1 points par GN⁺ 2024-03-23 | 1 commentaires | Partager sur WhatsApp
  • Le partenariat avec Onerep récemment intégré à Firefox est en cours de réduction puis d’arrêt juste après la polémique sur un conflit d’intérêts du CEO, ce qui renforce les doutes sur la fiabilité de Mozilla Monitor Plus
  • Onerep était un service payant supprimant les données des utilisateurs sur des centaines de sites de recherche de personnes, mais son fondateur Dimitiri Shelest conservait une participation dans le courtier en données Nuwber
  • Shelest a nié tout partage d’informations ou toute exploitation croisée entre Nuwber et Onerep, mais le point central reste qu’il vendait un service de suppression de données tout en étant lié à l’activité de recherche de personnes
  • Mozilla a déclaré que les données des clients n’avaient jamais été exposées à un risque, mais prépare un plan de transition en estimant que les intérêts financiers externes et les activités du CEO ne sont pas compatibles avec ses valeurs
  • Cette affaire met en lumière la manière dont les courtiers en données et le secteur de la recherche de personnes se développent en exploitant les exceptions liées aux archives publiques et gouvernementales, et relance le débat sur la protection des données des consommateurs et la régulation de la vie privée

Retrait d’Onerep de Mozilla Monitor Plus

  • Mozilla, l’organisation à but non lucratif derrière Firefox, a lancé un processus de réduction puis d’arrêt de son nouveau partenariat avec le service de protection de l’identité Onerep
  • Onerep avait récemment été intégré à Firefox et proposait un service de suppression des informations des utilisateurs sur des centaines de sites de recherche de personnes
  • Le mois dernier, Mozilla a commencé à proposer Onerep comme fonctionnalité payante par abonnement dans Mozilla Monitor Plus
  • Mozilla Monitor a été lancé en 2018 sous le nom de Firefox Monitor et vérifie les données de Have I Been Pwned? pour indiquer si une adresse e-mail ou un mot de passe figure dans une fuite de données

L’historique du CEO d’Onerep dans la recherche de personnes

  • Une enquête du 14 mars a révélé que Dimitiri Shelest, CEO et fondateur biélorusse d’Onerep, avait lancé plusieurs services de recherche de personnes depuis 2010
  • Parmi eux figurait Nuwber, un courtier en données toujours actif qui vend des rapports de background sur des individus
  • Onerep et Shelest n’ont pas répondu aux demandes de commentaire concernant l’enquête du 14 mars
  • Dans une longue déclaration publiée le 21 mars, Shelest a reconnu conserver une participation dans Nuwber, courtier en données grand public fondé en 2015
    • 2015 correspond à peu près à la période de lancement d’Onerep
    • Shelest a affirmé que Nuwber n’avait « aucune exploitation croisée ni aucun partage d’informations » avec Onerep
    • Il a soutenu que d’autres anciens domaines pouvant être associés à son nom n’étaient plus exploités par lui
  • Shelest a expliqué que, même si cette relation avec le secteur de la recherche de personnes peut sembler étrange vue de l’extérieur, son expérience initiale acquise en étudiant en profondeur le fonctionnement de ces sites a conduit à la technologie et à l’équipe d’Onerep
  • La déclaration complète de Shelest a été publiée au format PDF

La position de Mozilla et la transition des clients

  • Un porte-parole de Mozilla a indiqué que l’entreprise s’éloignait de l’utilisation d’Onerep comme prestataire de service pour le produit Monitor Plus
  • Mozilla a déclaré que les données des clients n’avaient jamais été exposées à un risque, mais a estimé que les intérêts financiers externes et les activités du CEO d’Onerep n’étaient pas compatibles avec les valeurs de Mozilla
  • L’entreprise est en train de définir un plan de transition visant à garantir une expérience sans interruption pour les clients et à faire passer leurs intérêts en priorité

Soupçons de lien avec Spamit et activité publicitaire

  • L’adresse e-mail de Shelest aurait été utilisée vers 2010 par un affilié de Spamit
  • Spamit était une organisation russophone qui rémunérait les personnes faisant la promotion agressive de sites vendant des médicaments pour l’amélioration des performances masculines et des médicaments génériques
  • Selon l’enquête du 14 mars, ce lien a été confirmé par les recherches de plusieurs étudiants de troisième cycle de la George Mason University
  • Shelest a nié tout lien avec Spamit
    • Il a indiqué avoir créé des pages web et effectué du référencement (SEO) entre 2010 et 2014 avant d’y apposer des bannières AdSense
    • Cela semble faire référence à plusieurs domaines de recherche de personnes que KrebsOnSecurity a liés à son adresse e-mail
    • Il a expliqué qu’il s’était ensuite rendu compte que beaucoup de demandes concernaient la recherche de personnes
  • Shelest a reconnu qu’Onerep diffusait dans certains cas de la publicité sur certains sites de courtiers en données
    • Les publicités s’affichent après que l’utilisateur a rempli lui-même un formulaire d’opt-out
    • Selon lui, l’objectif est d’indiquer qu’une présence sur un site peut signifier une présence ailleurs aussi, et de présenter des options d’opt-out automatisées comme Onerep

Le secteur des courtiers en données et le vide réglementaire

  • Le fondateur de Have I Been Pwned, Troy Hunt, a déclaré qu’il savait que Mozilla réexaminait son partenariat avec Onerep, mais qu’il ignorait les multiples conflits d’intérêts du CEO d’Onerep
  • Hunt a expliqué avoir indiqué à Mozilla que l’efficacité de la suppression des données sur des services légalement exploités était limitée, et qu’il n’était pas possible de retirer les données des services illégaux qui causent les véritables préjudices
  • Le fait de créer et de diffuser un problème tout en vendant un service censé le résoudre peut être contraire à l’éthique, mais ce n’est pas illégal aux États-Unis
  • Aux États-Unis, le fait de collecter et vendre des données sur des citoyens américains n’est pas illégal en soi
  • Les spécialistes de la vie privée estiment que la raison d’être des courtiers en données, des services de recherche de personnes comme Nuwber et des sociétés de gestion de réputation en ligne comme Onerep tient au fait que la plupart des États américains excluent les archives publiques ou documents gouvernementaux des lois sur la vie privée des consommateurs
    • Cela inclut les listes électorales, les registres fonciers, les certificats de mariage, les fichiers automobiles, les casiers judiciaires, les documents de justice, les registres de décès, les licences professionnelles et les dépôts de bilan
    • Les courtiers en données peuvent enrichir les dossiers consommateurs avec des données issues des réseaux sociaux et des informations sur des personnes connues de l’individu
  • Trois enquêtes publiées en mars examinent le secteur des courtiers en données et de la recherche de personnes tout en soulignant la nécessité d’une supervision du Congrès ou d’une régulation sur la protection des données des consommateurs et la vie privée
    • L’article du 8 mars A Close Up Look at the Consumer Data Broker Radaris explique que les cofondateurs de Radaris exploitent plusieurs services de rencontre russophones et programmes d’affiliation
    • Cette même enquête indique également que plusieurs de leurs activités semblent liées à une société de marketing californienne travaillant avec un groupe médiatique d’État russe visé par des sanctions du gouvernement américain
    • L’article du 20 mars The Not-So-True People-Search Network from China révèle qu’un réseau de fausses sociétés de recherche de personnes et de faux dirigeants a été créé pour dissimuler la localisation en Chine d’un affilié du secteur

1 commentaires

 
GN⁺ 2024-03-23
Avis sur Hacker News
  • Si l’entreprise A crée un problème et que l’entreprise B gagne de l’argent en le résolvant, alors B profite du fait que A aggrave le problème.
    A et B ont donc toutes deux intérêt à ce que le problème reste un problème, ce qui devient une relation symbiotique où les deux extraient du profit sans apporter de bénéfice net à la société.
    C’est de la recherche de rente, cela pèse sur l’économie et c’est difficile à justifier sur le plan éthique.
    Ce problème ne peut être résolu que par la régulation.

    • Il y a eu récemment sur HN un article à propos des agences gouvernementales, et plus largement aussi des entreprises privées, expliquant qu’une organisation créée pour résoudre le problème X finit avec le temps par évoluer dans un sens qui, sans forcément créer le problème, rend sa résolution plus difficile.
    • Microsoft a en quelque sorte les entreprises A et B réunies dans une seule entité.
      Elle vend un OS et des environnements cloud très peu sûrs, puis revend des outils de sécurité pour corriger les problèmes qu’elle a elle-même créés au départ.
    • La structure ressemble à un racket de protection.
  • Je pense que pour valider ce genre de partenariat, il faut quelqu’un de très compétent, avec des principes et un esprit sceptique.
    Ce n’est pas quelque chose à confier à quelqu’un qui raisonne surtout en termes de business development ou de carrière.
    À présent, pour la réaction a posteriori, il semble falloir un combattant capable de trouver un moyen de démanteler légalement toute cette organisation.
    Cela pourrait être cohérent avec la mission de Mozilla, mais surtout, c’est nécessaire pour restaurer la réputation de Mozilla, abîmée par cette affaire.
    Par exemple, même si l’autre partie a réussi à s’en sortir d’une manière ou d’une autre face aux consommateurs, il peut exister, dans sa transaction avec Mozilla, un nouvel angle d’attaque relevant d’un autre type de fraude, et Mozilla a bien plus de moyens que la plupart des particuliers pour poursuivre ce problème.

    • S’il est possible de l’attaquer pour fausse déclaration ou quelque chose de similaire, je crois que je l’encouragerais à chaque fois depuis le bord du terrain.
      S’il existait une sorte de fonds légal d’attaque contre les entreprises de stalkers, je pourrais même y contribuer financièrement.
    • Je ne vois pas ce qu’il faudrait poursuivre.
      Mozilla devrait, s’il vous plaît, se contenter de faire des navigateurs.
      C’est un concept simple, pas besoin d’un discours qui ressemble à ChatGPT passé en mode dramatique.
    • Pour ajouter ma réflexion à cette analogie : si le vendeur Joe a vendu une voiture d’occasion à son ami Al et qu’il s’est avéré que c’était une épave, les leçons à en tirer se répartissent en plusieurs niveaux.
      a) C’était une erreur honnête, les voitures d’occasion ont ce genre de variabilité, le marché corrigera le problème, et, si nécessaire, on peut encore se sentir à l’aise pour acheter une voiture d’occasion à Joe.
      b) Joe savait que la voiture était défectueuse mais a pris Al pour un pigeon et l’a caché ; comme je m’y connais mieux en voitures qu’Al ou que je lis mieux les gens, je dois être prudent si j’achète à Joe.
      c) Joe ne vend que des voitures défectueuses, son modèle économique consiste à exploiter les gens, donc il n’y a aucun moyen d’obtenir une bonne affaire avec Joe et il faut regarder ailleurs.
      d) Tous les vendeurs de voitures d’occasion ont ce modèle économique, donc il ne faut pas acheter de voiture d’occasion chez des professionnels de la vente d’occasion.
      e) Tous les modèles économiques où il existe une asymétrie d’information entre acheteur et vendeur sont comme ça ; il ne faut donc pas acheter des biens dont on ne peut pas connaître le plancher d’utilité, et il faut des dispositifs comme des garanties.
      Ce n’est qu’un exemple montrant le spectre de l’hostilité que l’on suppose.
      Il y a eu récemment sur HN un article disant que les vendeurs se font au contraire plus facilement duper ; à mon avis, c’est parce que les vendeurs ont tendance à voir la réponse à cette question comme (b), et qu’ils ne traitent en réalité qu’avec des gens qui pensent (a), (b) ou (c).
      En fait, ce n’est pas propre aux vendeurs : on retrouve quelque chose de similaire dans la pensée façon MBA.
      La croyance centrale du MBA est qu’en contournant les structures réglementaires et la psychologie des gens, on peut les amener à payer plus que ce qu’a coûté la fabrication d’un produit ; et les revenus des MBA viennent finalement de là.
      Pour quelqu’un qui voit la réponse à la question ci-dessus comme (b), ce mode de pensée paraîtra beaucoup plus naturel.
      C’est pourquoi, quand j’entends qu’une entreprise a décidé d’acheter quelque chose, surtout un service, j’ai généralement l’intuition que l’acheteur était un idiot facile à berner et que tout fonctionnerait beaucoup mieux si l’on empêchait tout le monde d’acheter quoi que ce soit.
      Personnellement, je ne pense pas qu’il faille un scepticisme féroce pour régler ce problème.
      Une solution beaucoup moins chère et plus simple serait d’instaurer une interdiction des achats inutiles.
      Mozilla n’a absolument pas besoin d’être cliente.
  • Les outils existants de suppression auprès des data brokers ont tous des défauts, parce qu’ils utilisent du travail manuel pour retirer les utilisateurs des sites, et que ce travail est principalement effectué par une main-d’œuvre du tiers-monde
    Chez https://redact.dev, nous développons une approche purement logicielle qui traite les opt-out directement depuis l’appareil de l’utilisateur
    Nous prenons déjà en charge la suppression en masse sur plus de 40 réseaux sociaux et utilitaires

    • Je déteste vraiment cette tendance à tout transformer en service par abonnement
      Je peux imaginer un marché de niche pour ceux qui veulent continuer à supprimer du contenu plus ancien qu’une durée arbitraire, mais il me semble que la plupart des utilisateurs n’ont besoin de ce genre de service qu’occasionnellement
      Les tarifs semblent d’ailleurs le reconnaître implicitement : l’abonnement mensuel est à 35 $/mois, alors que l’annuel revient à 8 $/mois
      Je ne sais vraiment pas qui ils s’attendent à voir renouveler volontairement chaque mois
      Il est difficile de contester que ceux qui oublient de résilier financent le service, mais comme modèle économique, ça me met mal à l’aise
    • Ça explique pourquoi, sur Reddit, on voit ce flux qui consiste à modifier ses messages pour les remplacer par du contenu vide de sens avant de les supprimer
      Personnellement, je pense que ce comportement appauvrit le Web en tant que base de connaissances
      On a le droit de le faire avec son propre contenu, mais à grande échelle, cela rend Internet moins utile comme outil, et c’est un peu triste, d’autant que les scrapers ont sans doute déjà les données de toute façon
    • Ce n’est pas vraiment un défaut
      Le vrai défaut, c’est que les entreprises de ce secteur centralisent les données pour les revendre, tout en ajoutant à leurs jeux de données une nouvelle ligne indiquant « souhaite effacer ses traces de données »
    • easyoptouts.com, où je travaille, n’utilise pas de travail manuel : tout est automatisé
      Il est clairement important de ne pas donner accès aux données à davantage de personnes
      L’automatisation nous permet aussi d’avoir des prix bien plus bas que la plupart des services similaires
    • Beaucoup de data brokers rendent évidemment, et délibérément, la suppression des informations très difficile
      C’est pourquoi même des entreprises de suppression sérieuses doivent en partie s’appuyer sur du travail manuel
      Ce serait bien que tout soit entièrement automatisé, mais j’aurai du mal à y croire tant que je ne l’aurai pas vu
      La dernière fois que j’ai vérifié, Optery procédait à des suppressions auprès de plus de 325 sites
      Bonne chance, mais il reste beaucoup de chemin
      Modification : cela semble être un service complètement différent
      La suppression en masse d’anciens posts et la suppression des informations personnelles identifiables chez des data brokers sont deux choses distinctes
  • Un outil qui enverrait des demandes d’opt-out en masse à toutes les entreprises avec lesquelles j’ai eu affaire, je ne pourrais lui faire confiance que s’il était gratuit et open source
    Même avec de bonnes intentions, le commerce devient un autre moyen de suivi

    • Impossible
      Du code open source ne peut pas disposer d’une procuration limitée, et les data brokers liraient le code pour contourner la logique de remplissage des formulaires
  • Je le savais
    https://news.ycombinator.com/item?id=39280369

    • C’est vrai, mais à l’époque il n’y avait aucune preuve, ni raisonnement, ni rien qui permette de dépasser la simple supposition
      Si l’on jette assez de spaghetti contre le mur, quelques-uns finiront toujours par coller
  • Je pense que les intentions de Mozilla allaient dans la bonne direction, mais il est assez décevant que leur vérification des partenaires n’ait pas examiné plus sérieusement quelque chose que des doctorants de GMU ont pu mettre au jour
    Je me demande s’il n’existe pas d’autres liens douteux encore non révélés avec des services similaires
    Je garde aussi un œil sur DeleteMe, sponsor de podcasts populaires

    • C’est pour cela qu’il est important d’exiger de toutes les entreprises la divulgation des bénéficiaires effectifs
      Le monde est rempli de gens prêts à vous empoisonner exprès pour vendre l’antidote, ou mieux encore, un traitement à vie
    • Kanary faisait partie de l’incubateur de Mozilla et c’est fondamentalement un très bon service ; j’ai du mal à comprendre pourquoi ils se sont associés à Onerep
    • Ce qui compte, c’est ce qu’il a fallu aux doctorants de GMU pour le découvrir
      En général, les doctorants ont plus de temps et peuvent avoir largement assez d’expertise
      Une fois diplômés et embauchés chez Mozilla, ils n’auraient peut-être pas assez de temps libre pour creuser des pistes peu probables
    • Je suis cofondateur de DeleteMe
      Cela fait 15 ans que nous créons et fournissons des outils de protection de la vie privée, et que nous échangeons aussi sur HN
      Je répondrai volontiers aux questions, mais ce serait bien d’y aller un peu plus doucement sur les accusations sans fondement
    • C’est un peu comme promouvoir Firefox comme navigateur axé sur la vie privée tout en s’associant à Google : ils n’ont pas correctement vérifié leur partenaire
  • J’ai dû accepter que la vie privée est complètement, irréversiblement morte
    Les personnes qui ont du pouvoir ou de l’argent peuvent désormais découvrir presque tout sur vous, et peut-être même davantage que ce que vous savez et comprenez vous-même
    Qui a le temps de documenter régulièrement et minutieusement tous les aspects de sa vie et de ses actes, ainsi que tous les liens qui en découlent, puis d’y réfléchir ?
    Rien ne changera tant que le Sénat, la Chambre et le président ne se mobiliseront pas massivement pour rendre illégale, avec de véritables sanctions, cette pratique répugnante et sans fin consistant à surveiller les gens pour les affaiblir et s’enrichir
    Cela n’arrivera jamais, parce que le gouvernement américain est à la fois l’un des plus gros clients et l’un des plus gros fournisseurs de ces services
    Mozilla est presque l’une des dernières organisations à seulement parler encore de protection de la vie privée, et même Mozilla s’est retrouvée dans le même bateau que cette personne
    Voilà pourquoi la situation est si désespérée

    • Les data brokers publient gratuitement sur le Web ouvert beaucoup d’informations personnelles identifiables
      Il ne coûte rien de trouver le nom de quelqu’un, toutes les adresses où il a vécu, les noms des membres de sa famille, etc.
  • Ces entreprises devraient être pulvérisées
    J’attends que l’UE se saisisse rapidement du problème

    • Ce qui est au moins aussi effrayant, ce sont les entreprises qui permettent de faire de la recherche par reconnaissance faciale sur tout le Web crawlable
  • Je ne veux clairement pas que Mozilla soutienne une organisation de recherche de personnes, mais je me demande si c’est vraiment ce qui se passe ici
    L’expertise acquise dans la recherche de personnes est précisément celle dont on a besoin pour retirer des gens des listes utilisées par ces organisations
    La vraie question est de savoir s’il y a du courtage de données en dehors d’Onerep
    Cela ressemble à un cas où les apparences l’ont emporté sur la réalité

    • Il ne s’agit pas simplement d’avoir de l’expérience : cette personne est encore liée comme investisseur à une entreprise qui fait de mauvaises choses
      Elle joue sur les deux tableaux en même temps