MetaMask נוגע לפרטיות, ConsenSys מגיבה לתגובת הנגד

ב- 5 בדצמבר, CryptoSlate פרסם מאמר על חששות פרטיות הקשורים לשימוש בארנק MetaMask, במיוחד כיצד חשיפה פומבית לאחרונה חשפה רישום של כתובות IP של משתמשים.

בתגובה לתגובת הנגד, חברת האם של MetaMask ConsenSys פרסמה א הצהרה התייחסות לחששות שהועלו.

קהילת הקריפטו לא רגועה על מדיניות איסוף הנתונים

מדיניות פרטיות מעודכנת, שפורסמה ב-24 בנובמבר, חשפה את המעקב אחר כתובות ה-IP של המשתמשים בעת שליחת עסקאות, אשר חל על משתמשים אשר משאירים את הגדרת ברירת המחדל של Remote Procedure Call (RPC) כ-Infura.

זה עורר גל של ביקורת מקהילת הקריפטו, וחלקם הביעו אי נחת ממדיניות איסוף הנתונים. אסטרטגיות משותפות כדי לעקוף את המעקב אחר כתובות IP כללו שינוי הגדרת RPC לספק אחר והפעלת צומת Ethereum.

ConsenSys ציין כי מדיניות הפרטיות המעודכנת פעלה כדי להביא לשקיפות רבה יותר לפעילותה. אבל רישום כתובות IP בעת שליחת עסקאות בוצע תמיד במהלך הרגיל של השימוש ב- MetaMask.

"עדכונים אלה נועדו אך ורק לספק שקיפות רבה יותר על שיטות עבודה קיימות ולא תיארו שינוי בשיטות העסקיות שלנו."

עם זאת, החברה אמרה שהמשוב של הקהילה הניע אותם "לתעדף טוב יותר את הפרטיות של משתמשי MetaMask ו-Infura". מסיבה זו, ConsenSys רצתה להבהיר אי הבנות ולספק פרטים על מה שהיא עושה כדי לטפל בבעיות פרטיות.

ConsenSys אמרה שהיא תומכת בסוכנות משתמשים

לאחר קריאת תנאי השירות, מייסד Boxmining, מייקל גו, העלה השערה כי MetaMask עשויה לרשום כתובות IP בעת פתיחת הארנק, לא רק בעת שליחת עסקאות.

ההצהרה של ConsenSys הבהירה בקשות "קריאה", כגון פתיחת הארנק לבדיקת יתרות, לא לרשום כתובות IP. אבל בקשות "כתיבה", בעת ביצוע עסקאות ובאמצעות שירות נקודות קצה Infura, אכן אוספות כתובת IP כדי להבטיח "הפצה מוצלחת של עסקה, ביצוע ופונקציונליות שירות חשובה אחרת כמו איזון עומסים והגנה על DDoS."

החברה גם ביקשה להבהיר כי:

• כתובות IP ונתוני כתובת ארנק הקשורים לעסקה מאוחסנים בנפרד, כך שלא ניתן לשייך אותם יחד.
• נתוני המשתמש, לרבות כתובות IP, נמחקים בהתאם למדיניות שמירת הנתונים של החברה. קיימות תוכניות לצמצם את תפנית המחיקה לשבעה ימים.
• היא אינה מוכרת נתונים שנאספו לצדדים שלישיים.

בהתייחסו לשינוי ספק ה-RPC לחלופה שאינה אינפורה, ConsenSys הזהירה כי משתמשים שעושים זאת עדיין כפופים למדיניות הנתונים של ספק נקודות הקצה החדש. בזמן הפעלת צומת אין ערובה למיסוך כתובת IP.

"מנקודת מבט של פרטיות, אנו מזהירים שייתכן שהחלופות הללו לא יספקו למעשה יותר פרטיות; לספקי RPC חלופיים יש מדיניות פרטיות ונהלי נתונים שונים, ואירוח עצמי של צומת עשוי להקל אפילו על אנשים לשייך את חשבונות ה-Ethereum שלך לכתובת ה-IP שלך."

עם זאת, משבוע הבא ואילך, למשתמשים תהיה גישה לדף הגדרות מתקדמות חדש, המאפשר את בחירת ספקי RPC חלופיים ואת הפונקציונליות לדחות שירותי צד שלישי. בנוסף, עבודת פיתוח נוספת תיכנס לאבטחת תהליך ה-RPC, כולל אזהרות סיכונים על ספקים חשודים.