Pred niekoľkými dňami spoločnosť ConsenSys aktualizovala svoje Ochrana osobných údajov, v ktorom je odsek venovaný peňaženke MetaMask a politike prihlásenia.
Peňaženka MetaMask a nová politika prihlásenia
MetaMask je zďaleka jednou z najpoužívanejších peňaženiek pre Ethereum na svete s viac ako 21 miliónmi aktívnych používateľov mesačne, čiastočne preto, že funguje s rozšírením prehliadača, ktoré umožňuje jednoduché a rýchle prepojenie kryptopeňaženky s mnohými webovými stránkami.
ConsenSys Software Inc. je práve spoločnosť, ktorá vyrába a vydáva túto peňaženku, takže jej vyhlásenia o nej sú oficiálne.
MetaMask umožňuje používateľom ukladať a spravovať ich súkromné kľúče, takže ide o peňaženku bez úschovy. Je zrejmé, že sa používa na prijímanie a odosielanie kryptomien a tokenov založených na Ethereu, pričom sa dá ľahko pripojiť k rôznym decentralizovaným webovým stránkam a aplikáciám.
Týmto spôsobom nielenže umožňuje vykonávať transakcie skutočne veľmi jednoduchým spôsobom, ale umožňuje aj samotným webovým stránkam a dApps autentifikovať užívateľa na smart kontraktoch, aj keď anonymne.
Jedna z výčitiek, ktoré boli tomuto riešeniu vždy namierené, spočíva práve v správe užívateľských dát.
Aj keď by teoreticky mala neústna peňaženka ponechať používateľovi plnú a výlučnú kontrolu nad svojimi údajmi, čím by sa zabezpečila dobrá úroveň súkromia, v skutočnosti by mohla potenciálne zhromažďovať a zdieľať informácie s tretími stranami, vďaka ktorým by používatelia mohli byť identifikovateľní.
Zaznamenávanie IP adries pri prihlásení pomocou peňaženky MetaMask
Preto zaznamenávanie IP používateľa len zvyšuje kritiku v tomto smere.
Odsek v nových zásadách ochrany osobných údajov ConsenSys hovorí, že pri použití Infura ako predvoleného poskytovateľa RPC v MetaMask bude Infura pri odosielaní transakcie zhromažďovať IP adresy používateľov a adresy peňaženky Ethereum.
Tým, ktorí nechcú tieto údaje zhromažďovať, sa ponúka možnosť využiť poskytovateľa RPC tretej strany alebo vlastný uzol Ethereum. ConsenSys však upozorňuje, že tieto informácie zhromažďujú aj iní poskytovatelia RPC.
Stojí za zmienku, že poskytovateľ Infura RPC je vyvinutý samotným ConsenSys a je predvoleným poskytovateľom v MetaMask.
Takže v predvolenom nastavení ConsenSys bude zhromažďovať IP adresy používateľov MetaMask, keď vykonajú transakciu, pričom ako alternatívu ponúka iba explicitný výber iného poskytovateľa RPC, ale bez uvedenia toho, ktorý z nich nezhromažďuje IP používateľa.
Ďalšie zhromaždené informácie
Nová stránka Zásady ochrany osobných údajov ConsenSys uvádza aj ďalšie informácie, ktoré sa zhromažďujú, aj keď sú uvedené v iných odsekoch ako odsek venovaný MetaMask.
Niektoré z týchto informácií sú priamo a výslovne požadované od používateľa, čo môže zahŕňať meno a priezvisko, dátum narodenia, poštovú adresu, e-mailovú adresu, telefónne číslo atď.
Iné sa však predvolene zhromažďujú, keď používate iné služby ConsenSys, ako napríklad Codefi tiež zhromažďuje vašu krajinu a miesto narodenia, národnosť, číslo sociálneho poistenia, zamestnávateľa, povolanie, ID a ďalšie informácie potrebné na dodržanie protipeňažných predpisov. zákony o praní špinavých peňazí (AML) a požiadavky KYC.
ConsenSys na tejto stránke však všetky tieto informácie zverejňuje a otvorene, takže používatelia môžu byť dobre informovaní o tom, aké údaje spoločnosti odovzdávajú.
ConsenSys je pre všetky účely súkromná spoločnosť založená v roku 2014 Josephom Lubinom so sídlom v New Yorku. Má viac ako 500 zamestnancov a nie sú verejne dostupné žiadne údaje o vlastníctve akcionárov ani o príjmoch.
Infuria
Peňaženky ako MetaMask neobsahujú Ethereum uzol v nich. Aby fungovali, potrebujú sa spojiť s externými uzlami.
V predvolenom nastavení je poskytovateľom RPC (Remote Procedure Call), ktorý používajú, Infura, ktorá namiesto toho spravuje uzly blockchainu. Keď niekto uskutoční transakciu na MetaMask, pripojí sa k Infura, ktorá prenesie transakciu do blockchainu Ethereum. Spojenie sa uskutočňuje prostredníctvom „Vzdialeného volania procedúry“, ktoré posiela Infure všetky údaje, aby mohla preniesť transakciu do siete Ethereum.
Pri inštalácii MetaMask je prednastaveným poskytovateľom RPC práve Infura, takže ak to používateľ nezmení, jeho IP bude zaznamenaná pri odoslaní transakcie.
K dispozícii sú však aj iní poskytovatelia RPC, ku ktorým môžu používatelia pripojiť MetaMask, aby nepoužívali Infuru. Treba však postupovať opatrne, pretože nie je isté, či sú iní poskytovatelia RPC skutočne lepší.
Riziká
Najväčším rizikom v tomto bode je, že transakcie v reťazci budú rozpoznateľné.
Všetky údaje o transakciách v reťazci v Ethereu sú verejné a vo forme obyčajného textu, vrátane adresy peňaženky odosielateľa. Ide však o anonymné údaje, z ktorých by malo byť veľmi ťažké vystopovať identitu majiteľa peňaženky.
Nahrávanie IP v reťazci znižuje tento problém, čím je o niečo jednoduchšie nakoniec identifikovať vlastníka.
Po pravde povedané, ConsenSys má dosť údajov na identifikáciu používateľov, hoci pri jednoduchom použití MetaMask môže byť táto identifikácia stále ťažká. Ak sa však použijú aj iné nástroje, ako napríklad Codefi, identifikácia je oveľa jednoduchšia.
Informácie zhromaždené spoločnosťou ConsenSys o svojich používateľoch sa však nezverejňujú a na blockchaine sú zaznamenané iba niektoré anonymné údaje.
Na záver treba dodať, že v skutočnosti veľa používateľov, ktorí si chcú zachovať vysokú úroveň anonymity, už používa nástroje na skrytie alebo zmenu svojej IP, ako sú takzvané VPN, takže aj v prípade, že poskytovateľ RPC tieto údaje zaznamenáva, je takmer nemožné ho použiť na identifikáciu majiteľa peňaženky.
Zdroj: https://en.cryptonomist.ch/2022/11/25/metamask-wallet-ips-login/