For noen dager siden oppdaterte ConsenSys sin Personvernserklæring, der det er et avsnitt dedikert til MetaMask-lommeboken og retningslinjene for pålogging.
MetaMask-lommeboken og den nye policyen for pålogging
MetaMask er uten tvil en av de mest brukte lommebokene for Ethereum i verden, med mer enn 21 millioner månedlige aktive brukere, blant annet fordi den fungerer med en nettleserutvidelse som gjør at kryptolommeboken enkelt og raskt kan kobles til mange nettsider.
ConsenSys Software Inc. er nettopp selskapet som produserer og utgir denne lommeboken, så uttalelsene om den er offisielle.
metamask lar brukere lagre og administrere sine private nøkler, så det er en lommebok som ikke er forvaringspliktig. Den brukes åpenbart til å motta og sende kryptovalutaer og Ethereum-baserte tokens, med den spesielle egenskapen at den enkelt kan kobles til ulike desentraliserte nettsteder og applikasjoner.
På denne måten gjør det ikke bare mulig å utføre transaksjoner på en veldig enkel måte, men lar også nettsidene og dAppene selv autentisere brukeren på de smarte kontraktene, om enn anonymt.
En av kritikkene som alltid har vært rettet mot denne løsningen ligger nettopp i håndteringen av brukerdata.
Selv om den ikke-forvarende lommeboken i teorien skulle gi brukeren full og eksklusiv kontroll over dataene deres, for å sikre et godt nivå av personvern, kan den i realiteten potensielt samle inn og dele informasjon med tredjeparter som kan gjøre brukere identifiserbare.
Registrering av IP-er ved pålogging med MetaMask-lommebok
Derfor øker logging av brukerens IP kun kritikken i denne forbindelse.
Avsnittet i ConsenSys sin nye personvernpolicy sier at når man bruker Infura som standard RPC-leverandør i MetaMask, vil Infura samle brukernes IP-adresser og Ethereum-lommebokadresser når man sender en transaksjon.
De som ikke ønsker at disse dataene samles inn, tilbys muligheten til å bruke en tredjeparts RPC-leverandør, eller sin egen Ethereum-node. ConsenSys advarer imidlertid om at andre RPC-leverandører også samler inn denne informasjonen.
Det er verdt å merke seg at Infura RPC-leverandøren er utviklet av ConsenSys selv, og er standardleverandøren i MetaMask.
Så som standard vil ConsenSys samle IP-adressene til MetaMask-brukere når de utfører en transaksjon, og tilbyr som et alternativ kun det eksplisitte valget av en annen RPC-leverandør, men uten å indikere hvilke som ikke samler bruker-IP-er.
Annen informasjon samlet inn
Den nye ConsenSys Privacy Policy-siden viser også annen informasjon som samles inn, selv om denne er oppført i andre avsnitt enn den som er dedikert til MetaMask.
Noe av denne informasjonen er direkte og eksplisitt spurt av brukeren, som kan inkludere for- og etternavn, fødselsdato, postadresse, e-postadresse, telefonnummer og så videre.
Andre blir imidlertid samlet inn som standard når du bruker andre ConsenSys-tjenester, som for eksempel Codefi samler også inn ditt land og fødested, nasjonalitet, personnummer, arbeidsgiver, yrke, ID og annen informasjon som er nødvendig for å overholde anti-penger lover om hvitvasking (AML) og KYC-krav.
ConsenSys på denne siden gjør imidlertid all denne informasjonen offentlig og åpen, slik at brukerne kan være godt informert om hvilke data de utleverer til selskapet.
ConsenSys er for alle hensikter et privat selskap, grunnlagt i 2014 av Joseph Lubin, basert i New York City. Det har mer enn 500 ansatte, og ingen data om eierskap eller inntekter er offentlig tilgjengelig.
Infuria
Lommebøker som MetaMask inneholder ikke en Ethereum node inne i dem. Så de må koble til eksterne noder for å fungere.
Som standard er RPC-leverandøren (Remote Procedure Call) de bruker Infura, som administrerer blokkjedenoder i stedet. Når noen gjør en transaksjon på MetaMask, kobles den til Infura, som overfører transaksjonen til Ethereum-blokkjeden. Forbindelsen gjøres gjennom "Remote Procedure Call", som sender Infura all data slik at den kan overføre transaksjonen til Ethereum-nettverket.
Når du installerer MetaMask, er den forhåndsinnstilte RPC-leverandøren nettopp Infura, så hvis brukeren ikke endrer den, vil IP-en deres bli registrert når de sender en transaksjon.
Imidlertid er andre RPC-leverandører også tilgjengelige som brukere kan koble MetaMask til for ikke å bruke Infura. Det må imidlertid utvises forsiktighet fordi det ikke er sikkert at andre RPC-leverandører faktisk er bedre.
Risikoen
Den største risikoen på dette tidspunktet er at ens transaksjoner i kjeden vil være gjenkjennelige.
Alle transaksjonsdata på kjeden på Ethereum er offentlige og i ren tekst, inkludert avsenderens lommebokadresse. Det er imidlertid anonyme data, som det skal være svært vanskelig å spore identiteten til lommebokeieren fra.
On-chain IP-registrering reduserer denne vanskeligheten, noe som gjør det noe lettere å identifisere eieren.
Når sant skal sies, har ConsenSys ganske mye data for å identifisere brukere, men med enkel bruk av MetaMask kan denne identifiseringen fortsatt være vanskelig. Men hvis andre verktøy, som Codefi, også brukes, blir identifiseringen mye enklere.
Ikke desto mindre blir informasjonen som samles inn av ConsenSys om brukerne ikke offentliggjort, og bare noen anonyme data blir registrert på blokkjeden.
Til slutt bør det legges til at i virkeligheten bruker mange brukere som ønsker å opprettholde et høyt nivå av anonymitet allerede verktøy for å skjule eller endre IP-en sin, for eksempel såkalte VPN-er, så selv i tilfellet der RPC-leverandøren registrerer disse dataene, det er nesten umulig å bruke den til å identifisere eieren av lommeboken.
Kilde: https://en.cryptonomist.ch/2022/11/25/metamask-wallet-ips-login/