Muutama päivä sitten ConsenSys päivitti sen Tietosuojakäytännön, jossa on MetaMask-lompakkoon ja sisäänkirjautumiskäytäntöön omistettu kappale.
MetaMask-lompakko ja uusi kirjautumiskäytäntö
MetaMask on ylivoimaisesti yksi laajimmin käytetyistä Ethereumin lompakoista maailmassa, ja sillä on yli 21 miljoonaa aktiivista käyttäjää kuukausittain, osittain siksi, että se toimii selainlaajennuksen kanssa, jonka avulla kryptolompakko voidaan helposti ja nopeasti linkittää monille verkkosivustoille.
ConsenSys Software Inc. on juuri se yritys, joka valmistaa ja julkaisee tämän lompakon, joten sen lausunnot siitä ovat virallisia.
MetaMask avulla käyttäjät voivat tallentaa ja hallita yksityisiä avaimiaan, joten se on ei-varmistuslompakko. Sitä käytetään luonnollisesti kryptovaluuttojen ja Ethereum-pohjaisten tokenien vastaanottamiseen ja lähettämiseen, sillä erityispiirteenä on, että se voidaan helposti yhdistää erilaisiin hajautettuihin verkkosivustoihin ja sovelluksiin.
Tällä tavalla se ei vain mahdollista tapahtumien suorittamista todella yksinkertaisella tavalla, vaan myös mahdollistaa verkkosivustojen ja dAppien itsensä tunnistavan käyttäjän älykkäissä sopimuksissa, vaikkakin nimettömästi.
Yksi tähän ratkaisuun aina kohdistettu kritiikki on juuri käyttäjätietojen hallinta.
Vaikka teoriassa vapaudenmenetyksen ulkopuolisen lompakon pitäisi antaa käyttäjälle täydellinen ja yksinomainen hallintaoikeus tietoihinsa, mikä takaa hyvän yksityisyyden tason, todellisuudessa se voisi mahdollisesti kerätä ja jakaa kolmansien osapuolten kanssa tietoja, joiden avulla käyttäjät voidaan tunnistaa.
IP-osoitteiden tallennus sisäänkirjautumisen yhteydessä MetaMask-lompakolla
Siksi käyttäjän IP-osoitteen kirjaaminen lisää vain kritiikkiä tässä suhteessa.
ConsenSysin uuden tietosuojakäytännön kappale sanoo, että kun Infuraa käytetään oletusarvoisena RPC-palveluntarjoajana MetaMaskissa, Infura kerää käyttäjien IP-osoitteet ja Ethereum-lompakkoosoitteet lähetettäessä tapahtumaa.
Niille, jotka eivät halua kerätä näitä tietoja, tarjotaan mahdollisuus käyttää kolmannen osapuolen RPC-palveluntarjoajaa tai omaa Ethereum-solmua. ConsenSys kuitenkin varoittaa, että myös muut RPC-palveluntarjoajat keräävät näitä tietoja.
On syytä huomata, että Infura RPC -toimittaja on ConsenSysin itsensä kehittämä, ja se on MetaMaskin oletustoimittaja.
Joten oletusarvoisesti ConsenSys kerää MetaMaskin käyttäjien IP-osoitteet, kun he suorittavat tapahtuman, ja tarjoaa vaihtoehtona vain toisen RPC-palveluntarjoajan nimenomaisen valinnan, mutta ilmoittamatta, mitkä eivät kerää käyttäjien IP-osoitteita.
Muut kerätyt tiedot
Uudella ConsenSys-tietosuojakäytäntösivulla luetellaan myös muita kerättyjä tietoja, vaikka ne on lueteltu eri kappaleissa kuin MetaMaskille omistettu.
Jotkut näistä tiedoista kysytään suoraan ja nimenomaisesti käyttäjältä, jotka voivat sisältää etu- ja sukunimen, syntymäajan, postiosoitteen, sähköpostiosoitteen, puhelinnumeron ja niin edelleen.
Toiset kuitenkin kerätään oletusarvoisesti, kun käytät muita ConsenSys-palveluita, kuten esimerkiksi Codefi kerää myös maasi ja syntymäpaikkasi, kansalaisuutesi, sosiaaliturvatunnuksesi, työnantajasi, ammattisi, henkilöllisyystodistuksesi ja muut tiedot, joita tarvitaan rahanvastaisuuden noudattamiseen. rahanpesulakeja (AML) ja KYC-vaatimuksia.
Kuitenkin ConsenSys tällä sivulla tekee kaiken tämän tiedon julkisesti ja avoimesti, jotta käyttäjät voivat olla hyvin perillä siitä, mitä tietoja he luovuttavat yritykselle.
ConsenSys on kaikilta osin yksityinen yritys, jonka Joseph Lubin perusti vuonna 2014 ja jonka kotipaikka on New Yorkissa. Sillä on yli 500 työntekijää, eikä tietoja osakkeenomistajien omistuksista tai tuloista ole julkisesti saatavilla.
Infura
Lompakot, kuten MetaMask, eivät sisällä Ethereum solmu niiden sisällä. Joten niiden on oltava yhteydessä ulkoisiin solmuihin toimiakseen.
Oletuksena heidän käyttämänsä RPC (Remote Procedure Call) -palveluntarjoaja on Infura, joka hallitsee sen sijaan lohkoketjusolmuja. Kun joku tekee tapahtuman MetaMaskissa, se muodostaa yhteyden Infuraan, joka välittää tapahtuman Ethereum-lohkoketjuun. Yhteys muodostetaan "Remote Procedure Call" -toiminnolla, joka lähettää Infuralle kaikki tiedot, jotta se voi välittää tapahtuman Ethereum-verkkoon.
MetaMaskia asennettaessa esiasetettu RPC-palveluntarjoaja on nimenomaan Infura, joten jos käyttäjä ei muuta sitä, hänen IP-osoite tallennetaan, kun hän lähettää tapahtuman.
Saatavilla on kuitenkin myös muita RPC-palveluntarjoajia, joihin käyttäjät voivat yhdistää MetaMaskin, jotta Infuraa ei käytetä. Varovaisuutta on kuitenkin noudatettava, koska ei ole varmaa, että muut RPC-palveluntarjoajat ovat todella parempia.
Riskit
Suurin riski tässä vaiheessa on se, että ketjun sisäiset liiketoimet ovat tunnistettavissa.
Kaikki ketjun sisäiset tapahtumatiedot Ethereumissa ovat julkisia ja pelkkänä tekstinä, mukaan lukien lähettäjän lompakkoosoite. Kyseessä on kuitenkin anonyymi tieto, josta lompakon omistajan henkilöllisyyden jäljittämisen pitäisi olla erittäin vaikeaa.
Ketjun sisäinen IP-tallennus vähentää tätä vaikeutta, mikä helpottaa omistajan tunnistamista.
Totta puhuen, ConsenSysillä on melko vähän dataa käyttäjien tunnistamiseksi, vaikka yksinkertaisella MetaMaskin käytöllä tämä tunnistaminen saattaa silti olla vaikeaa. Kuitenkin, jos käytetään myös muita työkaluja, kuten Codefi, tunnistaminen helpottuu huomattavasti.
ConsenSysin käyttäjistä keräämiä tietoja ei kuitenkaan julkaista, ja vain osa nimettömistä tiedoista tallennetaan lohkoketjuun.
Lopuksi on lisättävä, että todellisuudessa monet käyttäjät, jotka haluavat säilyttää korkean anonymiteetin, käyttävät jo IP-osoitteensa piilottamiseen tai vaihtamiseen työkaluja, kuten niin sanottuja VPN:itä, joten jopa siinä tapauksessa, että RPC-palveluntarjoaja tallentaa nämä tiedot, sen avulla on lähes mahdotonta tunnistaa lompakon omistaja.
Lähde: https://en.cryptonomist.ch/2022/11/25/metamask-wallet-ips-login/