Acum câteva zile, ConsenSys și-a actualizat Politica de Confidențialitate, în care există un paragraf dedicat portofelului MetaMask și politicii de autentificare.
Portofelul MetaMask și noua politică de conectare
MetaMask este de departe unul dintre cele mai utilizate portofele pentru Ethereum din lume, cu peste 21 de milioane de utilizatori activi lunar, parțial pentru că funcționează cu o extensie de browser care permite ca portofelul cripto să fie conectat ușor și rapid la multe site-uri web.
ConsenSys Software Inc. este tocmai compania care produce și lansează acest portofel, așa că declarațiile sale despre acesta sunt oficiale.
MetaMask permite utilizatorilor să stocheze și să-și gestioneze cheile private, deci este un portofel fără custodie. Este evident folosit pentru a primi și trimite criptomonede și token-uri bazate pe Ethereum, cu particularitatea că poate fi conectat cu ușurință la diverse site-uri și aplicații descentralizate.
În acest fel, nu numai că face posibilă efectuarea tranzacțiilor într-un mod foarte simplu, dar permite, de asemenea, site-urilor web și aplicațiilor proprii să autentifice utilizatorul pe contractele inteligente, deși anonim.
Una dintre criticile care au fost adresate dintotdeauna acestei soluții constă tocmai în gestionarea datelor utilizatorilor.
Deși, teoretic, portofelul fără custodie ar trebui să lase utilizatorului controlul deplin și exclusiv asupra datelor sale, asigurând un nivel bun de confidențialitate, în realitate, ar putea colecta și partaja informații cu terți care ar putea face utilizatorii identificabili.
Înregistrarea IP-urilor la autentificare folosind portofelul MetaMask
Prin urmare, înregistrarea IP-ului utilizatorului nu face decât să sporească criticile în acest sens.
Paragraful din noua politică de confidențialitate a ConsenSys spune că atunci când folosește Infura ca furnizor RPC implicit în MetaMask, Infura va colecta adresele IP ale utilizatorilor și adresele portofelului Ethereum atunci când trimite o tranzacție.
Celor care nu doresc ca aceste date să fie colectate li se oferă opțiunea de a folosi un furnizor RPC terț sau propriul nod Ethereum. Totuși, ConsenSys avertizează că și alți furnizori RPC colectează aceste informații.
Este de remarcat faptul că furnizorul Infura RPC este dezvoltat chiar de ConsenSys și este furnizorul implicit în MetaMask.
Deci, în mod implicit, ConsenSys va colecta adresele IP ale utilizatorilor MetaMask atunci când efectuează o tranzacție, oferind ca alternativă doar alegerea explicită a altui furnizor RPC, dar fără a indica care dintre ele nu colectează IP-urile utilizatorilor.
Alte informații colectate
Noua pagină de Politică de confidențialitate ConsenSys listează și alte informații care sunt colectate, deși acestea sunt enumerate în paragrafe diferite decât cel dedicat MetaMask.
Unele dintre aceste informații sunt solicitate în mod direct și explicit utilizatorului, care pot include numele și prenumele, data nașterii, adresa poștală, adresa de e-mail, numărul de telefon și așa mai departe.
Altele, totuși, sunt colectate în mod implicit atunci când utilizați alte servicii ConsenSys, cum ar fi, de exemplu, Codefi colectează și țara și locul nașterii, naționalitatea, numărul de securitate socială, angajatorul, ocupația, actul de identitate și alte informații necesare pentru a respecta prevederile anti-bani. legile privind spălarea (AML) și cerințele KYC.
Totuși, ConsenSys de pe această pagină face publice și deschise toate aceste informații, astfel încât utilizatorii să poată fi bine informați despre ce date predau companiei.
ConsenSys este, în toate intențiile și scopurile, o companie privată, fondată în 2014 de Joseph Lubin, cu sediul în New York City. Are peste 500 de angajați și nu sunt disponibile public date despre proprietatea acționarilor sau veniturile.
Infurie
Portofelele precum MetaMask nu conțin un Ethereum nod în interiorul lor. Deci trebuie să se conecteze cu noduri externe pentru a funcționa.
În mod implicit, furnizorul RPC (Remote Procedure Call) pe care îl folosesc este Infura, care gestionează în schimb nodurile blockchain. Când cineva face o tranzacție pe MetaMask, se conectează la Infura, care transmite tranzacția către blockchain-ul Ethereum. Conexiunea se realizează prin „Remote Procedure Call”, care trimite Infura toate datele pentru a putea transmite tranzacția către rețeaua Ethereum.
La instalarea MetaMask, furnizorul RPC prestabilit este tocmai Infura, deci dacă utilizatorul nu îl schimbă IP-ul său va fi înregistrat atunci când trimite o tranzacție.
Cu toate acestea, sunt disponibili și alți furnizori RPC la care utilizatorii se pot conecta MetaMask pentru a nu folosi Infura. Cu toate acestea, trebuie avută prudență deoarece nu este sigur că alți furnizori RPC sunt de fapt mai buni.
Riscurile
Cel mai mare risc în acest moment este că tranzacțiile în lanț vor fi recunoscute.
Toate datele tranzacțiilor în lanț de pe Ethereum sunt publice și în text simplu, inclusiv adresa portofelului expeditorului. Cu toate acestea, este vorba de date anonime, din care ar trebui să fie foarte dificil de urmărit identitatea proprietarului portofelului.
Înregistrarea IP în lanț reduce această dificultate, făcând oarecum mai ușoară identificarea în cele din urmă a proprietarului.
Adevărul să fie spus, ConsenSys are destule date pentru a identifica utilizatorii, deși cu simpla utilizare a MetaMask această identificare ar putea fi încă dificilă. Cu toate acestea, dacă sunt folosite și alte instrumente, precum Codefi, identificarea devine mult mai ușoară.
Cu toate acestea, informațiile colectate de ConsenSys despre utilizatorii săi nu sunt făcute publice și doar unele date anonime sunt înregistrate pe blockchain.
În sfârșit, trebuie adăugat că, în realitate, mulți utilizatori care doresc să mențină un nivel ridicat de anonimat folosesc deja instrumente pentru a-și ascunde sau schimba IP-ul, precum așa-numitele VPN-uri, deci chiar și în cazul în care furnizorul RPC înregistrează aceste date, este aproape imposibil să-l folosești pentru a identifica proprietarul portofelului.
Sursa: https://en.cryptonomist.ch/2022/11/25/metamask-wallet-ips-login/