לפני מספר ימים, ConsenSys עדכנה את זה מדיניות הפרטיות , שבה יש פסקה המוקדשת לארנק MetaMask ולמדיניות הכניסה.
ארנק MetaMask והמדיניות החדשה בנושא כניסה
MetaMask הוא ללא ספק אחד מהארנקים הנפוצים ביותר עבור Ethereum בעולם, עם יותר מ-21 מיליון משתמשים פעילים חודשיים, בין היתר משום שהוא עובד עם סיומת דפדפן המאפשרת קישור לארנק הקריפטו בקלות ובמהירות לאתרים רבים.
ConsenSys Software Inc. היא בדיוק החברה שמייצרת ומשחררת את הארנק הזה, כך שההצהרות שלה לגביו הן רשמיות.
מטאמאסק מאפשר למשתמשים לאחסן ולנהל את המפתחות הפרטיים שלהם, כך שזהו ארנק שאינו משמורן. ברור שהוא משמש כדי לקבל ולשלוח מטבעות קריפטוגרפיים ואסימונים מבוססי Ethereum, עם היחודיות שניתן לחבר אותו בקלות לאתרים ויישומים מבוזרים שונים.
בדרך זו, זה לא רק מאפשר לבצע עסקאות בצורה פשוטה מאוד, אלא גם מאפשר לאתרים ול-dApps עצמם לאמת את המשתמש בחוזים החכמים, אם כי בעילום שם.
אחת הביקורות שתמיד נמתחו על הפתרון הזה נעוצה דווקא בניהול נתוני המשתמש.
למרות שבתיאוריה, הארנק שאינו משמורן צריך להשאיר את המשתמש בשליטה מלאה ובלעדית על הנתונים שלו, תוך הבטחת רמת פרטיות טובה, במציאות, הוא עלול לאסוף ולשתף מידע עם צדדים שלישיים שעלולים להפוך את המשתמשים לניתנים לזיהוי.
הקלטת כתובות IP בעת הכניסה באמצעות ארנק MetaMask
לכן, רישום ה-IP של המשתמש רק מגביר את הביקורת בעניין זה.
הפסקה במדיניות הפרטיות החדשה של ConsenSys אומרת כי בעת שימוש ב-Infura כספק RPC ברירת המחדל ב-MetaMask, Infura תאסוף את כתובות ה-IP של המשתמשים וכתובות ארנק Ethereum בעת שליחת עסקה.
למי שלא רוצה שהנתונים האלה ייאספו, מוצעת האפשרות להשתמש בספק RPC של צד שלישי, או בצומת Ethereum משלהם. עם זאת, ConsenSys מזהירה שגם ספקי RPC אחרים אוספים מידע זה.
ראוי לציין שספק ה-RPC של Infura פותח על ידי ConsenSys עצמה, והוא ספק ברירת המחדל ב-MetaMask.
אז כברירת מחדל, ConsenSys תאסוף את כתובות ה-IP של משתמשי MetaMask כאשר הם מבצעים עסקה, ומציעה כחלופה רק בחירה מפורשת של ספק RPC אחר אך מבלי לציין אילו מהם לא אוספים כתובות IP של משתמשים.
מידע אחר נאסף
עמוד מדיניות הפרטיות החדש של ConsenSys מפרט גם מידע אחר שנאסף, אם כי זה רשום בפסקאות שונות מזו המוקדשת ל- MetaMask.
חלק ממידע זה נשאל ישירות ומפורשות מהמשתמש, אשר עשוי לכלול שם פרטי ומשפחה, תאריך לידה, כתובת למשלוח דואר, כתובת דואר אלקטרוני, מספר טלפון וכדומה.
עם זאת, אחרים נאספים כברירת מחדל כאשר אתה משתמש בשירותי ConsenSys אחרים, כמו למשל Codefi אוספת גם את המדינה ומקום הלידה שלך, אזרחות, מספר תעודת זהות, מעסיק, מקצוע, תעודת זהות ומידע אחר הנחוץ כדי לציית לאי-כסף. חוקי הלבנה (AML) ודרישות KYC.
עם זאת, ConsenSys בעמוד זה הופך את כל המידע הזה לציבורי וגלוי, כך שהמשתמשים יכולים להיות מעודכנים היטב לגבי הנתונים שהם מוסרים לחברה.
ConsenSys היא לכל דבר ועניין חברה פרטית, שהוקמה ב-2014 על ידי ג'וזף לובין, שבסיסה בניו יורק. יש לה יותר מ-500 עובדים, ואין נתונים על בעלות בעלי מניות או הכנסות זמינים לציבור.
אינפורה
ארנקים כמו MetaMask אינם מכילים Ethereum צומת בתוכם. אז הם צריכים להתחבר עם צמתים חיצוניים כדי לתפקד.
כברירת מחדל, ספקית ה-RPC (Remote Procedure Call) שבה הם משתמשים היא Infura, שמנהלת במקום זאת צמתי בלוקצ'יין. כשמישהו מבצע עסקה ב-MetaMask, הוא מתחבר לאינפורה, שמעבירה את העסקה לבלוקצ'יין Ethereum. החיבור מתבצע באמצעות "שיחת נוהל מרחוק", אשר שולחת לאינפורה את כל הנתונים כדי שתוכל להעביר את העסקה לרשת Ethereum.
בעת התקנת MetaMask, ספק ה-RPC המוגדר מראש הוא בדיוק Infura, כך שאם המשתמש לא ישנה אותו ה-IP שלו יירשם כאשר הוא שולח עסקה.
עם זאת, זמינים גם ספקי RPC אחרים אליהם משתמשים יכולים לחבר את MetaMask כדי לא להשתמש ב-Infura. עם זאת, יש לנקוט משנה זהירות כי לא בטוח שספקי RPC אחרים אכן טובים יותר.
הסיכונים
הסיכון הגדול ביותר בשלב זה הוא שעסקאות בשרשרת יהיו ניתנות לזיהוי.
כל נתוני העסקאות בשרשרת ב-Ethereum הם ציבוריים, ובטקסט רגיל, כולל כתובת הארנק של השולח. עם זאת, מדובר בנתונים אנונימיים, שמהם אמור להיות קשה מאוד להתחקות אחר זהות בעל הארנק.
הקלטת IP על השרשרת מפחיתה את הקושי הזה, ומקלה במידת מה על זיהוי הבעלים.
למען האמת, ל-ConsenSys יש לא מעט נתונים לזיהוי משתמשים, אם כי עם השימוש הפשוט של MetaMask הזיהוי הזה עדיין עשוי להיות קשה. עם זאת, אם משתמשים גם בכלים אחרים, כמו Codefi, הזיהוי הופך להרבה יותר קל.
עם זאת, המידע שנאסף על ידי ConsenSys על משתמשיה אינו מפורסם, ורק חלק מהנתונים האנונימיים נרשמים בבלוקצ'יין.
לבסוף, יש להוסיף שבמציאות משתמשים רבים המעוניינים לשמור על רמה גבוהה של אנונימיות כבר משתמשים בכלים להסתרה או שינוי של ה-IP שלהם, כמו מה שנקרא VPNs, כך שגם במקרה שבו ספק ה-RPC רושם את הנתונים הללו, כמעט בלתי אפשרי להשתמש בו כדי לזהות את בעל הארנק.
מקור: https://en.cryptonomist.ch/2022/11/25/metamask-wallet-ips-login/