Hvorfor Celsius-eksponerede brugeroplysninger, og hvad du kan gøre ved det

I denne uge offentliggjorde Celsius Network et stort dokument, der indeholder alle kundernes kontosaldi.

Flytningen er en del af virksomhedens igangværende omstruktureringsproces efter dens kapitel 11-konkursansøgning fra tidligere i år. Dokumentet afspejler brugersaldi pr. 13. juli 2022, hvor virksomhedens omstrukturering begyndte, og kundetransaktioner, der fandt sted i de 90 dage forud for kapitel 11-indsendelsen, i henhold til virksomhedens FAQ.

Ikke overraskende forårsagede frigivelsen af ​​sådanne detaljerede kundedata, som inkluderer saldi, transaktioner og navne, en tumult on Twitter. Disse oplysninger kan ikke kun kaste lys over hver brugers økonomiske oplysninger, men også gøre det muligt for observatører at analysere blockchain og de-anonymisere on-chain adresser, da transaktionsbeløb og dato er detaljeret i dokumentet.

Når man sætter det hele sammen, bliver det klart, at brugernes privatliv blev invaderet og deres sikkerhed kompromitteret. Men ærgr dig ikke (endnu); denne artikel gennemgår, hvorfor dette skete, og hvad der kan gøres for at afbøde nogle trusler, hvis du er blandt de doxxed brugere.

Hvorfor gjorde Celsius dette dokument offentligt?

Som nævnt tidligere, dette dokument er en del af Celsius' omstruktureringsproces. Celsius var forpligtet til at afsløre kundeoplysninger som en del af sin omstruktureringsproces i betragtning af den nødvendige gennemsigtighed, som amerikansk lovgivning kræver. Selvom det normalt kun gælder for virksomhedens aktiver, blev de også berørt, da Celsius havde kundeaktiver i varetægt.

Ifølge en retsdokument, indsendte Celsius en anmodning om at skære ned på, at kundens personligt identificerbare oplysninger (PII) blev frigivet gennem en redigeringsproces, før de blev offentliggjort. Långiver fremførte tre argumenter.

For det første hævdede Celsius, at en så stor database med forbrugeroplysninger var for værdifuld til, at virksomheden kunne offentliggøres. Hvis du gør det, ville det "betydende reducere værdien af ​​kundelisten som et aktiv i ethvert fremtidigt potentielt aktivsalg," hævdede virksomheden.

For det andet fremførte Celsius argumentet om, at hvis kundernes PII blev afsløret, kunne de blive mål for "identitetstyveri, afpresning, chikane, stalking og doxing," ifølge retsdokumentet.

Endelig hævdede cryptocurrency-udlåneren, at eftersom mange af dets kunder bor i forskellige jurisdiktioner over hele verden, kunne afsløring af deres PII "udsætte [Celsius] for potentielt civilretligt ansvar og betydelige økonomiske sanktioner." Dokumentet noterer specifikt Storbritanniens generelle databeskyttelsesforordning (UK GDPR) og EU's GDPR.

Den amerikanske kurator hævdede på den anden side, at Celsius "ikke og ikke kan stole på nogen undtagelser fra den generelle regel om, at konkursbehandling skal være åben, offentlig og gennemsigtig" og har tilbudt "intet mere end vage erklæringer, der understøtter deres anmodning" til redigere de fortrolige oplysninger.

De hævdede også, at den PII, som Celsius forsøgte at redigere "hverken er fortrolig eller kommerciel information."

"Den amerikanske trustee hævder, at [Celsius' egne privatlivspolitikker understøtter argumentet om, at kundernes oplysninger ikke er fortrolige, fordi det tillader kundernes navne og kontaktoplysninger at blive delt med tredjeparts 'forretningspartnere' og derfor ikke er fortrolige." ifølge retsdokumentet.

Derudover hævder "US Trustee, at oplysningerne ikke er af reel kommerciel karakter, fordi debitorerne ikke søger at redigere alle kreditorers navne og identificerende oplysninger og i stedet anmoder om, at identificerende oplysninger kun redigeres for visse kreditorer, "men oplysninger mht. til en anden gruppe vil blive oplyst fuldt ud på grund af, hvor sådanne kreditorer bor.'”

Hvad angår det internationale lovaspekt, begrundede den amerikanske kurator også, at under USA's konkurslovgivning skulle konkursbehandlinger være offentlige, og de skulle have forrang over UK GDPR og EU GDPR.

Endelig, og mest chokerende, "hæder den amerikanske administrator, at [Celsius'] argumenter om, at kreditorer kan blive udsat for vold, hvis deres identitet blev afsløret, svarer til anekdotiske beviser, som ikke stiger til det niveau af beviser, der er nødvendige for at overvinde formodningen om åbenhed. og offentlig konkurs.”

Som svar offentliggjorde Celsius endnu et forslag, der forsøgte at implementere en komplet anonymiseringsproces for ikke at afsløre detaljerede brugeroplysninger. Det gik ud over det indledende forslag, som anmodede om muligheden for at redigere hjemme- og e-mailadresser på amerikanske kunder og navn, hjemmeadresse og e-mailadresse på kunder i Storbritannien og EU.

Retten afviste flertallet af Celsius' anmodninger. Den afviste differentieringen mellem kunder i USA og Storbritannien/EU baseret på ovenstående argumenter og tillod virksomheden kun at redigere hjemme- og e-mailadresser. Det afviste anonymiseringsforslaget fuldstændigt.

Her er, hvad Doxxed-brugere kan gøre

Der er mange muligheder, man kan tage, hvis de finder sig selv afsløret i Celsius-dokumenterne, men ingen af ​​dem vil være i stand til at slette fortiden. Jo tættere man kan komme på det, i tilfælde af at frigivelsen af ​​disse datapunkter har potentialet til at skade personen mærkbart, kan de lovligt ændre navne som en (ekstrem) mulighed for sidste udvej. Man kunne også flytte til en anden adresse, men da retten gav Celsius tilladelse til at redigere hjemmeadresser, er det måske ikke så stort et problem at forsøge at afbøde. Det er dog værd at bemærke, at uredigerede versioner af arkivalierne er tilgængelige for "den amerikanske trustee og rådgiver for komiteen, og at enhver part i interesse", der anmoder om og får adgang; sagen om at flytte boliger kan stadig gøres gældende.

Brugere kan også træffe foranstaltninger for at afbøde nogle af truslerne på den digitale verden. Når det kommer til de on-chain-adresser, som observatører kan de-anonymisere ved at se på blockchain og de oplysninger, der afsløres i dokumentet, kan gode privatlivsfokuserede værktøjer komme til undsætning.

Det nemmere alternativ er at CoinJoin midler. Selvom det ikke vil slette brugerens transaktionshistorik, hvis det gøres korrekt det vil gøre det muligt for brugeren at nyde godt fremadskuende privatliv. Dette betyder, at udgifter fra det tidspunkt ikke tydeligt kan ses som en transaktion, der kommer fra den doxxed-bruger. (I lighed med hvordan banken ved, hvornår du hæver kontanter i en hæveautomat, men ikke kan få detaljerede oplysninger om, hvad du bruger dem på bagefter.) Brugeren kan gå i gang med andre privatlivsværktøjer, som f.eks. PayJoins, der også går i stykker heuristik, som dårlige aktører bruger til at udlede information fra on-chain data.

Men måske det vigtigste, som brugerne kan gøre, er at bruge lavtidspræferencetilgangen og undgå at bruge centraliserede tjenester, der høster brugerdata. Finansielle servicevirksomheder over hele verden, inden for kryptovaluta og videre, er nødt til at overholde reglerne for kend-din-kunde (KYC) og anti-hvidvaskning af penge (AML). Selvom sådanne love sandsynligvis er velmente, er deres effektivitet omstridt, og ulemperne er klare –– som i dette Celsius-tilfælde.

I informationsalderen er data den mest værdifulde vare, og som sådan bliver virksomheder, der indsamler enorme mængder data, honeypots, og bliver effektivt mål for cyberangreb, da hackere og andre søger at tjene penge på denne information.

Selvom verdens regeringer ikke er klar over dette gigantiske problem i det 21. århundrede, er brugerne tilskyndet til at gøre, hvad de kan for at tage ejerskab af deres data og kræve deres privatliv tilbage. Da status quo presser folk til at dele så meget om deres liv som muligt, retten til privatliv skal ikke ses som noget, lovlydige borgere ikke har brug for men snarere som den helt rigtige, der muliggør alle de andre.