Perché Celsius ha esposto le informazioni dell'utente e cosa puoi fare al riguardo

Questa settimana, Celsius Network ha pubblicato un grande documento contenente tutti i saldi dei conti dei suoi clienti.

La mossa fa parte del processo di ristrutturazione in corso della società a seguito della dichiarazione di fallimento ai sensi del Capitolo 11 all'inizio di quest'anno. Il documento riflette i saldi degli utenti al 13 luglio 2022, quando è iniziata la ristrutturazione dell'azienda, e le transazioni dei clienti avvenute nei 90 giorni precedenti la presentazione del Capitolo 11, secondo le informazioni dell'azienda FAQ.

Non sorprende che la pubblicazione di dati così dettagliati sui clienti, che includono saldi, transazioni e nomi, abbia causato un tumulto on Twitter. Tali informazioni non solo possono far luce sulle informazioni finanziarie di ciascun utente, ma consentono anche agli osservatori di analizzare la blockchain e rendere anonimi gli indirizzi sulla catena, poiché gli importi e la data della transazione sono dettagliati nel documento.

Mettendo tutto insieme, diventa chiaro che la privacy degli utenti è stata invasa e la loro sicurezza compromessa. Ma non preoccuparti (ancora); questo articolo esamina il motivo per cui ciò è accaduto e cosa si può fare per mitigare alcune minacce se sei tra gli utenti doxxati.

Perché Celsius ha reso pubblico questo documento?

Come menzionato in precedenza, questo documento fa parte del processo di ristrutturazione di Celsius. Celsius è stata obbligata a rendere pubbliche le informazioni sui clienti come parte del suo processo di ristrutturazione, data la necessaria trasparenza richiesta dalla legge statunitense. Sebbene ciò di solito si applichi solo ai beni dell'azienda, poiché Celsius teneva in custodia anche i beni dei clienti, anche questi furono colpiti.

Secondo un documento giudiziario, Celsius ha presentato una richiesta per ridurre il rilascio delle informazioni di identificazione personale (PII) dei clienti attraverso un processo di oscuramento prima di renderle pubbliche. Il creditore ha presentato tre argomenti.

In primo luogo, Celsius ha sostenuto che un database così ampio di informazioni sui consumatori era troppo prezioso perché l’azienda potesse essere reso pubblico. Ciò “diminuirebbe in modo significativo il valore dell’elenco dei clienti come risorsa in qualsiasi futura potenziale vendita di beni”, ha affermato la società.

In secondo luogo, Celsius ha avanzato la tesi secondo cui, se le informazioni personali dei clienti fossero rivelate, questi potrebbero diventare bersagli di "furto di identità, ricatto, molestie, stalking e doxing", secondo il documento del tribunale.

Infine, l'istituto di credito di criptovaluta ha sostenuto che, poiché molti dei suoi clienti risiedono in diverse giurisdizioni in tutto il mondo, divulgare le loro PII potrebbe "esporre [Celsius] a potenziale responsabilità civile e sanzioni finanziarie significative". Il documento prende atto in particolare del Regolamento generale sulla protezione dei dati del Regno Unito (GDPR del Regno Unito) e del GDPR dell'Unione Europea.

Il fiduciario statunitense, d’altro canto, ha sostenuto che Celsius “non fa e non può fare affidamento su alcuna eccezione alla regola generale secondo cui le procedure fallimentari dovrebbero essere aperte, pubbliche e trasparenti” e ha offerto “nient’altro che vaghe dichiarazioni a sostegno della loro richiesta” oscurare le informazioni riservate.

Hanno inoltre sostenuto che le informazioni personali che Celsius ha cercato di oscurare “non sono né informazioni riservate né commerciali”.

"Il fiduciario statunitense sostiene che le politiche sulla privacy [di Celsius] supportano la tesi secondo cui le informazioni dei clienti non sono riservate perché consentono la condivisione dei nomi e delle informazioni di contatto dei clienti con 'partner commerciali' di terze parti e, pertanto, non sono riservate." secondo l'atto giudiziario.

Inoltre, il "fiduciario statunitense sostiene che le informazioni non sono veramente di natura commerciale perché i debitori non stanno cercando di oscurare i nomi e le informazioni identificative di tutti i creditori e chiedono invece che le informazioni identificative siano oscurate solo per alcuni creditori, "ma informazioni con rispetto a un altro gruppo saranno completamente divulgati a causa del luogo in cui vivono tali creditori.'”

Per quanto riguarda l’aspetto del diritto internazionale, il fiduciario statunitense ha anche sostenuto che, secondo la legge fallimentare degli Stati Uniti, le procedure fallimentari dovrebbero essere pubbliche e queste dovrebbero prevalere sul GDPR del Regno Unito e sul GDPR dell’UE.

Infine, cosa più scioccante, “il fiduciario statunitense sostiene che le argomentazioni [di Celsius] secondo cui i creditori potrebbero essere soggetti a violenza se le loro identità venissero rivelate equivalgono a prove aneddotiche, che non raggiungono il livello di prova necessario per superare la presunzione di apertura e bancarotta pubblica”.

In risposta, Celsius ha pubblicato un'altra mozione, cercando di implementare un processo di anonimizzazione completo per non rivelare informazioni dettagliate sull'utente. Ciò andava oltre la mozione iniziale presentata, che richiedeva la possibilità di oscurare l'indirizzo di casa e di posta elettronica dei clienti statunitensi e il nome, l'indirizzo di casa e l'indirizzo di posta elettronica dei clienti del Regno Unito e dell'UE.

La corte si è pronunciata contro la maggior parte delle richieste di Celsius. Ha respinto la differenziazione tra clienti statunitensi e britannici/UE sulla base delle argomentazioni di cui sopra e ha consentito all’azienda di oscurare solo gli indirizzi di casa e di posta elettronica. Ha negato completamente la mozione di anonimizzazione.

Ecco cosa possono fare gli utenti Doxxed

Ci sono molte opzioni che si possono intraprendere se ci si ritrova esposti nei documenti Celsius, ma nessuna di queste sarà in grado di cancellare il passato. Più ci si avvicina a ciò, nel caso in cui il rilascio di tali dati abbia il potenziale per danneggiare in modo tangibile la persona, si può cambiare legalmente i nomi come opzione (estrema) di ultima istanza. Ci si potrebbe anche spostare a un indirizzo diverso, ma dal momento che il tribunale ha autorizzato Celsius a oscurare gli indirizzi di casa, potrebbe non essere un grosso problema da cercare di mitigare. Vale la pena notare, tuttavia, che le versioni non oscurate dei documenti sono accessibili al "fiduciario statunitense e ai consulenti del Comitato, e a qualsiasi parte interessata" che richiede e ottiene l'accesso; è ancora possibile sostenere la causa del trasloco.

Gli utenti possono anche adottare misure per mitigare alcune delle minacce al mondo digitale. Quando si tratta degli indirizzi on-chain che gli osservatori possono rendere anonimi guardando la blockchain e le informazioni divulgate nel documento, buoni strumenti incentrati sulla privacy possono venire in soccorso.

L'alternativa più semplice è quella CoinJoin fondi. Anche se ciò non cancellerà la cronologia delle transazioni dell'utente, se fatto correttamente consentirà all'utente di godere di una buona privacy lungimirante. Ciò significa che la spesa da quel momento in poi non sarà chiaramente individuata come una transazione proveniente dall'utente doxxato. (Simile a come la banca sa quando prelevi contanti presso un bancomat ma non riesce a ottenere informazioni dettagliate su come li spendi in seguito.) L'utente può avvalersi di altri strumenti per la privacy, come PayJoin, anche quello si rompe euristica che i malintenzionati utilizzano per dedurre informazioni dai dati on-chain.

Ma forse la cosa più importante che gli utenti possono fare è adottare l’approccio con una preferenza temporale ridotta ed evitare di utilizzare servizi centralizzati che raccolgono dati degli utenti. Le società di servizi finanziari in tutto il mondo, nel settore delle criptovalute e non solo, devono rispettare le norme know-your-customer (KYC) e antiriciclaggio (AML). Sebbene tali leggi siano probabilmente ben intenzionate, la loro efficacia è controversa e gli svantaggi sono chiari, come in questo caso Celsius.

Nell’era dell’informazione, i dati sono il bene più prezioso e, come tali, le aziende che raccolgono grandi quantità di dati diventano honeypot, diventando di fatto bersagli di attacchi informatici mentre gli hacker e altri cercano di monetizzare tali informazioni.

Sebbene i governi mondiali non si rendano conto di questo gigantesco problema nel 21° secolo, gli utenti sono incentivati ​​a fare il possibile per assumersi la proprietà dei propri dati e rivendicare la propria privacy. Poiché lo status quo spinge le persone a condividere quanto più possibile della propria vita, il diritto alla privacy non dovrebbe essere vista come qualcosa di cui i cittadini rispettosi della legge non hanno bisogno ma piuttosto come lo stesso diritto che abilita tutti gli altri.