Powitajmy na Ciemnej Stronie pierwszą relację z aferki! :sunglasses:

To sprawa, która miała swój punkt kulminacyjny przed kilkoma dniami, ale prawie na pewno będzie się rozwijała na naszych oczach.

Chodzi o spór między twórcami komunikatora UseCrypt a popularnymi portalami o cyberbezpieczeństwie.

Te portale to znany Niebezpiecznik, a także dwa odrobinę mniej popularne – ale bardzo dobre – Informatyk Zakładowy oraz Zaufana Trzecia Strona. „Bezpieczniki” z tytułu to tutaj żargonowa nazwa na ludzi zajmujących się cyberbezpieczeństwem.

Sprawa z początku wydawała się prosta, choć niezbyt sympatyczna – zawiadomienie do prokuratury złożone przeciw trzem portalom przez kogoś, z kim miały na pieńku.

Jednak w komentarzach pojawiało się wiele nowych tropów. W miarę wczytywania się w temat odkrywałem, że wszystko sięga dużo głębiej. Podzielę się z Wami odkryciami, żebyście sami wyrobili sobie zdanie.

Obrazek pokazuje loga trzech portali -- Niebezpiecznika, Zaufanej Trzeciej Strony oraz Informatyka zakładowego ułożone obok siebie. Na prawo od nich znajduje się czerwony napis 'vs', stylizowany na ten z gier-bijatyk. Po przeciwnej stronie 'vs' znajduje się logo UseCrypt Messengera. Obrazkiem w tle jest góra lodowa zanurzona w wodzie. Wystaje tylko niewielki czubek, na którym znajduje się logo UseCrypt Messengera. Pod nim, na tle zanurzonej części lodowca, znajdują się loga firm iMe, DronHouse, AbbeyHouse, Lazar Vision Fund oraz zdjęcie Patryka Vegi z reklamy, z napisem Mossad po prawej stronie.

Spis treści:

Wprowadzenie

To najpierw krótko, o co w ogóle chodzi.

UseCrypt Messenger to komunikator. Coś jak Messenger od Facebooka, tyle że ponoć lepiej zabezpieczony i nie zbierający danych o użytkowniku. Subskrypcja kosztuje 65 zł za miesiąc.

Przed całą aferką prawie nic o nim nie słyszałem. Mignął mi co najwyżej wpis, w którym ludzie śmieszkowali z jego reklamy. Ale sam jej nie oglądałem.

Potem nagle zobaczyłem na profilu Niebezpiecznika informację o tym, że napisali wspólne oświadczenie razem z dwiema innymi redakcjami zajmującymi się cyberbezpieczeństwem – Zaufaną Trzecią Stroną oraz Informatykiem Zakładowym.

Ich oświadczenia:

Z oświadczeń oraz poprzednich artykułów wynikało, że od kilku lat zwracali uwagę na luki bezpieczeństwa w komunikatorze UseCrypt. Spotykało się to z polemiką, oporem, a nawet wysyłaniem do nich sprostowań.

Po czym nagle do gazety Puls Biznesu i kilku innych trafiła anonimowa informacja, że redakcje są zorganizowaną grupą przestępczą i że toczy się przeciwko nim postępowanie.

Zaciekawiło mnie to i zagłębiłem się w całą sprawę. Wróciłem między innymi do tej reklamy UseCrypta, o której widywałem dyskusje.

Występuje w niej reżyser Patryk Vega. Opowiada o tym, że ekipa od UseCrypta założyła się z Mossadem, że ten nie da rady złamać zabezpieczeń komunikatora. Kiedy Vega mówi jakieś słowa, to pojawiają się na ekranie. Mówi o Mossadzie i pojawia się „Mossad”. Mówi o Facebooku i pojawia się „Facebook”. Taki myk.

Zabezpieczeń rzekomo w Mossadzie nie złamali, a UseCrypt został kupiony przez fundusz Lazar Vision Fund. I od teraz ma przynosić światu bezpieczną szyfrowaną komunikację.

Co ciekawe, podobno ta reklama pojawia się nawet w telewizji (nie zweryfikuję). Do tego m.in. sieci PlusNetia oferują pakiety z UseCryptem. Są o nim wzmianki w wielu gazetach, w tym we „Wprost” i „Rzeczpospolitej”.

Widać, że to nie jakiś niszowy gracz i że ma rozmach. Ale czy za rozmachem stoi faktyczna siła? Sprawdźmy to.

Dodam jeszcze, że UseCrypt nie jest aktualną nazwą firmy. Do tej oficjalnej jeszcze wrócę.
Oprócz UseCrypt Messengera mają również UseCrypt Safe – program do przechowywania danych, reklamowany jako zgodny z RODO. A także UseCrypt Mail.

W tym wpisie wszystkie produkty i firmę będę zbiorczo nazywał „UseCrypt”, chyba że będzie potrzebne rozróżnienie.

Opinie o UseCrypcie

Zacznijmy może płytko, od wierzchołka góry lodowej – ocen, komentarzy i artykułów w internecie.

Komentarze na różnych stronach

Chodźmy na Wykop, bo tam się sporo mówi o komputerach.

Po wyszukaniu hasła usecrypt można znaleźć wątki jeszcze sprzed kilku lat. A pod nimi entuzjastyczne komentarze:

alex-??????????

Znakomita rozwiązanie, korzystamy w firmie do wymiany danych. Nie wyobrażam sobie pracy bez wspólnej szyfrowanej przestrzeni. Odkąd zaczęliśmy korzystać z UseCrypt Safe ryzyko wycieku danych jest dużo mniejsze niż dotychczas.

Źródło: Wykop

Wykop ma opcję przeglądania wszystkich komentarzy danego użytkownika, więc można szerzej spojrzeć na aktywność.
Okazuje się, że ta sama osoba udzielała się w innych tematach, za każdym razem chwaląc komunikator. Niekiedy rozwlekle:

alex-??????????

Autorskie rozwiązanie na pisane w jezyku c++ korzytące ze znanych algorytmów szyfrujących AES, RSA. Największą zaletą jest to, że klucz RSA prywatny jest podzielony na dwie części, jedna część jest na urządzeniu końcowym druga na serwerze, takiego zastosowania nie oferuje żadne inne rozwiązanie, mało tego UseCrypt ma taki podział klucza opatentowany. Dzięki takiemu rozwiązaniu nikt inny po za zaufanymi osobami nie ma wglądu do danych szyfrowanych za pomocą UseCrypt Safe.

Takich użytkowników jest więcej. Ktoś wkurzył się na jednego z nich i zrobił całą kompilację komentarzy. Widać, że ktoś uczynił chwalenie komunikatora swoją misją i powołaniem.

Inne przykłady znajdziemy w komentarzach pod różnymi artykułami:

Damian F.

jak się zabiorą Polacy to zawsze wyjdzie świetna praca :)

Damian F.

Każdy jakoś musi zarobić. Usecrypt na abonamentach jawnie i bez żadnych afer. Inni.. niejawnie reklamami czy wyciekami danych niestety :/

Paweł T.

Bo wszystko co za darmo łatwiej używać. Płaci się jednak prywatnością. Wystarczy poczytać o aferze z Cambridge Analytica.

Barbara K.

historia mówi sama za siebie. nie warto im ufać i zawsze należy na pierwszym miejscu dbać o własny interes. Ja się nie zawiodłam biorąc sprawy w swoje ręce i usuwając messengera na facebooku i whatsupa. nie żałuję :) testuję z koleżankami usecrypta i wiem że jestem bezpieczna

Radosław L.

Patrząc na kary jakie można dostać za wyciek danych RODO te 60zł miesięcznie to nic!

Konrad P.

Używamy UseCrypt u mnie w firmie. Wszyscy korzystający chwalą go za przyjazny interfejs, a ja cieszę się, że moja firma nie jest narażona na atak.

Źródło: gsmmaniak.pl

…I tak, to wszystko są komentarze spod jednego artykułu. Prawie cała sekcja jest nimi zawalona.

Podobne komentarze docierają w różne miejsca. Znajdziemy jeden na przykład pod artykułem z Bezprawnika, zupełnie z UseCryptem niezwiązanym:

Jakub

Zabezpiecza dane w sposób szyfrowania end to end. Jest naprawde dobrym zabezpieczeniem kosztuje niewiele ale przecież teraz nie ma nic za darmo i lepiej jest zaplacic niz pozwolic na to by ktos wykradal nasze dane.

W tych wszystkich komentarzach, na tych wszystkich stronach, niezmiennie przewija się kilka motywów:

  • „Używamy go całą naszą grupą”;
  • „Dobre, bo polskie”;
  • „Chcesz prywatności, to nie oszczędzaj”.

Nieraz jedna i ta sama osoba pisze pod tekstem wiele komentarzy.
Czasami takie osoby próbują zadawać sobie nawzajem pytania, ale wygląda to bardziej jak dwa monologi chwalące komunikator.

Czy tak wyglądają naturalne opinie użytkowników?

Recenzje z Google Play

Google Play, czyli stronka Google’a z aplikacjami na Androida.

Widać tam przede wszystkim sporo recenzji jednogwiazdkowych. Na dzień 12.03 średnia ocen apki wynosiła 1,2 (na 5). Patrząc po komentarzach, to głównie efekt konfliktu z Niebezpiecznikiem i spółką.

Tu również widać ciekawostkę. Jeśli wyświetlimy listę wszystkich recenzji i wybierzemy filtr Tylko 5 gwiazdek, to zobaczymy listę entuzjastycznych recenzji. W chwili, kiedy sprawdzałem stronę, było ich 101.

Oto nazwy – bez ostatniego członu, czyli przeważnie nazwiska – wszystkich 101 kont, które wystawiły 5 gwiazdek:

A.k, Aarohi, Abhishek, Akash, Akash, Akona, Aman, Anil, Anjali, Ankit, Ankush, Anshul, Aryan, Asim, Bharat, Bhura, Bindass, Ca Jack, Chirs, Chotu, Coc, Daman, Fetron, Gentle, HR06, Harsh paytm, Hasan, Hatim, Intelligent, JULIA, Jeet, Kali, Kamran, Karim, Kaushik, Kunal, Laxmi, Lesin, Lesomen, Lusy, MD HAZRATH, Maksymilian, Manjan, Maskura, Mohidul, Mousumi, NB, Namarta, Narayan, Nathaliya, Nirj, On Prakash, Parkaso, Parul, Patrick, Pirya, Piyush, Pratik, Pubg, Rahul, Ranjeet, Rathin, Remin, Rk, Rupesh, Sachin, Salam, Selvish, Sery, Shalom, Simran, Soheil, Somis rome, Stylish, TD, Tech, Two Thumb, Urmila, Venu, Vering, Vijay, Vikki, We Work Digital, Willam, Zakir, Zjaja, abhi chourasiya, abhishek chourasiya, arora, chotu, cohtu, comedy, dean, donald trump, hemant, jorge, nick jonas, pooja chourasiya, sachin, shibaram, technical

Jakimś cudem UseCrypt, mając niewielką klientelę w Polsce, zgarnął duże międzynarodowe grono fanów. Głównie hindusko-arabskie, sądząc po nazwiskach.

Czy tak wyglądają naturalne, entuzjastyczne recenzje nowej aplikacji?

Instagram

W chwili tworzenia tego wpisu na Instagramie znajdowało się 208 postów otagowanych #usecrypt i 144 z #usecryptmessenger. Są również dwa konta, usecryptpolandusecryptglobal.

Jest wśród nich sporo postów reklamujących UseCrypta. Najczęściej zostały zamieszczone przez różnych użytkowników Instagrama, a nie przez konto UseCrypta. Znakiem rozpoznawczym tych postów są białe bluzy z czerwonym napisem, czapki z daszkiem albo smartfony, na których widać zielone logo aplikacji.

Poza tym prawie każdy z tych postów zawiera dość długi opis mówiący o prywatności w obecnych czasach i zachęcający do użycia aplikacji.

Konto usecryptpoland zawiera trochę konkretów, w tym filmiki instruktażowe. Konto usecryptglobal to głównie zdjęcia i cytaty znanych postaci oraz hasełka coachowato-motywacyjne:

Zrzut ekranu z zawartości konta usecryptglobal. Dominują zdjęcia w tonacji czarno-zielonej, pokazującej twarze różnych znanych osób. Na te zdjęcia nałożone są ich cytaty na temat prywatności.

Źródło: Instagram

Wśród tych haseł jest między innymi:

We believe that the world based on lies must collapse sooner or later

Źródło: wpis usecryptglobal

Słodko. Jak dobrze, że UseCrypt stoi po stronie prawdy.

Spider’s Web

Spider’s Web to duży portal o nowinkach technicznych. Przez niektórych uważany za dość „pudelkowaty”, ale z pewnością dobrze znany.

Wyszukałem usecrypt site:spidersweb.pl, żeby wyświetlało tylko wyniki ze strony Spider’s Web. Wyskoczyły m.in. dwa linki do artykułów:

…Ale kiedy w nie klikniemy, wyskakuje artykuł o Signalu, gdzie nie ma ani słowa o UseCrypcie!

Do tego po wejściu w linki widzimy w pasku przeglądarki adres https://spidersweb.pl/2020/02/komisja-europejska-signal.html – inny niż adresy, w które wchodziliśmy.

Co się stało? To tak zwane przekierowanie – spod tych dwóch adresów usunięto artykuły i zamiast nich zostawiono instrukcję dla przeglądarki, żeby przeszła gdzie indziej. Źeby była jasność – coś takiego administratorzy Spider’s Weba musieli ustawić świadomie, nie ma mowy o pomyłce.

Oprócz tego pokazał mi się link do listy artykułów z tagiem usecrypthttps://spidersweb.pl/tag/usecrypt. Ale kiedy w niego kliknąłem, przeniosło mnie na stronę z komunikatem 500. Internal Server Error.

Znalazłem też linki do podstron Spider’s Weba z ogólniejszymi tagami. Te z kolei działają, ale na liście nie ma już artykułów na temat UseCrypta.

Jakie jest wyjaśnienie tego wszystkiego? Można je znaleźć w komentarzach pod tym artykułem, do którego odsyła przekierowanie:

Mateusz N????

Cześć, Emil, tekst został opublikowany jakiś czas temu na bazie informacji prasowej i nie mieliśmy wtedy wiedzy o problemach związanych z Usecryptem. Później pojawiły się kontrowersje, które potraktowaliśmy poważnie, dlatego postanowiliśmy zrezygnować z korzystnej finansowo propozycji współpracy z tą marką. Natomiast w związku z najnowszymi informacjami postanowiliśmy skasować wskazany przez Ciebie tekst.

A jeśli chcecie przeczytać, o czym był usunięty artykuł, to na szczęście archive.is czuwa. Tak wyglądał ten nowszy z 2020 roku. Oceńcie sami, na ile jest obiektywny.

Wprost

W tekście pewnego bloga na stronie „Wprost” mamy głównie fakty związane z wojną cybernetyczną, ale wpleciono między nie również wzmiankę o UseCrypcie:

I tu dobra nowina, choć zaskakująco mało znana – jedna z polskich firm (z polskim kapitałem) wyspecjalizowanych w profesjonalnej ochronie danych, wyprodukowała system kryptograficzny pod nazwą UseCrypt, z którym mogą się równać jedynie nieliczne systemy kilku potężnych amerykańskich firm

Źródło: tekst z bloga na wprost.pl.

Rzeczpospolita

Niebezpiecznik we wpisie z 2018 roku krytykuje trzy artykuły z „Rzeczpospolitej”.

Po pierwsze: krytykuje w nich sposób przedstawienia tematu.
Po drugie: zwraca uwagę na to, że jeden z artykułów wykorzystuje dokładnie takie materiały, jakie również im (Niebezpiecznikowi) próbowała upchnąć w mailu pracownica działu PR „pewnej firmy”.

Nie wymieniają tej firmy z nazwy, więc zróbmy małe śledztwo. Tu fragment maila:

Fragment nagłówka maila. Widać na nim jedynie całe imię, a nazwisko jest zamazane, ale spod zamazanego pola wystaje kawałek pierwszej litery.

Nie wiem jak Wam, ale mnie ten haczyk przy nazwisku pasuje tylko do litery J. Czyli Anna J, PR Manager, okolice 2018 roku. Wyszukałem, dopisując do tych informacji usecrypt.

Wyszukiwarka potwierdza trop, że ktoś o takim imieniu, stanowisku i nazwisku na J pracował w UseCrypcie w tamtym czasie. Pisząc między innymi artykuły na stronę bringingprivacyback.com, silnie powiązaną z UseCryptem.

Zatem istnieje niemała szansa, że to właśnie z UseCrypta wysyłano do różnych redakcji gotowe materiały, szykując grunt pod Messengera. Ich jakość, eksperckim zdaniem Niebezpiecznika, nie była najwyższa. A „Rzeczpospolita” ten haczyk połknęła.

Inne źródła

Historia z UseCrypt Messengerem pozwoliła łatwo wyszukać również inne portale, które pisały artykuły chwalące ten komunikator.

Pewien użytkownik Wykopu 3 marca zebrał ich listę wraz z linkami:

Nie sprawdziłem wszystkich, ale podobno żadna z tych stron nie oznaczyła artykułów jako sponsorowane. Albo zrobiła to bardzo dyskretnie.

Jeśli teraz spojrzymy na całość – komentarze, recenzje, artykuły – to można odnieść wrażenie, że ktoś bardzo mocno próbuje się przebić. I mówić o UseCrypcie głośno.

A co mówi o sobie sam UseCrypt? Zajrzyjmy do ich autorskich materiałów.

Prezentacja inwestorska

Skorzystałem z metody, która już parę razy przydała mi się podczas grzebania i poszukałem oficjalnych dokumentów. Te często zapisuje i przekazuje się w formacie PDF, więc takich postanowiłem szukać.

Wyszukałem usecrypt filetype:pdf (w DuckDuckGo, ale działałoby nawet w Google). Wyskoczyły różne dokumenty, w tym niektóre ze strony usecrypt.com.

Jednym z nich był plik zatytułowany „Prezentacja inwestorska. Październik, 2019”.

Otwarłem go z nastawieniem „Patrz krytycznie. Weryfikuj”. Patrzyłem, co jest w nim napisane, a jeśli wywierało na mnie wrażenie, to sprawdzałem.

UseCrypt na Youtube

Na stronie 2 prezentacji jest hasło „Ponad milion osób zobaczyło nasz manifest” oraz link do filmu reklamowego na YouTubie.

Trzeba im przyznać, że mają rozmach. Jest tu przemowa motywacyjna, kadry z selfiakami, kadry na ośnieżonych szczytach, kolorowe kreski latające po całej planecie oraz inne bajery.

Ale po obejrzeniu filmu wzrok kieruje się w dół. 1 038 050 wyświetleń. Zgadza się, przebili milion.

Tylko co z tą liczbą ocen? Są 223 kciuki w górę i 33 kciuki w dół. Wiem że nie każdy reaguje, sam bardzo rzadko to robię. Ale 256 reakcji przy tylu wyświetleniach oznacza, że przeciętnie kciuka w górę lub w dół zostawiało 0,02% widzów.

Taka proporcja wydaje się dość niska. Na przykład ten artykuł wspomina, żeby celować przynajmniej w 4% kciuków w górę.
UseCrypt, nawet po dodaniu kciuków w dół, łącznie miał ok. 200 razy mniej reakcji niż liczba dla „zdrowego” filmu.

Dla porównania reklama z Vegą, też od nich, miała w tym samym czasie ok. 10 200 kciuków przy 363 386 wyświetleń. Reagowało prawie 3% widzów.
Tak wyglądają proporcje dla czegoś, co faktycznie było oglądane przez wielu ludzi. Dla manifestu z milionem widzów wartości są drastycznie niższe.

Można zadać zatem pytanie – czy ten milion wyświetleń został zebrany w sposób naturalny?

Partnerzy

Czytając prezentację, natykam się na informację o partnerach strategicznych oraz klientach.

I to jakich! EY, IBM, Dell i poważnie brzmiące polskie instytucje.
Z ciekawości postanawiam sprawdzić, w jakim kontekście hasło usecrypt pojawi się na ich wielkich, oficjalnych stronach. Na pewno będzie jakaś wzmianka o partnerstwie.

Wspisuję w wyszukiwarkę:

  • usecrypt site:ey.com. Zero wyników.
  • usecrypt site:ibm.com. Zero wyników.
  • usecrypt site:dell.com. Zero wyników.

Szukałem zarówno przez DuckDuckGo jak i Google, haseł usecryptcryptomind (dawna nazwa firmy)… i nic. Oficjalne strony tych firm nie zawierają o UseCrypcie ani wzmianki.

A co ze źródłami zewnętrznymi, spoza głównych stron firm?

IBM

Znalazłem o niej wzmiankę, mówi o niej sam prezes UseCrypta. Na czym polegała?

Doceniła nas również firma IBM, której zawdzięczamy ogólnoświatową dystrybucje filmu, dotyczącego naszej kooperacji z wykorzystaniem ich chmury
(…)
Firma CryptoMind SA wybrała serwery IBM Bluemix Bare Metal, ponieważ potrzebuje odpowiedniej wydajności i nastawia się na wzrost liczby klientów (…)

Źródło: forum-przedsiebiorczosci.pl.

Brzmi fajnie, „kooperacja z wykorzystaniem ich chmury”. Jak równorzędni partnerzy biznesowi.

…Tylko czym właściwie jest IBM Bluemix? Według tej stronki to usługa do wynajęcia, tzw. Platform as a Service. Zamiast pilnować własnych serwerów, można zapłacić IBM-owi i wtedy to u nich będą przetwarzane dane.

Tylko czy jeśli UseCrypt zapłacił za takie coś, to nie jest po prostu klientem IBM-a? Czy można to nazywać partnerstwem?

Ernst & Young

Czyli EY z listy klientów.

Jest kilka artykułów w mediach internetowych na temat powiązań UseCrypta z EY. We wszystkich, które znalazłem, chwali go jedna osoba:

Nasz zespół ds. innowacji używa UseCrypt Messenger do komunikowania najważniejszych kwestii strategicznych, operacyjnych, a także ustalania zgodności dotyczących naszych projektów – podkreśla Krzysztof W????????, Associate Partner EY i szef EYnovation.

Źródło: GSMservice.pl.

Coś więcej o tej osobie?

Associate Partner EY Krzysztof W??????? odpowiedzialny za program EYnovation, do którego od września 2018 należy UseCrypt.

Źródło: WNP.pl.

O, jest powiązanie! A czym jest program EYnovation?

EYnovation to (…) subskrypcja usług oferowanych przez profesjonalną firmę doradczą. Jedną z najważniejszych korzyści proponowanych przez EY jest bezpośredni dostęp do rozległej sieci kontaktów na całym świecie.

Źródło: it-manager.pl

Wygląda na to, że EYnovation to tylko cząstka dużego korpo, jeden z wielu projektów pod jego parasolem. Coś w rodzaju klubu dla startupów, do tego dział tylko dla polskich. A częścią tego klubu jest/był UseCrypt. Dzięki temu mógł liczyć na odrobinę promocji ze strony szefa programu.

Czy w takim układzie można szczerze nazwać EY klientem UseCrypta? Umieszczając na stronie logo całego wielkiego korpo? Zostawiam Waszemu osądowi.

Partnerstwa – podsumowanie

Lista partnerów, przynajmniej jeśli chodzi o duże międzynarodowe firmy, jest dość jednostronna. To znaczy UseCrypt o partnerstwie wspomina, a one nie. Przynajmniej na oficjalnych stronach.

Natomiast moim zdaniem niczego to jeszcze nie przesądza. W przypadku dużych korpo często na oficjalnych stronach można zostać co najwyżej jednym z wielu elementów na jakiejś liście vendorów, w jakimś zapomnianym pliku.

Poza tym polskie organizacje, takie jak Netia, istotnie zawarły z UseCryptem umowy.

Kwestia partnerstw to sprawa z gatunku tych, że mam przeczucie, ale pewności raczej nie zyskam. Kopmy dalej.

Logo Ciemnej Strony Ciekawostka

W stopce oficjalnej strony UseCrypta znajduje się zakładka „Inwestorzy”. Prowadzi jednak do strony aftermarket.pl. Domena investors-usecrypt.com jest już nieaktywna i wystawiona na sprzedaż za ok. 10 000 brutto.

WAT i Dyrektor ds. technicznych

Na stronie 8 pojawia się wzmianka o jednej z osób z zespołu UseCrypt Messenger – Doktorze Kamilu K????????.

  • Po pierwsze – jest wykładowcą Wojskowej Akademii Technicznej, czyli jednego z klientów UseCrypta.
  • Po drugie – razem z drugą osobą z zespołu technicznego to on złożył wnioski o ochronę patentową.

Ale człowiek jak człowiek. Gdyby to było wszystko, to bym o nim nie wspominał.

Zaciekawiła mnie jednak wymiana maili Kamila K. z Zaufaną Trzecią Stroną. Z 16 lutego, jeszcze przed całą aferą. Redaktorzy cytują w swoim artykule odpowiedź od Kamila K.:

Wysłałem żądanie sprostowania/usunięcia tych informacji do Usecrypt SA. Nie jestem „Doktorem”, nie byłem też nigdy zatrudniony w Usecrypt SA, tym bardziej na stanowisku „Dyrektora”.

Źródło: Zaufana Trzecia Strona

Później Kamil K. przesyła ZTS sprostowanie, w którym kwestionuje kilka rzeczy. Ale nie tę, na której się tutaj skupiamy.

Wniosek: prezentacja UseCrypta dla inwestorów prawdopodobnie zawierała nieprawdziwy tytuł naukowy i stanowisko. Wydawały się brzmieć atrakcyjniej niż w rzeczywistości.

Technologia HVKM

Jedną z rzeczy reklamowanych w praktycznie wszystkich materiałach od UseCrypta jest „opatentowana technologia HVKM” (skrót od Hybrid Virtual Key Managment).

Jednym z większych objaśnień, jakie znalazłem na jej temat, jest PDF ze strony cyberdefence24, uczciwie podpisany na końcu jako artykuł sponsorowany.

Spodziewałem się, że się trochę dokształcę z tej metody, czytając forum StackOverflow, gdzie pytają o wszelkie technologie.

Ale szukałem i szukałem, a wszystkie informacje o HVKM łączyły się tylko z UseCryptem. W żadnych źródłach zewnętrznych nie znalazłem informacji o metodzie jako takiej.

Kopałem dalej.

Największy dokument wypuszczony przez spółkę UseCrypt to ten związany z emisją obligacji – potwór na 229 stron.

Wyszukałem w nim słowo HVKM i znalazłem fragment:

Emitent dokonał rejestracji wzoru przemysłowego(HVKM –SPLIT-KEY ENCRYPTION TECHNOLOGY) w Urzędzie Unii Europejskiej ds. Własności Intelektualnej, pod numerem: No 003747872-0001.
Ponadto, Emitent złożył cztery wnioski w sprawie udzielenia ochrony patentu do Europejskiego Urzędu Patentowego oraz cztery wnioski do Urzędu Patentów i Znaków Towarowych Stanów Zjednoczonych (…)
[na funkcjonalności]: “Messaging privacy”, “Panic code”, “Data at rest”, “Survaillance [sic] check”

Zajrzałem na stronę unijnego IPO. Wpisałem w ich wyszukiwarkę „hvkm”. Spodziewałem się niezrozumiałych opisów i schematów, jak to w patentach bywa.

A znalazłem tylko lakoniczne informacje z jednym schematem:

Zrzut ekranu z wyniku wyszukiwania na stronie IPO. Po lewej stronie widać obrazek schematu, utrzymany w zielonawej kolorystyce. Po prawej stronie znajdują się różne mniej istotne informacje.

Czemu tak? W sumie to nie pamiętam już zbyt wiele o wzorach przemysłowych, więc wyszukałem na szybko, czym są.

Na stronie samego EUIPO:

Wzór odnosi się do wyglądu produktu – jego kształtu, wzoru i koloru.

Uzupełnienie ze strony zewnętrznej:

Wzór przemysłowy jest raczej kategorią przeznaczoną do ochrony wyglądu zewnętrznego wytworu. Ochronie nie podlegają cechy wzoru dyktowane funkcją techniczną.

Źródło: rafalszrajnert.pl.

Czyżby zastrzegli prawa do samego obrazka? Wygląd schematu, a nie zasadę działania? Wydawało mi się to absurdalne, ale może czegoś tu nie rozumiem.

Natomiast tak na logikę. Jeśli:

  • patenty dotyczą czterech różnych rzeczy, ale żadna z nich nie nosi nazwy HVKM;
  • rzecz zgłoszona jako HVKM to wzór przemysłowy, a nie wynalazek;

…to czy można tu mówić o „opatentowanej technologii HVKM”?

Ale przyznam, że mam o tych sprawach bardzo małe pojęcie, więc powstrzymam się od interpretacji. Przejdźmy do sporów UseCrypta z innymi, żeby dodać trochę pikanterii.

Logo Ciemnej Strony Ciekawostka

Jedna z prac pewnego użytkownika na Dribbble nazywa się Hybrid Virtual Key Management. Ta nazwa nie pojawia się poza kontekstem UseCrypta. Do tego rysunek ma znajome zielonkawe kolorki ich marki.
Natomiast samo konto wydaje się niezwiązane z historią, według poszlak to rzeczywisty grafik spoza Polski. Może zewnętrzny wykonawca.

Spory z udziałem UseCrypta

Przeszukiwanie internetu doprowadziło mnie do kilku pomniejszych wymian zdań i potencjalnych konfliktów z udziałem UseCrypta.

UseCrypt vs Signal

Sprawa aktualna, bo nagłośniona dopiero po całym zajściu.

Signal to komunikator, którego kod źródłowy jest publicznie dostępny (tzw. open source). Wszyscy żądni sławy badacze mogą próbować go złamać i zgłaszać luki w zabezpieczeniach. Luki są potem łatane, a badacze zyskują punkty sławy.

Regulamin UseCrypta zawiera informację o tym, że jeden z modułów komunikatora używa kodu od Signala. Żeby ją łatwo znaleźć, możecie nacisnąć Ctrl+F i wyszukać signal.

Według tej informacji UseCrypt udostępni na życzenie kod źródłowy modułu, jeśli użytkownik tego zażąda. Dlaczego? Krótko mówiąc – Signal jest wprawdzie udostępniany za darmo, ale na licencji GPL.

GPL to taka prawna ochrona przed „pożarciem” darmowego produktu przez korpo. Określa, że można korzystać za darmo z objętego nią programu, ale na żądanie użytkowników trzeba udostępnić cały kod źródłowy produktu.

Tutaj pojawiają się jednak kontrowersje, przez które sprawa została zgłoszona Signalowi.

Zdaniem niektórych aplikacja UseCrypt zawiera dużo więcej kodu wziętego od Signala niż tylko jeden moduł, a autorzy niezbyt starali się to ukryć (m.in. zostawiając nazwę signal w zmiennych).

Jeśli UseCryptowi udowodni się naruszenie GPL, to reakcja może być różna. Istnieją organizacje pilnujące przestrzegania tej licencji. Ale nawet gdyby nie udało się powalczyć na gruncie sądowym, to takie naruszenie w świecie komputerowym jest dość poważną sprawą i rzuca cień na markę.

Redaktor Niebezpiecznika na Twitterze

Sprawa zgłoszenia do prokuratury i okazjonalne prztyczki to nie wszystko, co poróżniło UseCrypta z Niebezpiecznikiem.

Na Twitterze możemy również znaleźć informację od Piotra K., redaktora naczelnego Niebezpiecznika. Cytuje wiadomość, jaką od kogoś dostał. Wynikałoby z niej, że ktoś się na niego powołał, polecając UseCrypta:

Piotr K???????

(cytat)
Piszę, bo chciałem potwierdzić informacje o rozwiązaniu UseCrypt. Chwalą się, że ich chwalisz :-). (koniec cytatu)
Otrzymałem takie pytanie na LinkedIn…
OFICJALNIE DEMENTUJĘ że chwalę ten komunikator.
Uważam, że najlepszym komunikatorem jest Signal i tylko jego polecam.

Źródło: Twitter (skróty moje).

Twitterowa prośba o wynik audytu

Inną ciekawą wymianą z Twittera jest ta z jedną z osób z zarządu UseCrypta, Pawłem M.:

Pawel M???????

A jakie wykształcenie ma pan aby w ten sposób komentować 4 kata pracy polskich kryptografów przykre proszę chwile pomyśleć zabim mówi pan takie zeczy

Łukasz

Panie Pawle, a można zobaczyć pana certyfikat z Androida? Słyszałem, że bez niego nie można się wypowiadać na takie tematy.

Pawel M???????

Jak widać z wypowiedzi w środa tu obecnych sami eksperci od wszystkiego [5 emot płaczących ze śmiechu] [8 emot z klaszczącymi dłońmi] a link do audytów jest powszechny na stronach lecz nie chce nikt czytać merytoryki taki kraj polskie piekło

Wojtek D???????

Ma Pan racje. Chętnie się zapoznam z wynikami niezależnych audytów. Niestety nie mogę ich znaleźć na stronie Usecrypt Messenger. Proszę o link

Pawel M???????

Jutro umieszczę dziękuje za podejście [emota z przybiciem piątki]

Źródło: Twitter.

Jak słodko! Czyli szczęśliwe zakończenie?

Wojtek D???????

Uprzejmie przypominam się w tej sprawie

Wojtek D???????

Panie Pawle proszę o upublicznienie wyników audytu i nie robienie ze mnie mimowolnego powiernika Państwa informacji

Ale odpowiedź od Pawła M. nie nadeszła. Tekst sugeruje, że Wojtek D. jakąś odpowiedź dostał, ale bez możliwości jej ujawnienia.

Czy tak wygląda audyt bezpieczeństwa, którym firma jest gotowa się pochwalić?

Powiązane spółki

Nurkujemy coraz głębiej, ku podstawom lodowca! Ruch w internecie, komentarze, niedopowiedzenia i wojenki są ciekawe… ale przyznam, że największe wrażenie zrobiły na mnie powiązania. Zostawiłem je na koniec.

Jeden z najwcześniejszych wpisów z Instagrama otagowany #usecrypt pokazuje ich program w otoczeniu produktów dwóch innych firm:

Post z Instagrama. Po lewej stronie widać zdjęcie biurka, na którym stoi laptop z wyświetlonym ekranem aplikacji UseCrypt Safe. Oprócz tego na biurku leży kolorowa podkładka z napisem iMe i stoi na nim lśniący dron w złotawym kolorze, ozdobiony logiem Dron House. Po prawej stronie znajduje się wiele hasztagów odsyłających między innymi do profili tych firm.

Źródło: Instagram

Mamy więc tropy, nazwy powiązanych firm – iMe i Dron House.

Sprawdzając Instagrama tej pierwszej, zobaczymy że przedstawiają siebie jako pewien styl życia. Ingliszowy tekst, kolorowe naklejki, hasła motywacyjne, te sprawy. W praktyce to pomoc techniczna przez telefon.
Z kolei Dron House to producent dronów (zdziwko).

Dodajmy do tego ważną informację – cały czas mówię „UseCrypt”, ale dawna spółka UseCrypt zmieniła nazwę na V440.

Na stronie rejestr.io można fajnie wizualizować połączenia między firmami. Zróbmy to dla naszej V440:

Schemat złożony z ikon ludzkich sylwetek (reprezentujących ludzi) oraz ikon budynków (reprezentujących firmy). Ikony są ze sobą połączone strzałkami, a nazwiska ludzi są zasłonięte. Postać w centrum jest podpisana Sandra i połączona z kilkoma firmami, w tym IME POLAND, V440, W660 oraz Q330.

Źródło: rejestr.io.

Michael i Yuval to osoby z tego Lazar Vision Fund, więc ich udział w UseCrypcie nie dziwi. Ujawnia się również Sandra, postać wspólna dla zarządów iMe i UseCrypta.

Ale skąd tyle firm o dziwnych nazwach? Szukałem i znalazłem coś ciekawego:

IME Polska S.A.

TRUP, zmienili nazwę na w660 (…) pod sygnaturą akt XVIII GR 32/20, otwarte zostało postępowanie układowe dłużnika IME Polska S.A. z siedzibą w Warszawie (02-662) przy ul. Świeradowskiej 47, wpisanej do Rejestru Przedsiębiorców pod numerem KRS 0000671157.

Źródło: opinie na GoWork

Dron House S.A.

to już TRUP. wpis z Monitora sądowego (…) dnia 17 czerwca 2020 r. [sąd wydaje postanowienie] w sprawie prowadzonej pod sygn. akt XVIII GU 640/20 o ogłoszenie upadłości dłużnika DRON HOUSE Spółka Akcyjna z siedzibą w Warszawie (KRS 0000577041)

Źródło: Opinie na GoWork

Co więcej, Dron House zmienił nazwę na Q330 (źródło).

Były sobie trzy firmy, które łączy ta sama osoba w zarządzie, Sandra. I to, że z czasem zmieniały nazwę na kombinację litera+liczba. Z dwiema z nich zaczęło się coś dziać. UseCrypt też ma taką nazwę.

Niezbyt wiele rozumiem z tych zmian nazw, form, przejęć itp. Ale w tym miejscu bym się zaniepokoił.

Lazar Vision Fund i Berkeley Funds

Gdybym był podejrzliwy (a oczywiście nie jestem! Wierzę w niewinność UseCrypta :smile:), to bym pomyślał po tym wszystkim, że ich działalność miała na celu zwabienie grubej ryby w roli inwestora.

W każdym razie byłbym przekonany, że zagraniczny fundusz to w takiej sytuacji strona wkręcana (albo celowo udająca, że nic nie wie).

Ale pewien komentarz spod oświadczenia Niebezpiecznika zasugerował inne wyjaśnienie.
Na stronie opencorporates.com, zbierającej informacje o firmach, znajduje się notka na temat Lazar Vision Fund, a przynajmniej filii amerykańskiej.

Z tej notki wynika, że Lazar Vision Fund nazywał się wcześniej Berkeley Funds.

A Berkeley Funds inwestowało w CryptoMind – czyli UseCrypt S.A pod dawną nazwą.

Co więcej, fundusz Berkeley Funds należał do Krzysztofa M., prezesa UseCrypt S.A. Sugerowałoby to, że LVF nie jest takim znów zewnętrznym graczem, a współpraca jest bardzo ścisła.

Ogólnie Berkeley Funds było funduszem private equity inwestującym w nowe technologie. Czytając wywiad z Krzysztofem M. (porównywanym tu do Króla Midasa) dowiadujemy się, w jakie dokładnie.

Są tu znajome nazwy:

Operujemy w sektorach przyszłości. Jedna z naszych spółek stworzyła innowacyjną w skali świata usługę iMe.

Oho.

Rozpychamy się także mocno na zdominowanym przez Amerykanów i Chińczyków rynku UAV, czyli bezzałogowych statków powietrznych. Z linii produkcyjnej naszej spółki zszedł już „Bielik” – w stu procentach polskiej konstrukcji dron.

Cóż to za ta „nasza spółka”? Firma, która stworzyła polskiego drona, oczko w głowie Berkeley Funds?
Tak jest – mowa o Dron House (tu prezentacja „Bielika”).

Podsumujmy: Berkeley Funds opiekowały się iMe i Dron House’em. Obie firmy źle skończyły.
Teraz zamiast Berkeley Funds jest Lazar Vision Fund. Opiekuje się UseCryptem. Co z nim będzie?

Okazuje się, że to nie koniec. Historia tych wszystkich inwestycji sięga sprawy Abbey House z 2011 roku.

Kancelaria Nikodemus i Dom Aukcyjny Abbey House

W pewnym komentarzu ktoś podrzucił link do niedawno założonej strony zbierającej poszkodowanych inwestorów. Według relacji z tej stronki miały kiedyś miejsce takie interesy:

Robert Ż??????? zarekomendował nam również nabycie certyfikatów Art Fund, później Berkeley Funds,a także obligacji spolki Artnews (wszystkie te firmy były związane z postacią Jakuba Jerzego K???????) mimo, ze spółka Artnews znajdowala sie w tamtym czasie na liście ostrzeżeń publicznych KNF.
(…)
na spotkaniu z Robertem Ż??????? pojawił się Jakub Jerzy K???????. Zaproponował [wymianę kłopotliwych obligacji na] obligacje spółki Berkeley Rentier. Wiemy także, że spółka Jakuba Jerzego K??????? o nazwie Cvendish Rentier była kolejną alternatywą.
(…)
Wszystkie opisane wyżej inwestycje związane z Kancelarią Nikodemus doprowadziły nas do potężnych strat finansowych!
Czy to przypadek, aby każda inwestycja związana z w/w grupą osób zawsze kończyła się „wielkim niepowodzeniem”?

Źródło: http://nikodemus-klienci.pl/ (skróty moje).

Art Fund i Art News skojarzyły mi się ze sztuką. A sztuka – z jeszcze inną nazwą, również wałkowaną w kilku komentarzach pod oświadczeniami bezpieczników. Był to Dom Aukcyjny Abbey House.

Jego prezesem był właśnie Jakub Jerzy K. od sprawy Nikodemusa. A głównym założycielem Paweł M. od UseCrypta i Berkeley Funds.

Tak się składa, że powstał arcyciekawy wpis na blogu fromtheartworld. Opisuje powstanie, wzlot i upadek tego domu aukcyjnego, handlującego polskimi obrazami za dziesiątki tysięcy złotych.

Podbijając narrację o ogromnym potencjale i niedoszacowaniu rodzimego rynku sztuki, (…) pojawił się Dom Aukcyjny Abbey House

„Dobre, bo polskie?”. Budzi skojarzenie z dronem „Bielikiem” i pewnym komunikatorem.

wysoka drażliwość na krytykę – niemal pod każdym artykułem (…) pojawiała się polemika, z groźbami pozwów włącznie. Systematycznie, pod sponsorowanymi artykułami spółki (…) pojawiał się wysyp entuzjastycznych komentarzy

Gdybym był bardziej cyniczny, to miałbym jakieś deja vu. Konflikt z bezpiecznikami? Komentarze pochwalne pod artykułami?

to, co zbulwersowało środowisko branżowe, nie spotkało się z odzewem ze strony prasy codziennej. Tam dominowała narracja o wielkim sukcesie polskiej sztuki

Deja vu przybrałoby tu na sile.

recenzja (…) nieomal skończyła się pozwem ze strony organizatora wystawy za ujawnienie faktu, że wspomniana wcale nie jest pierwszą prezentacją polskiej sztuki w prestiżowej Saatchi Gallery – ale po prostu imprezą zorganizowaną w przestrzeniach do wynajęcia tejże instytucji. Równie dobrze można było – oczywiście za odpowiednią opłatą – zorganizować tam pokaz krzesanego lub sprzedaż kołder.

Czyli każdy mógł się tam wystawić, jeśli zapłacił. Ale osoby postronne mogły odnieść wrażenie, że dzieła sztuki cieszyły się tak dużym powodzeniem, że trafiły do głównej galerii.

Projekcja siły i splendoru. Tak jak chwalenie się certyfikatem od Izraela. Partnerstwem z IBM. Milionem wyświetleń na YouTubie.
Deja vu byłoby już większe niż góra lodowa przed moimi oczami.

A jak skończyła się sprawa z Abbey House? Nieciekawie, z tego co opisują w tym artykule. Obrazy trafiły w ręce nowej spółki, Art News (patrz: sprawa Nikodemusa opisana wyżej). Ich ponowna wycena dała wartości o 80% niższe.

W artykule jest również cytat dający do myślenia:

To była próba sztucznego napompowania rynku sztuki. Nie mogła się udać, bo poważni kolekcjonerzy są doskonałymi obserwatorami tego, co w świecie artystycznym się dzieje. Znają ważnych krytyków i marszandów. Nie wystarczą modne słowa, jak start-up, by odnieść sukces na rynku sztuki – dodaje Andrzej S???????.

Wnioski zostawiam Wam.

Inne tropy i podsumowanie

Jestem pewien, że dałoby się sięgać jeszcze głębiej. W komentarzach migały mi inne firmy i nazwiska, potencjalne tropy:

  • Rekrutacja na Facebooku

    Ktoś wrzucił na Facebooku komentarz ze screenem z pewnej grupy. Rzekomo werbowano na niej ludzi do kampanii reklamowej. Mieli nagrać, jak usuwają WhatsAppa i instalują UseCrypta.
    Można wypatrywać, czy taka kampania faktycznie się odbędzie.

  • Adrianna P. i celebryci

    Opisana w pewnym komentarzu jako naganiaczka influencerek, związana z klubami. W jednym z filmów promocyjnych robi wywiad z dziewczyną znanego boksera, Przemysława S.
    Oprócz tego na Instagramie można znaleźć reklamy z udziałem dość znanych celebrytów. Zostali nieświadomie wciągnięci czy wiedzieli?

  • Wszystkie firmy związane ze sprawą Kancelarii Nikodemus;

    Było ich tam mnóstwo. O ile przy tych kilku z tego wpisu jeszcze dawałem radę, to w sprawie Kancelarii siatka powiązań była już zbyt gęsta. Ale może ktoś mądrzejszy by rozplótł?

  • Miejski filtr Oxygen

    Na ich kanale na YT jest filmik, na którym prezes Oxygen City sp. z o.o. rozmawia ze znaną nam Sandrą od UseCrypta.
    Wsparł ich Patryk Vega.
    Określają się na zdjęciu z Facebooka jako „filtr antysmogowy i antypandemiczny”. Sprawy na czasie, przemawiające do miastowych?
    Wszędzie ingliszowe nazwy i nowoczesny dizajn.
    Jeszcze za czasów Berkeley Funds Paweł „Midas” mówił o potencjale rynku ekologicznego.

Jest co wypatrywać! Ale ja się póki co wynurzam. „Gdy długo spoglądasz w otchłań…” i te sprawy. Na pewno będę jeszcze doczytywał informacje, bo temat arcyciekawy.

Was również zachęcam – to uzależnia i można się poczuć jak tropiciel! :sunglasses:

Na koniec jeszcze refleksja. Te wszystkie firmy o ingliszowych nazwach, cool gadżety, plastiki na Insta, żywe kolorki… To przykre, że takie coś na kogokolwiek działa. A przecież można łatwo z tym walczyć.

Wystarczy tylko nie mieć nowobogackiej mentalności. Tej z gatunku „Buahaha, przecie mnie stać. Chcę to mieć. Zasługuję na ten lifestyle, goddamn”. Być po tej stronie co bezpieczniki – ogarnięci ludzie robiący swoje.

A jeśli potrzebujecie prywatnego komunikatora, to Signal jest za darmo. Nie wszystko kosztuje, wbrew losowym komentarzom anonów.

Niektórym jako zapłata wystarczy poczucie, że może utarli nosa jakimś zblazowanym pozerom. Takie małe szczęścia, jakich sobie i Wam życzę :smile:

Pozdrawiam i do kolejnego wpisu!