Miksi Celsius paljasti käyttäjätiedot ja mitä voit tehdä asialle

Celsius Network julkaisi tällä viikolla laajan asiakirjan, joka sisältää asiakkaidensa tilisaldot.

Muutto on osa yhtiön meneillään olevaa saneerausprosessia sen luvun 11 mukaisen konkurssihakemuksen jälkeen aiemmin tänä vuonna. Asiakirjassa näkyvät käyttäjien saldot 13, jolloin yrityksen saneeraus aloitettiin, sekä asiakastapahtumat, jotka tapahtuivat 2022 päivän aikana ennen luvun 90 hakemusta, yhtiön mukaan. FAQ.

Ei ole yllättävää, että näin yksityiskohtaisten asiakastietojen, jotka sisältävät saldot, tapahtumat ja nimet, julkistaminen aiheutti meteli on Twitter. Nämä tiedot voivat paitsi valaista jokaisen käyttäjän taloudellisia tietoja, myös antaa tarkkailijoille mahdollisuuden analysoida lohkoketjua ja poistaa ketjun osoitteiden anonymisoinnit, koska tapahtuman määrät ja päivämäärä ovat yksityiskohtaiset asiakirjassa.

Kun kaikki yhdistetään, käy selväksi, että käyttäjien yksityisyyttä loukattiin ja heidän tietoturvansa vaarantui. Mutta älä huoli (vielä); Tässä artikkelissa tarkastellaan, miksi näin tapahtui ja mitä voidaan tehdä joidenkin uhkien lieventämiseksi, jos kuulut doxxed-käyttäjien joukkoon.

Miksi Celsius julkisti tämän asiakirjan?

Kuten aiemmin mainittiin, Tämä asiakirja on osa Celsiuksen rakenneuudistusprosessia. Celsius oli velvollinen paljastamaan asiakastiedot osana uudelleenjärjestelyprosessiaan, koska Yhdysvaltain laki vaatii tarvittavaa avoimuutta. Tämä koskee yleensä vain yrityksen omaisuutta, mutta koska Celsius piti asiakkaiden omaisuutta hallussa, se vaikutti myös niihin.

Mukaan tuomioistuimen asiakirja, Celsius esitti pyynnön vähentää asiakkaan henkilökohtaisesti tunnistettavien tietojen (PII) julkaisemista muokkausprosessin kautta ennen niiden julkistamista. Lainanantaja esitti kolme väitettä.

Ensinnäkin Celsius väitti, että niin suuri kuluttajatietojen tietokanta oli liian arvokas yritykselle julkistettavaksi. Tämä "vähentäisi merkittävästi asiakasluettelon arvoa omaisuuseränä mahdollisessa tulevassa omaisuuden myynnissä", yhtiö väitti.

Toiseksi, Celsius esitti väitteen, että jos asiakkaiden henkilökohtaisia ​​tunnistetietoja paljastetaan, heistä voisi tulla "identiteettivarkauden, kiristyksen, häirinnän, vainoamisen ja doxingin" kohteena oikeuden asiakirjan mukaan.

Lopuksi kryptovaluutan lainanantaja väitti, että koska monet sen asiakkaat asuvat eri lainkäyttöalueilla kaikkialla maailmassa, heidän henkilökohtaisten tunnistetietojensa paljastaminen voisi "altistaa [Celsiuksen] mahdolliselle siviilioikeudelliselle vastuulle ja merkittäville taloudellisille seuraamuksille". Asiakirjassa mainitaan erityisesti Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus (UK GDPR) ja Euroopan unionin GDPR.

Yhdysvaltalainen toimitsijamies toisaalta väitti, että Celsius "ei voi eikä voi vedota mihinkään poikkeuksiin yleisestä säännöstä, jonka mukaan konkurssimenettelyn tulee olla avointa, julkista ja läpinäkyvää", ja on tarjonnut "mitään muuta kuin epämääräisiä lausuntoja, jotka tukevat heidän pyyntöään". poistaa luottamukselliset tiedot.

He väittivät myös, että henkilökohtainen tunniste, jonka Celsius yritti poistaa, "ei ole luottamuksellista eikä kaupallista tietoa".

"Yhdysvaltain valtuutettu väittää, että [Celsiuksen] omat tietosuojakäytännöt tukevat väitettä, jonka mukaan asiakkaiden tiedot eivät ole luottamuksellisia, koska ne mahdollistavat asiakkaiden nimien ja yhteystietojen jakamisen kolmansien osapuolien "liikekumppaneiden" kanssa, joten ne eivät ole luottamuksellisia, oikeuden asiakirjan mukaan.

Lisäksi "Yhdysvaltain edunvalvoja väittää, että tiedot eivät ole luonteeltaan todella kaupallisia, koska velalliset eivät pyri poistamaan kaikkien velkojien nimiä ja tunnistetietoja ja pyytävät sen sijaan, että tunnistetiedot poistetaan vain tiettyjen velkojien osalta, mutta tiedot toiselle ryhmälle paljastetaan täysin tällaisten velkojien asuinpaikan vuoksi.

Kansainvälisten lakien osalta Yhdysvaltain toimitsijamies totesi myös, että Yhdysvaltojen konkurssilainsäädännön mukaan konkurssimenettelyn tulisi olla julkista ja niiden tulisi olla ensisijaisia ​​Yhdistyneen kuningaskunnan GDPR:ään ja EU:n GDPR:ään nähden.

Lopuksi ja mitä järkyttävintä: ”Yhdysvaltain edunvalvoja väittää, että [Celsiuksen] väitteet siitä, että velkojat saattavat joutua väkivallan kohteeksi, jos heidän henkilöllisyytensä paljastetaan, ovat anekdoottisia todisteita, jotka eivät nouse sellaiselle todisteiden tasolle, joka on tarpeen avoimen oletuksen kumoamiseksi. ja julkinen konkurssi."

Vastauksena Celsius julkaisi toisen liikkeen, jolla pyrittiin toteuttamaan täydellinen anonymisointiprosessi, jotta käyttäjä ei paljastaisi yksityiskohtaisia ​​tietoja. Tämä ylitti alkuperäisen esityksen, jossa pyydettiin mahdollisuutta poistaa yhdysvaltalaisten asiakkaiden koti- ja sähköpostiosoite sekä Yhdistyneen kuningaskunnan ja EU:n asiakkaiden nimi, kotiosoite ja sähköpostiosoite.

Tuomioistuin kielsi suurimman osan Celsiuksen vaatimuksista. Se hylkäsi yhdysvaltalaisten ja brittiläisten/EU-asiakkaiden välisen eron yllä olevien perusteiden perusteella ja antoi yrityksen muokata vain koti- ja sähköpostiosoitteita. Se kielsi anonymisointiliikkeen kokonaan.

Tässä on mitä Doxxed-käyttäjät voivat tehdä

On monia vaihtoehtoja, joita voidaan valita, jos ne paljastuvat Celsius-dokumenteissa, mutta yksikään niistä ei pysty pyyhkimään menneisyyttä. Mitä lähemmäksi sitä päästään, siinä tapauksessa, että kyseisten tietopisteiden vapauttaminen voi vahingoittaa henkilöä tuntuvasti, he voivat laillisesti muuttaa nimiä (äärimmäisenä) viimeisenä keinona. Voidaan myös muuttaa toiseen osoitteeseen, mutta koska tuomioistuin valtuutti Celsiuksen muokkaamaan kotiosoitteita, se ei ehkä ole niin suuri ongelma, jota yrittää lieventää. On kuitenkin syytä huomata, että hakemusten muokkaamattomat versiot ovat saatavilla "Yhdysvaltain edunvalvojalle ja komitean neuvonantajalle ja kaikille kiinnostuneille osapuolille", jotka pyytävät pääsyä ja joille on myönnetty pääsy; asuntojen muuttoa voidaan silti harkita.

Käyttäjät voivat myös ryhtyä toimenpiteisiin joidenkin digitaalisen maailman uhkien lieventämiseksi. Mitä tulee ketjussa oleviin osoitteisiin, joista tarkkailijat voivat poistaa anonymisoinnin katsomalla lohkoketjua ja asiakirjassa olevia tietoja, hyvät yksityisyyteen keskittyvät työkalut voivat tulla apuun.

Yksinkertaisempi vaihtoehto on CoinJoin varoja. Vaikka se ei poista käyttäjän tapahtumahistoriaa, jos tehdään oikein sen avulla käyttäjä voi nauttia hyvästä tulevaisuuteen suuntautuvasta yksityisyydestä. Tämä tarkoittaa, että siitä lähtien kuluja ei havaita selvästi doxxed-käyttäjältä tulevana tapahtumana. (Saman tapaan kuin pankki tietää, kun nostat käteistä pankkiautomaatista, mutta ei voi saada tarkempia tietoja siitä, mihin käytät sen jälkeenpäin.) Käyttäjä voi ottaa käyttöön muita tietosuojatyökaluja, kuten PayJoins, joka myös rikkoo heuristiikka, jota huonot toimijat käyttävät päätelläkseen tietoa ketjun tiedoista.

Mutta ehkä tärkein asia, jonka käyttäjät voivat tehdä, on omaksua matala aika-asetus ja välttää käyttämästä keskitettyjä palveluita, jotka keräävät käyttäjätietoja. Rahoituspalveluyritysten maailmanlaajuisesti, kryptovaluutoissa ja sen ulkopuolella, on noudatettava tuntemasi asiakkaasi (KYC) ja rahanpesun vastaisia ​​(AML) sääntöjä. Vaikka tällaiset lait ovat todennäköisesti hyvää tarkoittavia, niiden tehokkuus on kiistanalainen ja huonot puolet ovat selvät – kuten tässä Celsius-tapauksessa.

Tietojen aikakaudella data on arvokkain hyödyke, ja sellaisenaan valtavia tietomääriä keräävistä yrityksistä tulee hunajapurkkeja, joista tulee käytännössä kyberhyökkäysten kohteita, kun hakkerit ja muut yrittävät ansaita rahaa.

Vaikka maailman hallitukset eivät ymmärrä tätä jättimäistä ongelmaa 21-luvulla, käyttäjiä kannustetaan tekemään kaikkensa ottaakseen tietonsa omistukseensa ja vaatiakseen takaisin yksityisyytensä. Kun status quo pakottaa ihmiset jakamaan mahdollisimman paljon elämästään, oikeus yksityisyyteen Sitä ei pidä nähdä lainkuuliaisten kansalaisten tarpeettomana vaan pikemminkin juuri se oikeus, joka mahdollistaa kaikki muut.