Mengapa Celcius Mengekspos Informasi Pengguna Dan Apa Yang Dapat Anda Lakukan Tentang Ini

Minggu ini, Celsius Network menerbitkan dokumen besar yang berisi semua saldo akun pelanggannya.

Langkah ini merupakan bagian dari proses restrukturisasi perusahaan yang sedang berlangsung menyusul pengajuan kebangkrutan Bab 11 dari awal tahun ini. Dokumen tersebut mencerminkan saldo pengguna per 13 Juli 2022, ketika restrukturisasi perusahaan dimulai, dan transaksi pelanggan yang terjadi dalam 90 hari sebelum pengajuan Bab 11, menurut laporan perusahaan. FAQ.

Tidak mengherankan, rilis data pelanggan yang terperinci tersebut, yang meliputi saldo, transaksi, dan nama, menyebabkan kegemparan on Twitter. Informasi itu tidak hanya dapat menjelaskan informasi keuangan setiap pengguna tetapi juga memungkinkan pengamat untuk menganalisis blockchain dan mende-anonimkan alamat on-chain, karena jumlah dan tanggal transaksi dirinci dalam dokumen.

Menyatukan semuanya, menjadi jelas bahwa privasi pengguna diserang dan keamanan mereka dikompromikan. Tapi jangan khawatir (belum); artikel ini mengulas mengapa hal ini terjadi dan apa yang dapat dilakukan untuk mengurangi beberapa ancaman jika Anda termasuk pengguna doxxed.

Mengapa Celsius Membuat Dokumen Ini Publik?

Seperti disebutkan sebelumnya, dokumen ini adalah bagian dari proses restrukturisasi Celsius. Celsius berkewajiban untuk mengekspos informasi pelanggan sebagai bagian dari proses restrukturisasi, mengingat transparansi yang diperlukan yang dituntut oleh hukum AS. Sementara itu biasanya hanya berlaku untuk aset perusahaan, karena Celsius menahan aset pelanggan, mereka juga terpengaruh.

Menurut dokumen pengadilan, Celsius mengajukan permintaan untuk mengurangi informasi identitas pribadi (PII) pelanggan yang dirilis melalui proses penyuntingan sebelum dipublikasikan. Pemberi pinjaman mengajukan tiga argumen.

Pertama, Celsius berargumen bahwa basis data informasi konsumen yang begitu besar terlalu berharga bagi perusahaan untuk dipublikasikan. Melakukan hal itu akan “secara signifikan mengurangi nilai daftar pelanggan sebagai aset dalam penjualan aset potensial di masa depan,” klaim perusahaan.

Kedua, Celsius mengajukan argumen bahwa, jika PII pelanggan terungkap, mereka dapat menjadi target “pencurian identitas, pemerasan, pelecehan, penguntitan, dan doxing”, menurut dokumen pengadilan.

Akhirnya, pemberi pinjaman cryptocurrency berpendapat bahwa karena banyak pelanggannya tinggal di yurisdiksi yang berbeda di seluruh dunia, mengungkapkan PII mereka dapat “mengekspos [Celcius] ke tanggung jawab perdata potensial dan hukuman finansial yang signifikan.” Dokumen tersebut secara khusus mencatat Peraturan Perlindungan Data Umum Inggris (UK GDPR) dan GDPR Uni Eropa.

Wali amanat AS, di sisi lain, berpendapat bahwa Celsius "tidak dan tidak dapat mengandalkan pengecualian apa pun terhadap aturan umum bahwa proses kebangkrutan harus terbuka, publik dan transparan" dan telah menawarkan "tidak lebih dari pernyataan tidak jelas yang mendukung permintaan mereka" kepada menyunting informasi rahasia.

Mereka juga berpendapat bahwa PII yang ingin disunting oleh Celsius “bukanlah informasi rahasia atau komersial.”

“Perwalian AS berpendapat bahwa kebijakan privasi [Celsius] sendiri mendukung argumen bahwa informasi pelanggan tidak rahasia karena memungkinkan nama pelanggan dan informasi kontak untuk dibagikan dengan 'mitra bisnis' pihak ketiga dan, oleh karena itu, tidak rahasia," sesuai dengan dokumen pengadilan.

Selain itu, "Perwalian AS berpendapat bahwa informasi tersebut tidak benar-benar komersial karena Debitur tidak berusaha untuk mengubah semua nama kreditur dan informasi identitas dan sebaliknya meminta agar informasi identitas dihapus hanya untuk kreditur tertentu, 'tetapi informasi yang berkaitan dengan ke kelompok lain akan diungkapkan sepenuhnya karena di mana kreditur tersebut tinggal.'”

Pada aspek hukum internasional, wali AS juga beralasan bahwa, di bawah undang-undang kepailitan Amerika Serikat, proses kepailitan harus bersifat publik, dan itu harus berlaku atas GDPR Inggris dan GDPR UE.

Akhirnya, dan yang paling mengejutkan, “Perwalian AS berpendapat bahwa argumen [Celcius] bahwa kreditor mungkin menjadi sasaran kekerasan jika identitas mereka terungkap merupakan bukti anekdot, yang tidak naik ke tingkat bukti yang diperlukan untuk mengatasi anggapan untuk keterbukaan. dan kebangkrutan publik.”

Sebagai tanggapan, Celsius menerbitkan mosi lain, berusaha menerapkan proses anonimisasi lengkap untuk tidak mengungkapkan informasi pengguna yang terperinci. Itu melampaui mosi awal yang diajukan, yang meminta kemampuan untuk menyunting rumah dan alamat email pelanggan AS dan nama, alamat rumah dan alamat email pelanggan Inggris dan Uni Eropa.

Pengadilan memutuskan sebagian besar permintaan Celsius. Ini mengabaikan perbedaan antara pelanggan AS dan Inggris/UE berdasarkan argumen di atas dan memungkinkan perusahaan untuk hanya menyunting alamat rumah dan email. Itu membantah gerakan anonimisasi sepenuhnya.

Inilah yang Dapat Dilakukan Pengguna Doxxed

Ada banyak pilihan yang bisa diambil jika mereka menemukan diri mereka terekspos dalam dokumen Celsius, tetapi tidak satupun dari mereka akan mampu menghapus masa lalu. Semakin dekat dengan itu, jika pelepasan titik data tersebut berpotensi membahayakan orang tersebut, mereka dapat secara hukum mengubah nama sebagai opsi (ekstrim) dari upaya terakhir. Seseorang juga dapat pindah ke alamat lain, tetapi karena pengadilan mengizinkan Celsius untuk menyunting alamat rumah, itu mungkin bukan masalah besar untuk dicoba dan dikurangi. Perlu dicatat, bagaimanapun, bahwa versi pengajuan yang tidak diedit dapat diakses oleh "Perwalian AS, dan penasihat Komite, dan bahwa setiap pihak yang berkepentingan" yang meminta dan diberikan akses; kasus pindah rumah masih bisa dilakukan.

Pengguna juga dapat mengambil langkah-langkah untuk mengurangi beberapa ancaman di dunia digital. Ketika datang ke alamat on-chain yang pengamat dapat de-anonimkan dengan melihat blockchain dan informasi yang diungkapkan dalam dokumen, alat yang berfokus pada privasi yang baik dapat datang untuk menyelamatkan.

Alternatif yang lebih sederhana adalah KoinBergabung dana. Meskipun itu tidak akan menghapus riwayat transaksi pengguna, jika dilakukan dengan benar itu akan memungkinkan pengguna untuk menikmati privasi berwawasan ke depan yang baik. Ini berarti bahwa pengeluaran sejak saat itu tidak akan terlihat jelas sebagai transaksi yang berasal dari pengguna doxxed. (Mirip dengan bagaimana bank mengetahui kapan Anda menarik uang tunai di ATM tetapi tidak bisa mendapatkan informasi terperinci tentang apa yang Anda belanjakan setelahnya.) Pengguna dapat memulai alat privasi lainnya, seperti BayarBergabung, itu juga pecah heuristik yang digunakan aktor jahat untuk menyimpulkan informasi dari data on-chain.

Tetapi mungkin hal terpenting yang dapat dilakukan pengguna adalah mengambil pendekatan preferensi waktu rendah dan menghindari penggunaan layanan terpusat yang memanen data pengguna. Perusahaan jasa keuangan di seluruh dunia, dalam mata uang kripto dan di luarnya, harus mematuhi aturan know-your-customer (KYC) dan anti-pencucian uang (AML). Meskipun undang-undang semacam itu mungkin bermaksud baik, keefektifannya diperdebatkan dan kerugiannya jelas –– seperti dalam kasus Celsius ini.

Di era informasi, data adalah komoditas yang paling berharga dan, dengan demikian, perusahaan yang mengumpulkan data dalam jumlah besar menjadi honeypots, yang secara efektif menjadi target serangan dunia maya karena peretas dan pihak lain berupaya memonetisasi informasi tersebut.

Sementara pemerintah dunia tidak menyadari masalah besar ini di abad ke-21, pengguna didorong untuk melakukan apa yang mereka bisa untuk mengambil kepemilikan data mereka dan mengklaim kembali privasi mereka. Karena status quo mendorong orang untuk berbagi sebanyak mungkin tentang kehidupan mereka, hak atas privasi seharusnya tidak dilihat sebagai sesuatu yang tidak dibutuhkan oleh warga negara yang taat hukum melainkan sebagai hak yang memungkinkan semua yang lain.