने वाले onerep.com registrant के रूप में दिखते हैं
- Constella Intelligence के search results Dimitri Shelest नाम को निम्न जानकारी से जोड़ते हैं
-
dimitri.shelest@onerep.com
-
d.sh@nuwber.com
- Belarus का फोन नंबर +375-292-702786
- Nuwber.com एक people-search सेवा है, और Onerep जिन कई साइटों को data removal target बताती है, उनमें से एक है
- Onerep वेबसाइट स्पष्ट रूप से कहती है कि “OneRep का Nuwber.com से कोई संबंध नहीं है”
- लेकिन Constella ने पाया कि Nuwber से जुड़ा Belarus फोन नंबर 375-292-702786 कई बार dmitrcox@gmail.com पते के साथ उपयोग हुआ
- DomainTools दिखाता है कि comversus.com dmitrcox@gmail.com और dmitrcox2@gmail.com दोनों से जुड़ा था
- जिन डोमेनों के WHOIS records में यही दो ईमेल साथ दिखाई दिए, उनमें careon.me, docvsdoc.com, dotcomsvdot.com, namevname.com, okanyway.com, tapanyapp.com शामिल हैं
-
दर्जनों people-search डोमेन और शुरुआती Onerep के संकेत
- DomainTools में dmitrcox@gmail.com खोजने पर यह कम-से-कम 179 domain registrations से जुड़ा दिखता है, जिनमें से कई अब सक्रिय नहीं रहीं people-search कंपनियां थीं
- ये डोमेन Argentina, Brazil, Canada, Denmark, France, Germany, Hong Kong, Israel, Italy, Japan, Latvia, Mexico आदि कई देशों के नागरिकों को लक्षित करते थे
- 2016 में registered nuwber.fr उस समय Nuwber.com homepage जैसा ही था
- वही ईमेल और Belarus फोन नंबर nuwber.at, nuwber.ch, nuwber.dk के पुराने registration records में भी दिखाई देते हैं
- onerep.com के पुराने WHOIS records में यह मूल रूप से South Dakota के Sioux Falls निवासी के नाम registered था, लेकिन सितंबर 2015 के आसपास GoDaddy.com से eNom पर transfer हुआ और registration जानकारी privacy protection के पीछे छिपा दी गई
- DomainTools के अनुसार इसी समय के आसपास onerep.com ने DNS provider constellix.com के nameservers का उपयोग शुरू किया
- Nuwber.com भी 2015 के अंत में पहली बार सामने आया, eNom के जरिए registered था, और लगभग उसी समय constellix.com DNS का उपयोग शुरू किया
- LinkedIn पर Dimitri Bukuyazau को 2015~2018 में OneRep.com का product manager दिखाया गया है
- इस profile में Nuwber entry नहीं है
- Constella Intelligence ने nuwber.com employee emails के रूप में d.bu@nuwber.com, d.bu+figure-eight.com@nuwber.com पाए, जिनमें बाद वाला “Dzmitry” नाम से registered था
- PrivacyDuck ने 2017 में OneRep और Nuwber को एक ही company मानने के आधार बताए थे, लेकिन onerep.com को Wayback Machine से पूरी तरह exclude किया गया है, इसलिए शुरुआती संचालन को आसानी से verify करना कठिन है
- Wayback Machine domain owner की direct request होने पर ऐसे exclusion requests स्वीकार करता है
व्यापक domain history और हितों के टकराव पर विवाद
- Shelest का नाम, फोन नंबर और ईमेल कई देश-विशेष people-search services के registration records में भी दिखाई देते हैं
- उदाहरण: pplcrwlr.in, pplcrwlr.fr, pplcrwlr.dk, pplcrwlr.jp
- उदाहरण: peeepl.br.com, peeepl.in, peeepl.it, peeepl.co.uk
- उदाहरण: waatpp.de, waatp1.fr, azersab.com, ahavoila.com
- dmitrcox@gmail.com 2010 में leak हुए Russian-language pharmacy spam affiliate program Spamit के एक affiliate email से भी जुड़ा था
- Spamit, spam-ad sites पर पुरुष performance-enhancement दवाएं बिकने पर spammers को commission देता था
- वह email बहुत लाभदायक affiliate नहीं था
- Shelest की Facebook profile में Minsk निवास और married status दिखता था, और 16 मार्च 2024 के update के अनुसार वह account अब active नहीं है
- 10 साल से अधिक पुराने Facebook activity में कई people-search sites के profile pages को likes मिले हुए थे
- DomainTools दिखाता है कि वे sites dmitrcox@gmail.com से registered थीं
- उदाहरण: findita.com, findmedo.com, folkscan.com, huntize.com, ifindy.com, jupery.com
- 360 Privacy के Chief Growth Officer Max Anderson ने कहा कि data removal service और data broker websites के बीच direct connection होना चिंताजनक है
- Anderson के अनुसार, लोगों की जानकारी बेचने वाली company चलाते हुए उन्हीं लोगों से information deletion के पैसे लेना अनैतिक है
Shelest का जवाब और Mozilla Monitor partnership
- 21 मार्च 2024 के update में Shelest ने लंबा जवाब दिया
- उन्होंने स्वीकार किया कि वे Nuwber में ownership stake बनाए हुए हैं
- उन्होंने कहा कि OneRep के साथ “cross-operation या information sharing बिल्कुल नहीं है”
- उन्होंने कहा कि उनके नाम से जोड़े जा सकने वाले पुराने अन्य domains अब वे संचालित नहीं करते
- Shelest ने स्वीकार किया कि people-search business से उनका संबंध बाहर से अजीब लग सकता है, लेकिन कहा कि अगर people-search sites के काम करने के तरीके में गहराई से उतरने वाला शुरुआती रास्ता न होता, तो Onerep के पास इस क्षेत्र की technology और team नहीं होती
- उन्होंने स्वीकार किया कि अतीत में इस संबंध को और स्पष्ट नहीं कर पाए और आगे बेहतर करने की बात कही
- पूरा जवाब PDF के रूप में उपलब्ध है
- 15 मार्च 2024 के update में यह जोड़ा गया कि Mozilla Foundation का Mozilla Monitor OneRep को bundle करता है
- Mozilla Monitor मुफ्त या paid subscription service के रूप में उपलब्ध है
- मुफ्त breach notification service Have I Been Pwned के साथ partnership है
- automated data deletion service, सार्वजनिक online directories और information aggregation sites से निजी जानकारी हटाने के लिए OneRep partnership है
- Mozilla ने कहा कि उसने आकलन किया था कि OneRep की data removal service Mozilla के privacy principles के अनुसार काम करती है या नहीं
- Mozilla ने कहा कि उसे लेख में बताए गए पुराने संबंधों की जानकारी थी और साथ काम करने से पहले उनके समाप्त हो जाने की पुष्टि मिली थी
- Mozilla ने कहा कि वह इस मामले को और देख रही है और customers की privacy और security को प्राथमिकता देगी
1 टिप्पणियां
Hacker News टिप्पणियाँ
यह कोई बहुत बड़ा राज़ नहीं है कि कई reputation management कंपनियाँ public records sites भी own करती हैं, जहाँ mugshots, court records वगैरह public किए जाते हैं
आप इंटरनेट से अपनी जानकारी हटाने के लिए उन्हें hire करते हैं, तो वे अपनी चलने वाली एक-दो sites से उसे हटा देते हैं और दूसरी जगह फिर से डाल देते हैं, जिससे एक चक्र चल पड़ता है
आखिर में यह मासिक subscription fee के साथ चलने वाला अंतहीन whack-a-mole बन जाता है
वे बिना किसी खास वजह के mail servers को block कर देते हैं, फिर आपको unblock कराने की process से गुजरने पर मजबूर करते हैं
पैसे दो तो समस्या जैसे जादू से गायब हो जाती है, और जिस blocklist में मैं बार-बार फँसा, वह हमेशा Proofpoint की ही थी
opt out करने का कोई विकल्प दिए बिना वे जितना हो सके उतना personal data चूस लेती हैं, सही हो या गलत उसे रखती रहती हैं, और साफ़ तौर पर गलत data को भी delete करने से मना करती हैं
फिर data को इतनी लापरवाही से संभालती हैं कि सब कुछ दुनिया के सामने leak हो जाता है, और क्योंकि बदली न जा सकने वाली जानकारी बुरे लोगों तक पहुँच गई, अब आपसे उम्र भर credit monitoring के पैसे देने को कहा जाता है
और सोचिए, उन credit monitoring कंपनियों में से ज़्यादातर की मालिक कौन है
फ़र्क बस इतना है कि वे काम अवैध हैं
इसे data privacy mafia कहना ग़लत नहीं होगा
कुछ जगहों पर smartphone ले जाना मना है, और प्रवेश पर coat जमा कराने की तरह phone जमा कराना पड़ता है
मेरा एक पत्रकार दोस्त तो अक्सर अपना smartphone घर पर ही छोड़कर निकलता है
मैं specifics में नहीं जा सकता, लेकिन मैं किसी ऐसे व्यक्ति को जानता हूँ जिसे ऐसी “privacy” कंपनियों के deletion requests handle करने पड़े थे
वह privacy कंपनी user का नाम, email जैसी personal information लेकर, account हो या न हो, जितनी कंपनियाँ याद आएँ सबको email भेजकर account delete करने की request करती थी
लेकिन यह chicken-and-egg problem भी है। अगर मुझे अपनी जानकारी मिटानी है, तो मुझे बताना पड़ेगा कि कौन-सी जानकारी मुझे identify करती है
कंपनियों के पास इस प्रक्रिया को जितना हो सके उतना कठिन बनाने का incentive है, इसलिए data hash आधारित solution स्वेच्छा से आने की संभावना कम है; इसके लिए कड़े regulation और भारी fines चाहिए
एक समस्या यह भी है कि deletion request वाले data का ownership कैसे prove किया जाए। सबसे प्रगतिशील privacy regulations में गिने जाने वाले EU के GDPR में भी कंपनियाँ request करने वाले से और ज़्यादा personal information माँगकर नियमित रूप से इसका उल्लंघन करती हैं
ऐसी services अक्सर उन कंपनियों से जुड़ी होती हैं जो email addresses का कारोबार करती हैं, इसलिए deletion के लिए दिया गया आपका email marketers या data brokers को बेचा जा सकता है
नतीजा यह हो सकता है कि spam और unwanted contact और बढ़ जाएँ, या email खरीदने वाले के हिसाब से targeted ads पीछे पड़ जाएँ
यह मानना उचित हो सकता है कि कोई legitimate company deletion request भेजने से पहले यह verify करेगी कि उस company के पास वाकई वह जानकारी है या नहीं
बेशक मैं ग़लत भी हो सकता हूँ और मेरे पास कोई proof नहीं है, लेकिन एक sample के आधार पर इतना अनुमान तो ठीक लगता है
terms of service देखकर लगता है कि Mozilla Monitor भी यही service इस्तेमाल करता है। यह काफ़ी गंभीर है
https://www.mozilla.org/en-US/about/legal/terms/subscription...
अब तक तो legal team incident response mode में चली गई होगी
जब कोई organization खुद कुछ नहीं करती और ज़िम्मेदारी व कानूनी बोझ किसी बाहरी partner पर डाल देती है, तो यह उन्हीं समस्याओं में से एक है
अगर आपने Mozilla Monitor को personal information सौंपी है, तो legal contact terms page पर है: https://www.mozilla.org/en-US/about/legal/terms/subscription...
उन terms में liability limit 500 डॉलर रखी गई है, और Mozilla को indemnity भी दी गई है
संदिग्ध कंपनियों पर भरोसा न करना आसान है, लेकिन Mozilla जैसे बड़े नाम से धोखा खाना बिल्कुल अलग बात है
ऐसे मामलों को किसी भरोसेमंद first party, यानी खुद व्यक्ति द्वारा सीधे संभालना बेहतर लगता है
data broker opt-out तरीकों की सूची: https://github.com/yaelwrites/Big-Ass-Data-Broker-Opt-Out-Li...
अभी मैं YC company Optery(https://www.optery.com/) इस्तेमाल कर रहा हूँ, और अगर इसमें कोई समस्या हो तो उसके बारे में सुनना चाहूँगा
दिक्कत यह है कि 200 से ज़्यादा data brokers हैं, और उन सब से निपटने का समय नहीं है
मुझे India call center में फ़ोन करना पड़ा, और शिष्ट बने रहते हुए डटे रहना पड़ा, साथ ही उनकी “service” की मार्केटिंग कई बार सुननी पड़ी
आखिरकार उन्होंने नाम हटा दिया, लेकिन कहा कि यह फिर से दिखाई दे “सकता” है
वह 2018 की बात थी, और अब site search में मेरा नाम नहीं आता। लेकिन mylife की घटिया emails, जिनमें मेरे profile, परिवार और पड़ोसियों में “बदलाव” होने की बात कही जाती है, आज भी दिन में कई बार आती हैं
मैं ऐसे मामलों में third party से बचता हूँ। Krebs ने जैसा कहा, इससे घटिया data brokers और धमकीनुमा ढाँचे के बीच रिश्ता बन सकता है, और कुछ कंपनियाँ तो नाम हटाने के लिए अपनी fee का एक हिस्सा data broker को देती भी हैं
मैं नहीं चाहता कि ऐसे लोग इस काम से पैसा कमाएँ
वैसे, Mylife.com के founder और CEO Jeffrey Tinsley हैं, और लगता है कि इस data broker धंधे से उन्होंने काफ़ी पैसा कमाया है
https://securityplanner.consumerreports.org/
पहला ख़याल यह आया: “यह सारी जानकारी README में डालकर, इसे scrape करने में आसान JSON list क्यों नहीं बनाया गया?”
उसके बाद सोचा, “क्यों न किसी AI दोस्त से README स्कैन करवा कर सारे opt-out काम ही करवा लिए जाएँ?”
पुराने Ironport की याद आ गई
Ironport enterprise rackmount spam filtering उपकरण बनाता था, और साथ ही enterprise rackmount spam sending उपकरण भी बनाता था
उसी ने उसकी प्रतिष्ठा खराब की
अधिग्रहण से पहले यह सचमुच शानदार उपकरण था
सोच रहा हूँ कि क्या reputation protection companies में कोई दूसरी strategy इस्तेमाल करता है
यानी service माँगने वाले हर user के लिए उसी नाम की fake identities के हज़ारों रिकॉर्ड बना दिए जाएँ, और उन्हें ऐसे ढीले-ढाले profiles से भर दिया जाए जो मूल user से बहुत मिलते-जुलते हों, लेकिन पूरी तरह मेल न खाते हों
अगर कोई उस व्यक्ति को search करे, तो results कचरा जानकारी से भर जाएँ
अगर लीक हुई पहचान मिटाना बहुत मुश्किल है, तो शायद जंगल में पेड़ छिपाने वाला तरीका बेहतर हो
एक interview में उन्होंने कहा था कि उनका शौक छोटे लाल bus की तस्वीरें बनाना है, जबकि जिस scandal को वे दबाना चाहते थे वह Brexit campaign में इस्तेमाल हुई असली लाल bus पर किया गया झूठा और भद्दा प्रचार था
आम तौर पर इसे disinformation कहा जाता है
“इंटरनेट के शिखर” जैसी चीज़ों में मेरी निजी पसंद वे sites हैं जो दावा करती हैं कि धरती के हर व्यक्ति के लिए “arrest record found” है, और उसे दिखाने के लिए 49 डॉलर माँगती हैं
अगर बात आप ही की हो, तो हटाने के लिए 99 डॉलर माँगती हैं
गंभीरता से कहूँ तो, दोनों पक्षों से सौदा करने या protection money बेचने वाला model काफ़ी मुनाफ़ेदार business है
यहाँ एक YC company का ज़िक्र करना बनता है। यह opt-out requests submit करती है, और मुझे यह Onerep से काफ़ी कम संदिग्ध लगती है
https://www.optery.com/
मैं इससे जुड़ा नहीं हूँ, बस एक user हूँ
आजकल ऐसा बहुत दिख रहा है। शायद यह सिर्फ़ पहले से ज़्यादा नज़र आने लगा है
एक और उदाहरण है वे लोग जो राजनीतिक रूप से बँटे हुए दोनों पक्षों को political T-shirts बेचते हैं। उनमें से कुछ काफ़ी आक्रामक या आपत्तिजनक भी होते हैं
खासकर आक्रामक और आपत्तिजनक merchandise में तो और भी ज़्यादा
ध्रुवीकरण और भावनाएँ इतनी ऊँची हैं कि मैं अक्सर सोचता हूँ कि इसमें कमाई कितनी होती होगी
हालाँकि यह पूरी तरह वही बात नहीं है। यहाँ मामला यह है कि बाज़ार को जानबूझकर ऐसे service खरीदने के लिए गुमराह किया जाता है जिसकी ज़रूरत ही नहीं, और यह लगभग extortion business जैसा है
अगर search engines मेरे बारे में 0 results लौटाएँ, तो मैं उसे अच्छी स्थिति मानूँगा
अपनी personal information को लापरवाही से सार्वजनिक जगहों पर नहीं डालना चाहिए। इसमें LinkedIn profile भी शामिल है
अगर आप business owner हैं, तो मेरे पास उसका हल नहीं है, लेकिन उस स्थिति में भी exposure को जितना हो सके कम रखना बेहतर है