Le CEO de l’entreprise de protection de la vie privée Onerep.com a fondé des dizaines de sociétés de recherche de personnes
(krebsonsecurity.com)- Dimitri Shelest, fondateur d’Onerep.com, qui vend la suppression de données personnelles, aurait été lié à plusieurs services de recherche de personnes, ce qui soulève des doutes sur la fiabilité du service et de possibles conflits d’intérêts
- Onerep affirme supprimer des informations personnelles sur près de 200 sites de recherche de personnes et commercialise des offres à partir de 8,33 $/mois pour un particulier et 15 $/mois pour une famille, tout en visant aussi des clients d’entreprise et du secteur public
- Des archives de DomainTools et Constella Intelligence font apparaître à plusieurs reprises ensemble l’e-mail de Shelest, un numéro de téléphone biélorusse, ainsi que des domaines liés à Onerep, Nuwber et des moteurs de recherche de personnes par pays
- Dans une mise à jour du 21 mars, Shelest a reconnu détenir une participation dans Nuwber, tout en affirmant qu’il n’existe ni partage d’informations ni opérations croisées avec OneRep, et que d’anciens autres domaines ne sont plus exploités
- Mozilla a indiqué que le service de suppression automatique de données de Mozilla Monitor était un partenariat avec OneRep, précisant avoir reçu confirmation que les relations passées avaient pris fin, tout en disant examiner davantage le sujet
Service d’Onerep et clientèle visée
- Onerep.com se présente comme un service basé en Virginie et affirme supprimer des données personnelles sur près de 200 sites de recherche de personnes
- L’offre “Protect” démarre à 8,33 $/mois pour un particulier et 15 $/mois pour une famille
- Pour les entreprises, le service vend une offre visant à faire retirer en continu les données des employés des sites de recherche de personnes
- Parmi les cas clients présentés sur Onerep.com figure un contrat couvrant les employés de Permanente Medicine
- Permanente Medicine représente les médecins de Kaiser Permanente
- Onerep indique également avoir obtenu des résultats auprès de services de police américains
Le lien établi par les domaines et les archives e-mail
- Onerep.com présente son fondateur et CEO comme Dimitri Shelest, originaire de Minsk, en Biélorussie, et le profil LinkedIn de Shelest contient la même information
- Les archives d’enregistrement historiques de DomainTools.com indiquent que Shelest apparaît comme déclarant de onerep.com avec l’adresse dmitrcox2@gmail.com
- Les résultats de recherche de Constella Intelligence associent le nom Dimitri Shelest aux informations suivantes
-
dimitri.shelest@onerep.com
-
d.sh@nuwber.com
- Numéro de téléphone biélorusse +375-292-702786
- Nuwber.com est un service de recherche de personnes et fait partie des nombreux sites qu’Onerep présente comme cibles de suppression de données
- Le site d’Onerep précise que « OneRep n’est pas lié à Nuwber.com »
- Cependant, Constella a trouvé que le numéro biélorusse 375-292-702786 lié à Nuwber avait été utilisé à plusieurs reprises avec l’adresse dmitrcox@gmail.com
- DomainTools indique que comversus.com est lié à la fois à dmitrcox@gmail.com et dmitrcox2@gmail.com
- Parmi les domaines dont les archives WHOIS montrent ensemble ces deux e-mails figurent careon.me, docvsdoc.com, dotcomsvdot.com, namevname.com, okanyway.com, tapanyapp.com
-
Des dizaines de domaines de recherche de personnes et les premiers indices autour d’Onerep
- Une recherche de dmitrcox@gmail.com dans DomainTools le relie à au moins 179 enregistrements de domaines, dont beaucoup correspondaient à d’anciennes sociétés de recherche de personnes aujourd’hui inactives
- Ces domaines visaient des citoyens de nombreux pays, notamment l’Argentine, le Brésil, le Canada, le Danemark, la France, l’Allemagne, Hong Kong, Israël, l’Italie, le Japon, la Lettonie, le Mexique, entre autres
- En 2016, nuwber.fr affichait le même contenu que la page d’accueil de Nuwber.com à l’époque
- Le même e-mail et le même numéro biélorusse apparaissent aussi dans les archives d’enregistrement de nuwber.at, nuwber.ch, nuwber.dk
- Les anciennes archives WHOIS de onerep.com montrent qu’il était initialement enregistré au nom d’un résident de Sioux Falls, dans le Dakota du Sud, puis qu’il a été transféré vers eNom depuis GoDaddy.com autour de septembre 2015, les informations d’enregistrement passant ensuite derrière une protection de confidentialité
- À cette période, DomainTools montre que onerep.com a commencé à utiliser les serveurs de noms du fournisseur DNS constellix.com
- Nuwber.com est lui aussi apparu pour la première fois fin 2015, a été enregistré via eNom et a commencé à utiliser le DNS de constellix.com presque au même moment
- LinkedIn indique que Dimitri Bukuyazau a été chef de produit chez OneRep.com de 2015 à 2018
- Ce profil ne mentionne pas Nuwber
- Constella Intelligence a trouvé les e-mails employés d.bu@nuwber.com et d.bu+figure-eight.com@nuwber.com pour nuwber.com, le second ayant été enregistré sous le prénom « Dzmitry »
- PrivacyDuck a affirmé en 2017 avoir des éléments permettant de considérer OneRep et Nuwber comme une seule et même société, mais onerep.com est entièrement exclu de la Wayback Machine, ce qui rend difficile la vérification de son fonctionnement initial
- La Wayback Machine accepte ce type de demande d’exclusion lorsqu’elle émane directement du propriétaire du domaine
Historique de domaines plus large et polémique sur le conflit d’intérêts
- Le nom, le numéro de téléphone et les e-mails de Shelest apparaissent aussi dans les archives d’enregistrement de nombreux services de recherche de personnes par pays
- Ex. : pplcrwlr.in, pplcrwlr.fr, pplcrwlr.dk, pplcrwlr.jp
- Ex. : peeepl.br.com, peeepl.in, peeepl.it, peeepl.co.uk
- Ex. : waatpp.de, waatp1.fr, azersab.com, ahavoila.com
- dmitrcox@gmail.com a aussi été relié à l’un des e-mails d’affiliation du programme russophone de spam pharmaceutique Spamit, dévoilé en 2010
- Spamit versait des commissions aux spammeurs quand des médicaments d’amélioration des performances masculines étaient vendus via des sites promus par spam
- Cet e-mail ne faisait pas partie des affiliés les plus rentables
- Le profil Facebook de Shelest indiquait qu’il vivait à Minsk et était marié ; d’après une mise à jour du 16 mars 2024, ce compte n’est plus actif
- Des activités Facebook remontant à plus de dix ans montraient de nombreux likes sur des pages de profil de sites de recherche de personnes
- DomainTools indique que ces sites étaient enregistrés avec dmitrcox@gmail.com
- Ex. : findita.com, findmedo.com, folkscan.com, huntize.com, ifindy.com, jupery.com
- Max Anderson, chief growth officer de 360 Privacy, a déclaré qu’un lien direct entre un service de suppression de données et des sites de data brokers était préoccupant
- Selon Anderson, il est contraire à l’éthique d’exploiter une entreprise qui vend les informations des gens tout en leur facturant ensuite leur suppression
Réponse de Shelest et partenariat avec Mozilla Monitor
- Dans une mise à jour du 21 mars 2024, Shelest a fourni une longue réponse
- Il a reconnu conserver une participation au capital de Nuwber
- Il a affirmé qu’il n’existait « absolument aucune opération croisée ni partage d’informations » avec OneRep
- Il a déclaré que d’anciens autres domaines pouvant être liés à son nom ne sont plus exploités par lui
- Shelest a reconnu que ses liens avec le secteur de la recherche de personnes pouvaient paraître problématiques vus de l’extérieur, mais a affirmé que sans cette trajectoire initiale, très ancrée dans le fonctionnement de ces sites, Onerep n’aurait pas acquis la technologie et l’équipe nécessaires dans ce domaine
- Il a reconnu ne pas avoir clarifié plus tôt cette relation de manière plus explicite et a dit vouloir faire mieux à l’avenir
- La réponse complète est fournie en PDF
- Une mise à jour du 15 mars 2024 ajoutait que Mozilla Monitor de la Mozilla Foundation propose OneRep dans son offre groupée
- Mozilla Monitor est proposé en service gratuit ou via un abonnement payant
- Le service gratuit d’alerte sur les violations de données repose sur un partenariat avec Have I Been Pwned
- Le service de suppression automatique de données est un partenariat avec OneRep visant à retirer des données personnelles d’annuaires publics en ligne et de sites agrégateurs d’informations
- Mozilla a indiqué avoir évalué si le service de suppression de données d’OneRep fonctionnait conformément à ses principes de protection de la vie privée
- Mozilla a déclaré qu’elle connaissait les relations passées évoquées dans l’article et qu’elle avait reçu confirmation de leur fin avant de commencer à travailler ensemble
- Mozilla a ajouté examiner davantage le sujet et faire de la confidentialité et de la sécurité de ses clients sa priorité
1 commentaires
Avis sur Hacker News
Ce n’est pas vraiment un secret que beaucoup d’entreprises de gestion de réputation possèdent aussi des sites de registres publics qui publient des mugshots, des dossiers judiciaires, etc.
Quand on leur confie la suppression d’informations sur Internet, elles les retirent d’un ou deux sites qu’elles exploitent, puis les republient ailleurs, et l’on se retrouve pris dans une boucle.
Au final, cela devient un jeu de la taupe sans fin, avec en plus un abonnement mensuel.
Ils bloquent des serveurs mail sans raison particulière, puis obligent à suivre une procédure de déblocage.
Si l’on paie, le problème disparaît comme par magie, et la seule liste de blocage qui posait systématiquement problème était toujours celle de Proofpoint.
Elles aspirent sans retenue des informations personnelles sans possibilité de se désinscrire, les conservent qu’elles soient exactes ou non, et refusent de supprimer même des données manifestement erronées.
Puis elles gèrent ces données de manière négligente, les laissent toutes fuiter dans la nature, et vous disent de payer à vie pour de la surveillance de crédit parce que des informations impossibles à changer se sont répandues chez des personnes mal intentionnées.
À votre avis, qui possède la plupart de ces services de surveillance de crédit ?
La seule différence, c’est que ces actes-là sont illégaux.
On pourrait appeler ça la mafia de la confidentialité des données.
Certains lieux interdisent l’usage des smartphones et demandent de déposer son téléphone à l’entrée comme on laisse son manteau au vestiaire.
Un ami journaliste laisse souvent son smartphone chez lui.
Je ne peux pas entrer dans les détails, mais je connais quelqu’un qui a dû traiter les demandes de suppression de ce type d’entreprises de “confidentialité”.
Cette entreprise de confidentialité prenait des informations personnelles comme le nom et l’e-mail de l’utilisateur, puis les envoyait par e-mail à toutes les entreprises auxquelles elle pensait, qu’un compte existe ou non, pour leur demander de le supprimer.
Mais c’est aussi un problème de poule et d’œuf : pour demander la suppression de mes informations, je dois indiquer quelles données m’identifient.
Les entreprises ont intérêt à rendre cette procédure aussi difficile que possible, donc il est peu probable qu’une solution volontaire fondée sur des hashs de données apparaisse ; il faut une réglementation forte et des amendes élevées.
Il y a aussi la question de prouver que l’on est bien propriétaire des données visées par la demande de suppression. Même avec le RGPD de l’UE, que l’on peut considérer comme l’une des réglementations les plus avancées en matière de données personnelles, les entreprises enfreignent couramment ces règles en demandant davantage de données personnelles au demandeur.
Ces services sont souvent liés à des entreprises qui commercialisent des adresses e-mail ; en soumettant son e-mail pour demander une suppression, on peut donc le voir revendu à des marketeurs ou à des data brokers.
Au final, cela peut augmenter le spam et les contacts indésirables, voire entraîner de la publicité ciblée selon l’acheteur de l’adresse.
On peut supposer qu’un acteur légitime vérifie si l’entreprise détient bien des informations avant d’envoyer une demande de suppression.
Bien sûr, je peux me tromper et je n’ai pas de preuve, mais avec un seul échantillon, c’est une hypothèse plausible.
À lire les conditions, Mozilla Monitor semble utiliser le même service. C’est assez sérieux.
https://www.mozilla.org/en-US/about/legal/terms/subscription...
À ce stade, leur équipe juridique est probablement passée en mode gestion de crise.
C’est l’un des problèmes qui surviennent lorsqu’une organisation ne fait rien elle-même et transfère la responsabilité et le risque juridique à un partenaire externe.
Si vous avez confié des informations personnelles à Mozilla Monitor, le contact juridique se trouve sur la page des conditions : https://www.mozilla.org/en-US/about/legal/terms/subscription...
Ces conditions limitent la responsabilité à 500 dollars et accordent aussi une indemnisation à Mozilla.
ne pas faire confiance à une entreprise louche, c’est facile ; se faire avoir par un grand nom comme Mozilla, c’est une tout autre affaire.
Pour ce genre de choses, il semble préférable que ce soit une partie de première main fiable, c’est-à-dire vous-même, qui s’en charge directement
Liste des méthodes pour se désinscrire des data brokers : https://github.com/yaelwrites/Big-Ass-Data-Broker-Opt-Out-Li...
J’utilise maintenant Optery (https://www.optery.com/), une société YC, et s’il y a des problèmes, j’aimerais les connaître
Le problème, c’est qu’il y a plus de 200 data brokers et que je n’ai pas le temps de tous les traiter
J’ai dû appeler un centre d’appels en Inde et tenir bon poliment, tout en écoutant plusieurs fois leur promotion de leur « service »
Au final, ils ont supprimé mon nom, mais ils m’ont dit qu’il « pourrait » réapparaître
C’était en 2018, et aujourd’hui mon nom n’apparaît pas dans la recherche du site. En revanche, je reçois encore plusieurs fois par jour des e-mails poubelle de mylife m’indiquant qu’il y a des « changements » concernant mon profil, ma famille et mes voisins
J’évite les tiers pour ce genre de choses. Comme l’a dit Krebs, non seulement cela peut créer une structure de racket avec des data brokers douteux, mais certains prestataires versent aussi une partie de leurs frais aux data brokers pour faire supprimer les noms
Je ne veux pas que ces types soient payés pour cette activité
Pour référence, le fondateur et CEO de Mylife.com est Jeffrey Tinsley, et il semble avoir gagné pas mal d’argent avec ce business de data broker
https://securityplanner.consumerreports.org/
Ma première réaction a été : « pourquoi mettre toutes ces informations dans un README, au lieu d’en faire une liste JSON facile à scraper ? »
Puis je me suis dit : « est-ce qu’on ne pourrait pas simplement demander à un ami IA de parcourir le README et de faire toutes les démarches de désinscription ? »
Ça me rappelle l’ancien Ironport
Ironport fabriquait des appliances rackables de filtrage antispam pour les entreprises, et fabriquait en même temps des appliances rackables d’envoi de spam pour les entreprises
C’est ce qui a ruiné sa réputation
Avant le rachat, c’était vraiment un excellent matériel
Je me demande s’il existe des sociétés de protection de la réputation qui utilisent une autre stratégie
Pour chaque utilisateur qui demande le service, elles créeraient des milliers de fausses identités portant le même nom, avec des profils vagues presque identiques à l’utilisateur d’origine, mais pas tout à fait exacts
Quand quelqu’un chercherait cette personne, les résultats seraient noyés sous des informations de mauvaise qualité
Si supprimer une identité divulguée est trop difficile, mieux vaut peut-être cacher l’arbre dans la forêt
Dans une interview, il a dit que son hobby était de peindre de petits bus rouges, alors que le scandale qu’il voulait cacher concernait la publicité mensongère et grossière d’un vrai bus rouge utilisé pendant la campagne du Brexit
On appelle généralement ça de la désinformation
Mon exemple préféré dans la catégorie « sommet d’Internet », ce sont les sites qui prétendent que chaque personne sur Terre a un « casier judiciaire trouvé » et qui demandent 49 dollars pour l’afficher
Si c’est vous, ils vous demandent 99 dollars pour le supprimer
Plus sérieusement, faire affaire avec les deux camps, ou vendre une protection, est un modèle assez lucratif
Il y a une société YC qui mérite d’être mentionnée ici. Elle soumet les demandes de désinscription et me paraît beaucoup moins louche qu’Onerep
https://www.optery.com/
Je ne suis pas affilié, juste utilisateur
On voit beaucoup ce genre de choses ces derniers temps. Peut-être que c’est simplement plus visible qu’avant
Un autre exemple : les gens qui vendent des t-shirts politiques aux deux camps d’un clivage partisan. Beaucoup sont agressifs ou de mauvais goût
Surtout ceux qui sont agressifs et de mauvais goût
Le niveau de polarisation et d’émotion est tel que je me demande souvent à quel point c’est rentable
Mais ce n’est pas exactement la même chose. Ici, il s’agit de tromper délibérément le marché pour vendre un service dont il n’a pas besoin, ce qui relève quasiment du racket
Si un moteur de recherche renvoie 0 résultat à mon sujet, c’est une bonne situation
Il ne faut pas mettre ses données personnelles n’importe où en public. Cela inclut aussi le profil LinkedIn
Pour les propriétaires d’entreprise, je n’ai pas trouvé de solution, mais même dans ce cas, il vaut mieux réduire l’exposition autant que possible