Néhány nappal ezelőtt a ConsenSys frissítette Adatkezelési tájékoztató, amelyben van egy bekezdés a MetaMask pénztárcának és a bejelentkezési szabályzatnak.
A MetaMask pénztárca és az új bejelentkezési szabályzat
A MetaMask messze az egyik legszélesebb körben használt Ethereum pénztárca a világon, több mint 21 millió havi aktív felhasználóval, részben azért, mert olyan böngészőbővítmény mellett működik, amely lehetővé teszi a kriptotárca egyszerű és gyors összekapcsolását számos webhelyhez.
A ConsenSys Software Inc. pontosan az a cég, amely ezt a pénztárcát gyártja és kiadja, így az ezzel kapcsolatos nyilatkozatai hivatalosak.
metamaszk lehetővé teszi a felhasználók számára a privát kulcsok tárolását és kezelését, tehát ez egy nem őrizetbe vett pénztárca. Nyilvánvalóan kriptovaluták és Ethereum-alapú tokenek fogadására és küldésére használják, azzal a különlegességgel, hogy könnyen csatlakoztatható különféle decentralizált webhelyekhez és alkalmazásokhoz.
Ezáltal nemcsak a tranzakciók nagyon egyszerű végrehajtását teszi lehetővé, hanem lehetővé teszi a webhelyek és a dApp-ok számára is, hogy – bár névtelenül – hitelesítsék a felhasználót az okosszerződéseken.
Az egyik kritika, ami mindig is ezt a megoldást érte, éppen a felhasználói adatok kezelésében rejlik.
Noha elméletileg a nem szabadságvesztési pénztárcának meg kell hagynia a felhasználót adatainak teljes és kizárólagos ellenőrzése alatt, biztosítva a megfelelő szintű adatvédelmet, a valóságban azonban potenciálisan olyan információkat gyűjthet és oszthat meg harmadik felekkel, amelyek révén a felhasználók azonosíthatóvá válhatnak.
Az IP-k rögzítése bejelentkezéskor a MetaMask pénztárcával
Ezért a felhasználó IP-jének naplózása csak fokozza a kritikát ezzel kapcsolatban.
A ConsenSys új adatvédelmi szabályzatának bekezdése kimondja, hogy ha az Infurát használja alapértelmezett RPC-szolgáltatóként a MetaMask-ban, az Infura összegyűjti a felhasználók IP-címeit és az Ethereum pénztárca címeit a tranzakciók küldésekor.
Azoknak, akik nem akarják, hogy ezeket az adatokat gyűjtsék, felkínálják egy harmadik féltől származó RPC-szolgáltató vagy saját Ethereum csomópont használatának lehetőségét. A ConsenSys azonban figyelmeztet, hogy más RPC-szolgáltatók is gyűjtik ezeket az információkat.
Érdemes megjegyezni, hogy az Infura RPC szolgáltatót maga a ConsenSys fejlesztette ki, és ez a MetaMask alapértelmezett szolgáltatója.
Tehát alapértelmezés szerint a ConsenSys összegyűjti a MetaMask-felhasználók IP-címeit, amikor tranzakciót hajtanak végre, alternatívaként csak egy másik RPC-szolgáltató explicit választását kínálja, de nem jelzi, hogy melyik nem gyűjti a felhasználói IP-címeket.
Egyéb összegyűjtött információk
Az új ConsenSys adatvédelmi szabályzata egyéb összegyűjtött információkat is felsorol, bár ezek a MetaMask-tól eltérő bekezdésekben szerepelnek.
Ezen információk egy részét közvetlenül és kifejezetten kérik a felhasználótól, beleértve a vezeték- és utónevet, a születési dátumot, a levelezési címet, az e-mail címet, a telefonszámot és így tovább.
Másokat azonban alapértelmezés szerint gyűjtenek, amikor más ConsenSys-szolgáltatásokat vesz igénybe, például a Codefi is gyűjti az Ön országát és születési helyét, állampolgárságát, társadalombiztosítási számát, munkáltatóját, foglalkozását, személyi igazolványát és egyéb, a pénzellenes szabályok betartásához szükséges információkat. pénzmosás (AML) törvényei és a KYC követelmények.
A ConsenSys azonban ezen az oldalon mindezt az információt nyilvánossá és nyílttá teszi, hogy a felhasználók jól tájékozódhassanak arról, milyen adatokat adnak át a cégnek.
A ConsenSys egy magáncég, amelyet 2014-ben Joseph Lubin alapított, New Yorkban. Több mint 500 alkalmazottat foglalkoztat, a részvényesek tulajdonjogára vagy bevételeire vonatkozó adatok nyilvánosan nem elérhetők.
Infuria
Az olyan pénztárcák, mint a MetaMask, nem tartalmaznak egy Ethereum csomópont bennük. Így működésükhöz kapcsolódniuk kell külső csomópontokhoz.
Alapértelmezés szerint az általuk használt RPC (Remote Procedure Call) szolgáltató az Infura, amely helyett a blokklánc csomópontokat kezeli. Amikor valaki tranzakciót hajt végre a MetaMaskon, az csatlakozik az Infurához, amely továbbítja a tranzakciót az Ethereum blokkláncnak. A kapcsolat a „Remote Procedure Call”-on keresztül történik, amely elküldi az Infurának az összes adatot, hogy továbbítsa a tranzakciót az Ethereum hálózathoz.
A MetaMask telepítésekor az előre beállított RPC szolgáltató pontosan az Infura, így ha a felhasználó nem változtatja meg, akkor a tranzakció elküldésekor rögzítésre kerül az IP-címe.
Azonban más RPC-szolgáltatók is elérhetők, amelyekhez a felhasználók csatlakoztathatják a MetaMask-ot, hogy ne használják az Infurát. Óvatosan kell azonban eljárni, mert nem biztos, hogy más RPC-szolgáltatók valóban jobbak.
A kockázatok
A legnagyobb kockázat ezen a ponton az, hogy a láncon belüli tranzakciók felismerhetők lesznek.
Minden láncon belüli tranzakciós adat az Ethereumon nyilvános és egyszerű szöveges formában, beleértve a feladó pénztárca címét is. Ez azonban névtelen adat, amelyből bizonyára nagyon nehéz lesz a pénztárca tulajdonosának kilétét visszakövetni.
A láncon belüli IP-rögzítés csökkenti ezt a nehézséget, ami némileg megkönnyíti a tulajdonos azonosítását.
Az igazat megvallva, a ConsenSys elég sok adattal rendelkezik a felhasználók azonosításához, bár a MetaMask egyszerű használatával ez az azonosítás még mindig nehézkes lehet. Ha azonban más eszközöket, például Codefi-t is használunk, sokkal könnyebbé válik az azonosítás.
Ennek ellenére a ConsenSys által a felhasználókról gyűjtött információkat nem hozzák nyilvánosságra, és csak néhány névtelen adat kerül rögzítésre a blokkláncon.
Végül hozzá kell tenni, hogy a valóságban sok felhasználó, aki magas szintű anonimitást kíván fenntartani, már használ olyan eszközöket, amelyek elrejtik vagy megváltoztatják IP-címüket, mint például az úgynevezett VPN-ek, így még abban az esetben is, ha az RPC szolgáltató rögzíti ezeket az adatokat, segítségével szinte lehetetlen azonosítani a pénztárca tulajdonosát.
Forrás: https://en.cryptonomist.ch/2022/11/25/metamask-wallet-ips-login/