Kilka dni temu ConsenSys zaktualizował swój Polityka prywatności, w którym znajduje się paragraf poświęcony portfelowi MetaMask oraz polityce dotyczącej logowania.
Portfel MetaMask i nowa polityka logowania
MetaMask jest zdecydowanie jednym z najczęściej używanych portfeli Ethereum na świecie, z ponad 21 milionami aktywnych użytkowników miesięcznie, częściowo dlatego, że działa z rozszerzeniem przeglądarki, które umożliwia łatwe i szybkie łączenie portfela kryptograficznego z wieloma stronami internetowymi.
ConsenSys Software Inc. to właśnie firma, która produkuje i wypuszcza ten portfel, więc jej oświadczenia na ten temat są oficjalne.
MetaMask pozwala użytkownikom przechowywać i zarządzać kluczami prywatnymi, więc jest to portfel bez nadzoru. Jest oczywiście używany do odbierania i wysyłania kryptowalut i tokenów opartych na Ethereum, z tą szczególną cechą, że można go łatwo połączyć z różnymi zdecentralizowanymi stronami internetowymi i aplikacjami.
W ten sposób nie tylko umożliwia przeprowadzanie transakcji w bardzo prosty sposób, ale także umożliwia stronom internetowym i samym dApps uwierzytelnienie użytkownika na inteligentnych umowach, choć anonimowo.
Jedna z krytyki, która zawsze była podnoszona w stosunku do tego rozwiązania, dotyczy właśnie zarządzania danymi użytkowników.
Chociaż teoretycznie portfel niepowierniczy powinien pozostawiać użytkownikowi pełną i wyłączną kontrolę nad jego danymi, zapewniając dobry poziom prywatności, w rzeczywistości może potencjalnie gromadzić i udostępniać informacje stronom trzecim, które mogłyby umożliwić identyfikację użytkowników.
Nagrywanie adresów IP podczas logowania przy użyciu portfela MetaMask
Dlatego logowanie IP użytkownika tylko zwiększa krytykę w tym zakresie.
Paragraf w nowej polityce prywatności ConsenSys mówi, że podczas korzystania z Infury jako domyślnego dostawcy RPC w MetaMask, Infura będzie zbierać adresy IP użytkowników i adresy portfela Ethereum podczas wysyłania transakcji.
Ci, którzy nie chcą zbierać tych danych, mają możliwość skorzystania z usług zewnętrznego dostawcy RPC lub własnego węzła Ethereum. ConsenSys ostrzega jednak, że inni dostawcy RPC również gromadzą te informacje.
Warto zauważyć, że dostawca Infura RPC jest rozwijany przez samą firmę ConsenSys i jest domyślnym dostawcą w MetaMask.
Tak więc domyślnie ConsenSys będzie gromadzić adresy IP użytkowników MetaMask podczas przeprowadzania przez nich transakcji, oferując jako alternatywę tylko wyraźny wybór innego dostawcy RPC, ale bez wskazywania, którzy z nich nie zbierają adresów IP użytkowników.
Inne zebrane informacje
Nowa strona Polityki prywatności ConsenSys zawiera również listę innych gromadzonych informacji, chociaż są one wymienione w innych akapitach niż ten poświęcony MetaMask.
Niektóre z tych informacji są wymagane bezpośrednio i wyraźnie od użytkownika, co może obejmować imię i nazwisko, datę urodzenia, adres pocztowy, adres e-mail, numer telefonu i tak dalej.
Inne są jednak gromadzone domyślnie, gdy korzystasz z innych usług ConsenSys, na przykład Codefi gromadzi również informacje o Twoim kraju i miejscu urodzenia, obywatelstwie, numerze ubezpieczenia społecznego, pracodawcy, zawodzie, identyfikatorze i inne informacje niezbędne do przestrzegania przepisów antymoney przepisów dotyczących prania pieniędzy (AML) i wymogów KYC.
Jednak ConsenSys na tej stronie podaje wszystkie te informacje do wiadomości publicznej i jawnej, dzięki czemu użytkownicy mogą być dobrze poinformowani o tym, jakie dane przekazują firmie.
ConsenSys jest pod każdym względem prywatną firmą założoną w 2014 roku przez Josepha Lubina z siedzibą w Nowym Jorku. Zatrudnia ponad 500 pracowników i żadne dane dotyczące własności akcjonariuszy lub przychodów nie są publicznie dostępne.
Infura
Portfele takie jak MetaMask nie zawierają Ethereum węzeł wewnątrz nich. Muszą więc łączyć się z węzłami zewnętrznymi, aby działać.
Domyślnie dostawcą RPC (Remote Procedure Call), którego używają, jest Infura, który zamiast tego zarządza węzłami łańcucha bloków. Kiedy ktoś dokonuje transakcji na MetaMask, łączy się ona z Infurą, która przesyła transakcję do blockchaina Ethereum. Połączenie jest nawiązywane za pośrednictwem „Zdalnego wywołania procedury”, które wysyła Infura wszystkie dane, aby mogła przesłać transakcję do sieci Ethereum.
Podczas instalacji MetaMask, ustawionym dostawcą RPC jest właśnie Infura, więc jeśli użytkownik go nie zmieni, jego IP zostanie zarejestrowane podczas wysyłania transakcji.
Jednak dostępni są również inni dostawcy RPC, do których użytkownicy mogą podłączyć MetaMask, aby nie korzystać z Infury. Należy jednak zachować ostrożność, ponieważ nie ma pewności, czy inni dostawcy RPC są faktycznie lepsi.
Ryzyko
Największym ryzykiem w tym momencie jest to, że transakcje w łańcuchu będą rozpoznawalne.
Wszystkie dane transakcji w łańcuchu w Ethereum są publiczne i jawne, w tym adres portfela nadawcy. Są to jednak anonimowe dane, na podstawie których powinno być bardzo trudno wyśledzić tożsamość właściciela portfela.
Nagrywanie IP w łańcuchu zmniejsza tę trudność, ułatwiając ostatecznie identyfikację właściciela.
Prawdę mówiąc, ConsenSys ma sporo danych do identyfikacji użytkowników, chociaż przy prostym użyciu MetaMask identyfikacja ta może być nadal trudna. Jeśli jednak używane są również inne narzędzia, takie jak Codefi, identyfikacja staje się znacznie łatwiejsza.
Niemniej jednak informacje zbierane przez ConsenSys na temat jego użytkowników nie są upubliczniane, a na blockchainie zapisywane są tylko niektóre anonimowe dane.
Na koniec należy dodać, że w rzeczywistości wielu użytkowników, którzy chcą zachować wysoki poziom anonimowości, korzysta już z narzędzi do ukrywania lub zmiany swojego IP, takich jak tzw. VPN, więc nawet w przypadku, gdy dostawca RPC rejestruje te dane, prawie niemożliwe jest użycie go do identyfikacji właściciela portfela.
Źródło: https://en.cryptonomist.ch/2022/11/25/metamask-wallet-ips-login/