OnlyFans-modellen onthullen per ongeluk gehackte overheidssites

9

Laura Lux deelt al bijna twintig jaar beelden van zichzelf. Het is een sleur. Ze hostte vroeger haar eigen site, probeerde Patreon en woont nu op OnlyFans. Het platform doet er niet toe. De diefstal gebeurt altijd.

“Het is een eindeloze strijd.”

Lekers vinden haar werk. Meestal mannen. Ze verhandelen illegale bestanden in de duistere uithoeken van het internet. Het schaadt uiteraard de inkomsten, maar het echte verlies is de controle. Haar inhoud wordt een Google-zoekresultaat verwijderd. Overal. Nu vecht ze ertegen zoals een studioadvocaat dat zou doen. Verwijderingen indienen. Met behulp van de Digital Millennium Copyright Act (DMCA). Het werkt. Als u geen DMCA-kennisgevingen indient, probeert u het niet eens.

Hier wordt het raar.

De mededelingen pingelen naar websites van de overheid en universiteiten. In tachtig landen. Tweeduizend domeinen. Gecompromitteerd. Gekaapt. Oplichters houden van de autoriteit van .gov en .edu. Ze hacken ze om kwaadaardige pagina’s te plaatsen die gratis iPhones of Fortnite-skins beloven. Onlangs zijn ze echter van tactiek veranderd. Ze gebruiken de namen van volwassen makers. Aas.

Op zoek naar een topmaker? Het kan zijn dat u in Bangladesh op een gehackte pagina terechtkomt. Of India. Of Nigeria. De paginatitel schreeuwt ‘gelekt’. De gebruiker klikt. Er is niets. Geen naaktheid. Gewoon een omleiding naar een schetsmatige datingsite. De oplichter verdient advertentiegeld. De gebruiker krijgt malware.

Het was niet de bedoeling van OnlyFans-modellen om dit te doen. Ze zijn alleen maar het huis aan het schoonmaken. Maar hun agressieve handhaving van het auteursrecht brengt beveiligingskwetsbaarheden aan het licht waarvan ze niet wisten dat ze bestonden.

“In sommige opzichten is het ongelooflijk effectief om Google het zoekresultaat te laten verwijderen vanwege de manier waarop de aanval werkt”

Greg Pollock doet onderzoek bij UpGuard. Zijn gegevens zijn grimmig. Sinds 2011 hebben volwassen makers 384.284 verwijderingsverzoeken verzonden naar officiële domeinen. Dat omvat 631.180 URL’s. De meeste kwamen na 2020. Een piek. Een golf. Google heeft ongeveer 130.004 van die links verwijderd. Ze lieten 460.595 met rust.

Hoe hebben ze dit gevonden? Pollock doorzocht de transparantierapporten van Google en de Lumen Database. Hij verwees naar berichten met bekende ‘leksites’ en de bedrijven die daar toezicht op houden. Het blijkt dat een groot deel van dit verkeer van één plek komt. Rulta. Een in Estland gevestigd bedrijf. Zij hebben de afgelopen jaren grofweg negentig procent van deze verzoeken ingediend.

Google staat erop dat zijn spamfilters werken. Chrome waarschuwt u als een site gevaarlijk is. Ze beweren dat DMCA-verwijderingen van toepassing zijn op afzonderlijke pagina’s, niet op hele domeinen.

Maar Dan Purcell denkt daar anders over. Hij leidt Ceartas en helpt makers illegale inhoud te verwijderen. Voor hem is een gecompromitteerde overheidspagina die hoog scoort een ‘bijna perfecte trechter’. Gebruikers die naar lekken zoeken, zijn klaar om te klikken. Roekeloos. Ze laten hun bewaking zakken.

Toch heeft Purcell nog een appeltje te schillen. DMCA is de verkeerde hamer. De overheid host geen porno. De oplichters zijn dat. De site is een slachtoffer. Het indienen van waarschuwingen vanwege auteursrechtklachten tegen een geschonden .gov is agressief. Fout. “Het feit dat het raar ruikt, betekent niet dat je de meest agressieve wet uitvoert die mogelijk is.”

Rechtsprofessor Jennifer Urban is het daarmee eens. DMCA was bedoeld voor copyright. Het werd misbruikt vanwege SEO-problemen. Wanneer een verwijderingsverzoek buiten de zuivere schending van het auteursrecht valt, wordt het twijfelachtig. Zelfs als de klager sympathiek is.

Sommige verhuisdiensten verzetten zich tegen de chaos. Fanlocks medeoprichter Alexander Small trekt een grens. Als de pagina de naam van de maker als lokmiddel gebruikt, maar geen inhoud toont, is er geen sprake van auteursrechtdiefstal. Ze dienen geen dossier in. Ze houden vast aan de goede trouw.

Er zijn elfduizend volwassen makers aan deze verzoeken gekoppeld. Vijfhonderdvierenvijftig organisaties bestrijden hen. Het is rommelig.

Maar hier is het voordeel. Kleine beveiligingsteams op universiteiten en gemeentehuizen zijn blind voor hun inbreuken. Totdat een fan een verwijderingsverzoek stuurt. Totdat hun server wordt gemarkeerd vanwege ‘inhoud voor volwassenen’. Het fungeert als een alarmsysteem. Een vreemde, toevallige vroege waarschuwing.

Lux is niet geschokt. Haar merk staat op domeinen in Brazilië, Vietnam en Somalië. Ze weet dat haar spullen overal zijn. Wanneer u de kost verdient op internet, laat u voetafdrukken achter. Oplichters volgen.

Vindt ze het vervelend dat haar acties de zwakke overheidsveiligheid aan het licht brengen?

“Ik denk dat sekswerkers de wereld opnieuw redden.”

De zin blijft hangen. Daar is het. Onverdiend. Per ongeluk. Effectief? Misschien. De breuk is er nog steeds. De kwetsbaarheid blijft. Ze heeft zojuist het licht aangedaan.