Sigue El lado del mal en Telegram
Chema Alonso en Threads
Chema Alonso en Mastodon
Chema Alonso en BSKY
Chema Alonso en Linkedin
DragonJAR
8.8 Chile
Ekoparty
e-Hack MX 
AREA 51 
Comunidad Dojo Panamá 
ARPAHE SOLUTIONS 
Do NOT sell my information (e-mail & phone number) @lushadata
Durante los últimos meses he estado sufriendo un acoso bastante fuerte mediante llamadas a mi número de teléfono personal. Llamadas de todos los países del planeta que me han estado intentando localizar. Atendí las dos o tres primeras, para descubrir que todas ellas eran llamadas comerciales de empresas que querían venderme algo, buscar una reunión conmigo u ofrecerme algo.
Figura 1: Do NOT sell my information (e-mail & phone number)
Después de las primeras llamadas, comencé a ignorarlas y bloquear los números de esas empresas. Suponía que habían conseguido mi número de alguna manera, y que serían las mismas empresas con diferentes números. Pero no. Todas eran empresas distintas que tenían mi número.
Figura 2: Más de 30 llamadas en un día de todo el mundo he tenido
En un momento, acepté a hablar con una de ellas, y le pregunté cómo tenían mi número de teléfono. A esa pregunta me dijeron "De LinkedIN". Por supuesto, yo tengo todas mis opciones de privacidad de Linkedin revisadas, y tengo bloqueado todo, pero por si acaso lo revisé. Y no tenía ninguna información de contacto habilitada.
Figura 3: Visualizaciones de mi perfil en 90 días
Al final, mi perfil recibe muchas visitas, y no podría gestionar tantos contactos. Por eso uso mi cuenta de MyPublicInbox como único contacto a través de Internet, y por eso en la descripción de mi perfil de Linkedin pone claro que es el canal para contactar conmigo. ¿Quieres tener un contacto conmigo para lo que sea? Estoy abierto a ello. Tengo mi buzón público en Internet para algo, pero solo si eres respetuoso con mi tiempo. Ni spam, ni llamadas de teléfono a mi número personal.
Figura 4: Información "About Me"
Sin embargo, siguieron llegándome esas llamadas, así que en una de ellas decidí investigar un poco más y volví a preguntar "¿Cómo has conseguido mi número de teléfono?" nada más comenzar la charla. Y volvieron a decirme... "A través de Linkedin". Entonces contesté "No, no es posible. Tengo bloqueada esa información en Linkedin". La respuesta fue la pista: "Es que nosotros tenemos una extensión que mapea los números de teléfono con los perfiles de Linkedin y nos salen".
Figura 5: Una de las extensiones que venden los datos de contacto
asociados a perfiles de LinkedIN, Facebook o Twitter
Así que, misterio resuelto. Alguien, ilegalmente, ha metido mi número de teléfono personal, obtenido de cualquier lugar y los estaban monetizando. Algo que, han hecho de forma ilegal. Algunas compañías de las que se dedican al mismo tipo de negocio, ya tienen cuidado con esto.
Figura 6: "No Longer" for EU/UK Citizens
De hecho, alguna de esas plataformas ya ha tenido algún problema legal, porque como ya tiré del hilo, se han denunciado muchas de ellas, y en Europa, según el GDPR, si capturan un número de teléfono, deben capturar el consentimiento explícito para este caso de uso, algo que sé que no he dado en ningún sitio.
Figura 7: Do Not Sell My Information
No me quedé con el nombre de la extensión, así que me dediqué a buscar por Internet, y lo cierto es que es una autentica avalancha la cantidad de sitios que venden datos asociados a perfiles de Facebook, Twitter, LinkedIN, etcétera. Con paciencia, fui buscando en cada uno de ellos la forma de ejercer mis derechos y eliminar mis datos, y en casi todos tenían esa opción de "Do not sell my information", que debe ser lo que dicen la mayoría de las personas que acaban siendo acosados por culpa de estas plataformas.
Figura 8: Les tuve que dar mis datos para borrar mis datos
Por supuesto, me parece muy peligroso que los números de teléfono o direcciones de e-mail estén emparejados con los perfiles de Linkedin de los empleados de una empresa que es un buen lugar para buscar una víctima propicia. De esta forma se lo ponen muy fácil a los atacantes para hacer APTs de todo tipo, así que si tienes un equipo de seguridad en tu organización, prueba estas apps y exige que se borren los datos de todos tus empleados.
Figura 9: A ver si está "removed" para siempre
Yo lo hice de los dos sitios en los que aparecía, pero si alguno de vosotros ve que salgo en algún sitio, por favor, avisadme por los comentarios con el nombre de la extensión o plataforma donde aparezco para que pueda eliminarme.
Figura 10: Te piden todos tus datos.
Pero hay un caso muy especial, que es el caso de esta compañía: Lusha.
Lusha, una startup que hace un negocio feo con datos capturados ilegalmente
Curiosamente, después de hacer ese proceso en varios sitios, incluida la empresa LUSHA que dice que las relaciones B2B se basan en la confianza, y de recibir la confirmación de que ellos no tenían mis datos en su base de datos, como podéis leer aquí...
Figura 11: Respuesta de Lusha después de pedir el borrado de su BBDD
... recibí una llamada de la empresa Live Person. Hablé con ellos, y me confirmaron que habían obtenido mis datos desde Lusha, así que ya solo me quedó ponerle un Tweet a la empresa y al CEO, antes de pasar a ver cómo puedo denunciar a esta empresa.
@LushaData Hey, you put in your Database illegally, without having my GDPR consent. I did *your* online process to delete my personal data from your database. I put my phone number and you tell me "it´s not here" but... I double check with a new call that You have it illegally...
— Chema Alonso (@chemaalonso) April 12, 2022
Y basta mirar un poco qué tweets les han puesto para ver que no soy el primero, ni el único, que ha sufrido el mismo acoso por culpa del uso ilegal de mis datos por esta empresa.
Y muchas más quejas de muchas personas, lo que deja muy a las calaras que esta empresa, LUSHA, no tiene prácticas de negocio transparentes ni éticas, por lo que si se te pasa por la cabeza utilizar estos servicios, que sepas lo que hay detrás.
Figura 14: Más personas metidas ilegalmente en Lusha
No es la única empresa que hace esta venta de datos, y algunas plataformas, los exhiben en su web, con la información de contacto de las personas parcialmente tapada, pero disponible para cualquiera que se registre en esa plataforma para ver las partes que faltan del e-mail o el número de teléfono.
Figura 15: Perfiles indexados en Google
Por si acaso, ya he decidido cambiarme de número de teléfono y avisar solo a los contactos cercanos, porque no me apetece que me estén acosando por llamadas. No sé a quién le parece una buena idea para hacer una introducción de una empresa con el objetivo de hacer negocios esto, pero es lo que publiqué en otro artículo: "Spam Comercial al CEO: ¡Ideaca!". No sé ni cuantos correos electrónicos comerciales borro al día.
En mi caso, no es la forma de acceder a mí, y todos los que han conseguido mi número de teléfono sin que haya sido yo el que se lo ha dado o ha autorizado que se lo den, se han llevado una respuesta negativa de mi parte. Para mí, no es la forma de abordar a una persona, utilizando su teléfono móvil personal para una proposición comercial.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
No hay comentarios:
Publicar un comentario