Por qué Celsius expuso la información del usuario y qué puede hacer al respecto

Esta semana, Celsius Network publicó un extenso documento que contiene todos los saldos de las cuentas de sus clientes.

La medida es parte del proceso de reestructuración en curso de la compañía luego de su declaración de bancarrota del Capítulo 11 de principios de este año. El documento refleja los saldos de los usuarios al 13 de julio de 2022, cuando comenzó la reestructuración de la empresa, y las transacciones de los clientes que ocurrieron en los 90 días anteriores a la presentación del Capítulo 11, según el informe de la empresa. Preguntas Frecuentes.

Como era de esperar, la publicación de datos de clientes tan detallados, que incluyen saldos, transacciones y nombres, causó una escándalo on Twitter. Esa información no solo puede arrojar luz sobre la información financiera de cada usuario, sino que también permite a los observadores analizar la cadena de bloques y eliminar el anonimato de las direcciones en la cadena, ya que los montos y la fecha de la transacción se detallan en el documento.

Poniendo todo junto, queda claro que la privacidad de los usuarios fue invadida y su seguridad comprometida. Pero no te preocupes (todavía); este artículo revisa por qué sucedió esto y qué se puede hacer para mitigar algunas amenazas si se encuentra entre los usuarios doxxed.

¿Por qué Celsius hizo público este documento?

Como se mencionó previamente, este documento es parte del proceso de reestructuración de Celsius. Celsius se vio obligada a exponer la información de los clientes como parte de su proceso de reestructuración, dada la transparencia necesaria exigida por la ley estadounidense. Si bien eso generalmente se aplica solo a los activos de la empresa, dado que Celsius mantuvo bajo custodia los activos de los clientes, también se vieron afectados.

De acuerdo a una documento judicial, Celsius presentó una solicitud para reducir la información de identificación personal (PII) del cliente que se publica a través de un proceso de redacción antes de hacerlo público. El prestamista presentó tres argumentos.

Primero, Celsius argumentó que una base de datos tan grande de información del consumidor era demasiado valiosa para que la empresa la hiciera pública. Hacerlo "disminuiría significativamente el valor de la lista de clientes como activo en cualquier venta potencial futura de activos", afirmó la compañía.

En segundo lugar, Celsius presentó el argumento de que, si se revelara la PII de los clientes, podrían convertirse en objetivos de "robo de identidad, chantaje, acoso, acecho y doxing", según el documento judicial.

Finalmente, el prestamista de criptomonedas argumentó que, dado que muchos de sus clientes residen en diferentes jurisdicciones de todo el mundo, divulgar su PII podría "exponer [Celsius] a posibles responsabilidades civiles y sanciones financieras significativas". El documento señala específicamente el Reglamento General de Protección de Datos del Reino Unido (UK GDPR) y el GDPR de la Unión Europea.

El síndico de EE. UU., por otro lado, argumentó que Celsius “no confía ni puede confiar en ninguna excepción a la regla general de que los procedimientos de quiebra deben ser abiertos, públicos y transparentes” y ha ofrecido “nada más que declaraciones vagas que respaldan su solicitud” a redactar la información confidencial.

También argumentaron que la PII que Celsius buscaba redactar “no es información confidencial ni comercial”.

“El Síndico de EE. UU. argumenta que las propias políticas de privacidad de [Celsius] respaldan el argumento de que la información de los clientes no es confidencial porque permite que los nombres de los clientes y la información de contacto se compartan con 'socios comerciales' de terceros y, por lo tanto, no es confidencial. según el documento judicial.

Además, el “Síndico de EE. UU. sostiene que la información no es verdaderamente de naturaleza comercial porque los Deudores no buscan eliminar los nombres de todos los acreedores y la información de identificación y, en cambio, solicitan que la información de identificación sea eliminada solo para ciertos acreedores, 'pero la información con respecto a a otro grupo se revelará completamente debido al lugar donde viven dichos acreedores'”.

Sobre el aspecto de las leyes internacionales, el síndico de los EE. UU. también razonó que, según la ley de quiebras de los Estados Unidos, los procedimientos de quiebra deben ser públicos y deben prevalecer sobre el RGPD del Reino Unido y el RGPD de la UE.

Finalmente, y lo más impactante, “el Síndico de los EE. UU. sostiene que los argumentos [de Celsius] de que los acreedores podrían estar sujetos a violencia si se revelaran sus identidades equivalen a evidencia anecdótica, que no alcanza el nivel de evidencia necesario para superar la presunción de apertura y quiebra pública.”

En respuesta, Celsius publicó otra moción, buscando implementar un proceso completo de anonimización para no revelar información detallada del usuario. Eso fue más allá de la moción inicial presentada, que solicitaba la capacidad de redactar la dirección de correo electrónico y de domicilio de los clientes de EE. UU. y el nombre, la dirección de domicilio y la dirección de correo electrónico de los clientes del Reino Unido y la UE.

El tribunal falló en contra de la mayoría de las solicitudes de Celsius. Descartó la diferenciación entre los clientes de EE. UU. y el Reino Unido/UE basándose en los argumentos anteriores y permitió que la empresa solo redactara las direcciones de correo electrónico y de domicilio. Negó por completo la moción de anonimización.

Esto es lo que pueden hacer los usuarios Doxxed

Hay muchas opciones que uno puede tomar si se encuentra expuesto en los documentos Celsius, pero ninguna de ellas podrá borrar el pasado. Cuanto más se pueda llegar a eso, en caso de que la publicación de esos puntos de datos tenga el potencial de dañar tangiblemente a la persona, pueden cambiar legalmente los nombres como una opción (extrema) de último recurso. Uno también podría mudarse a una dirección diferente, pero dado que el tribunal autorizó a Celsius a redactar las direcciones de las casas, eso podría no ser un problema tan grande para tratar de mitigar. Vale la pena señalar, sin embargo, que las versiones no editadas de las presentaciones son accesibles para "el Fideicomisario de los EE. UU. y los abogados del Comité, y cualquier parte interesada" que solicite y se le conceda acceso; el caso para mudarse de casa todavía se puede hacer.

Los usuarios también pueden tomar medidas para mitigar algunas de las amenazas en el mundo digital. Cuando se trata de las direcciones en cadena que los observadores pueden anonimizar mirando la cadena de bloques y la información divulgada en el documento, las buenas herramientas centradas en la privacidad pueden venir al rescate.

La alternativa más sencilla es CoinJoin fondos. Aunque eso no borrará el historial de transacciones del usuario, si se hace correctamente permitirá al usuario disfrutar de una buena privacidad con visión de futuro. Esto significa que el gasto a partir de ese momento no se detectará claramente como una transacción proveniente del usuario doxxed. (De manera similar a cómo el banco sabe cuándo retira efectivo en un cajero automático, pero no puede obtener información detallada sobre en qué lo gasta después). El usuario puede embarcarse en otras herramientas de privacidad, como Uniones de pago, que también rompen heurísticas que utilizan los malos actores para inferir información de los datos en cadena.

Pero quizás lo más importante que pueden hacer los usuarios es adoptar el enfoque de preferencia de tiempo bajo y evitar el uso de servicios centralizados que recopilan datos de usuarios. Las empresas de servicios financieros de todo el mundo, en criptomonedas y más allá, deben cumplir con las normas de conocimiento de su cliente (KYC) y contra el lavado de dinero (AML). Si bien es probable que tales leyes tengan buenas intenciones, se cuestiona su efectividad y las desventajas son claras, como en este caso Celsius.

En la era de la información, los datos son el producto más valioso y, como tal, las empresas que recopilan grandes cantidades de datos se convierten en trampas y se convierten en objetivos de ataques cibernéticos cuando los piratas informáticos y otros buscan monetizar esa información.

Si bien los gobiernos del mundo no se dan cuenta de este problema gigantesco en el siglo XXI, se incentiva a los usuarios a hacer lo que puedan para tomar posesión de sus datos y reclamar su privacidad. A medida que el statu quo empuja a las personas a compartir tanto como sea posible sobre sus vidas, el derecho a la privacidad no debe verse como algo que los ciudadanos respetuosos de la ley no necesitan sino como el derecho mismo que habilita a todos los demás.