Před několika dny společnost ConsenSys aktualizovala své Zásady ochrany osobních údajů, ve kterém je odstavec věnovaný peněžence MetaMask a zásadám přihlašování.
Peněženka MetaMask a nové zásady pro přihlášení
MetaMask je zdaleka jednou z nejpoužívanějších peněženek pro Ethereum na světě s více než 21 miliony aktivních uživatelů měsíčně, částečně proto, že funguje s rozšířením prohlížeče, které umožňuje snadno a rychle propojit kryptopeněženku s mnoha weby.
ConsenSys Software Inc. je právě společností, která vyrábí a vydává tuto peněženku, takže její prohlášení o ní jsou oficiální.
MetaMask umožňuje uživatelům ukládat a spravovat jejich soukromé klíče, jde tedy o peněženku bez úschovy. Zjevně se používá k přijímání a odesílání kryptoměn a tokenů založených na Ethereu, se zvláštností, že jej lze snadno připojit k různým decentralizovaným webům a aplikacím.
Tímto způsobem umožňuje nejen provádět transakce skutečně velmi jednoduchým způsobem, ale také umožňuje samotným webům a dApps autentizovat uživatele na smart kontraktech, i když anonymně.
Jedna z výtek, které byly tomuto řešení vždy směřovány, spočívá právě ve správě uživatelských dat.
I když by teoreticky měla neopatrovaná peněženka ponechat uživateli plnou a výlučnou kontrolu nad jejich daty a zajistit dobrou úroveň soukromí, ve skutečnosti by mohla potenciálně shromažďovat a sdílet informace s třetími stranami, díky nimž by uživatelé mohli být identifikovatelní.
Záznam IP adres při přihlášení pomocí peněženky MetaMask
Proto protokolování IP uživatele pouze zvyšuje kritiku v tomto ohledu.
Odstavec v nových zásadách ochrany osobních údajů společnosti ConsenSys říká, že při použití Infura jako výchozího poskytovatele RPC v MetaMask bude Infura při odesílání transakce shromažďovat IP adresy uživatelů a adresy peněženky Ethereum.
Těm, kteří nechtějí tato data shromažďovat, je nabídnuta možnost využití poskytovatele RPC třetí strany, nebo vlastního Etherea uzlu. ConsenSys však varuje, že tyto informace shromažďují i další poskytovatelé RPC.
Stojí za zmínku, že poskytovatel Infura RPC je vyvinut samotným ConsenSys a je výchozím poskytovatelem v MetaMask.
ConsenSys tedy ve výchozím nastavení shromažďuje IP adresy uživatelů MetaMask, když provádějí transakci, přičemž jako alternativu nabízí pouze explicitní výběr jiného poskytovatele RPC, ale bez uvedení těch, kteří neshromažďují uživatelské IP.
Další shromážděné informace
Nová stránka ConsenSys Privacy Policy také uvádí další shromažďované informace, i když jsou uvedeny v jiných odstavcích než v odstavcích věnovaných MetaMask.
Některé z těchto informací jsou přímo a výslovně požadovány od uživatele, což může zahrnovat jméno a příjmení, datum narození, poštovní adresu, e-mailovou adresu, telefonní číslo a tak dále.
Jiné se však ve výchozím nastavení shromažďují, když používáte jiné služby ConsenSys, jako například Codefi také shromažďuje vaši zemi a místo narození, národnost, číslo sociálního zabezpečení, zaměstnavatele, povolání, ID a další informace nezbytné pro dodržování anti-peněz. zákony o praní prádla (AML) a požadavky KYC.
ConsenSys na této stránce však všechny tyto informace zveřejňuje a zveřejňuje, takže uživatelé mohou být dobře informováni o tom, jaká data společnosti předávají.
ConsenSys je pro všechny účely soukromá společnost založená v roce 2014 Josephem Lubinem se sídlem v New Yorku. Má více než 500 zaměstnanců a žádné údaje o vlastnictví akcionářů nebo výnosech nejsou veřejně dostupné.
Infura
Peněženky jako MetaMask neobsahují Ethereum uzel uvnitř nich. Aby fungovaly, potřebují se spojit s externími uzly.
Ve výchozím nastavení je poskytovatel RPC (Remote Procedure Call), který používají, Infura, který místo toho spravuje uzly blockchainu. Když někdo provede transakci na MetaMasku, připojí se k Infura, která transakci přenese do blockchainu Ethereum. Spojení se provádí prostřednictvím „Vzdáleného volání procedur“, které posílá Infura všechna data, aby mohla přenést transakci do sítě Ethereum.
Při instalaci MetaMask je přednastaveným poskytovatelem RPC přesně Infura, takže pokud to uživatel nezmění, jeho IP bude zaznamenána při odeslání transakce.
K dispozici jsou však i další poskytovatelé RPC, ke kterým mohou uživatelé MetaMask připojit, aby Infura nepoužívali. Je však třeba postupovat opatrně, protože není jisté, zda jsou ostatní poskytovatelé RPC skutečně lepší.
Rizika
Největším rizikem v tomto bodě je, že transakce v řetězci budou rozpoznatelné.
Všechna data transakcí v řetězci na Ethereu jsou veřejná a v prostém textu, včetně adresy peněženky odesílatele. Jde však o anonymní údaje, ze kterých by mělo být velmi obtížné dohledat identitu majitele peněženky.
Nahrávání IP v řetězci tuto obtížnost snižuje, takže je poněkud snazší nakonec identifikovat vlastníka.
Po pravdě řečeno, ConsenSys má poměrně dost dat k identifikaci uživatelů, i když při jednoduchém použití MetaMask může být tato identifikace stále obtížná. Pokud se však použijí i další nástroje, jako je Codefi, identifikace se výrazně zjednoduší.
Nicméně informace shromážděné ConsenSys o svých uživatelích nejsou zveřejněny a na blockchainu jsou zaznamenána pouze některá anonymní data.
Na závěr je třeba dodat, že ve skutečnosti mnoho uživatelů, kteří si chtějí zachovat vysokou úroveň anonymity, již používá nástroje pro skrytí nebo změnu své IP, jako jsou tzv. VPN, takže i v případě, kdy poskytovatel RPC tato data zaznamená, je téměř nemožné jej použít k identifikaci majitele peněženky.
Zdroj: https://en.cryptonomist.ch/2022/11/25/metamask-wallet-ips-login/