מדוע מידע משתמש חשוף לצלזיוס ומה אתה יכול לעשות בנידון

רשת סלסיוס פרסמה השבוע מסמך גדול המכיל את כל יתרות החשבון של לקוחותיה.

המהלך הוא חלק מתהליך הארגון מחדש המתמשך של החברה בעקבות הגשת פשיטת הרגל בפרק 11 מתחילת השנה. המסמך משקף את יתרות המשתמשים נכון ל-13 ביולי 2022, אז החל הארגון מחדש של החברה, ועסקאות לקוחות שקרו ב-90 הימים שקדמו להגשת פרק 11, לפי אישור החברה. שאלות נפוצות.

באופן לא מפתיע, פרסום נתוני לקוחות מפורטים כאלה, הכוללים יתרות, עסקאות ושמות, גרם ל סערה on טויטר. מידע זה יכול לא רק לשפוך אור על המידע הפיננסי של כל משתמש אלא גם לאפשר למשקיפים לנתח את הבלוקצ'יין ולבטל את האנונימיות של כתובות בשרשרת, שכן סכומי העסקאות והתאריך מפורטים במסמך.

אם מרכיבים הכל ביחד, מתברר שפרטיות המשתמשים נפגעה והאבטחה שלהם נפגעה. אבל אל תדאג (עדיין); מאמר זה סוקר מדוע זה קרה ומה ניתן לעשות כדי לצמצם איומים מסוימים אם אתה בין המשתמשים המוקסמים.

מדוע צלזיוס פרסם את המסמך הזה לציבורי?

כאמור, מסמך זה הוא חלק מתהליך הארגון מחדש של Celsius. Celsius נאלצה לחשוף את פרטי הלקוחות כחלק מתהליך הארגון מחדש שלה, לאור השקיפות הנדרשת על פי החוק האמריקאי. למרות שבדרך כלל זה חל רק על נכסי החברה, מכיוון שסלסיוס החזיקה בנכסי לקוחות במעצר, הם הושפעו גם כן.

פי בית המשפט, Celsius הגישה בקשה לצמצם את פרסום המידע המאפשר זיהוי אישי של הלקוח (PII) במהלך תהליך עיבוד לפני פרסומו. המלווה הגישה שלוש טיעונים.

ראשית, Celsius טען כי מאגר מידע כה גדול של מידע צרכני היה בעל ערך רב מכדי שהחברה תתפרסם. פעולה זו תפחית משמעותית את ערך רשימת הלקוחות כנכס בכל מכירת נכסים פוטנציאלית עתידית", טענה החברה.

שנית, Celsius העלה את הטיעון שאם יתגלו פרטים אישיים מזהים של לקוחות, הם עלולים להפוך למטרות של "גניבת זהות, סחיטה, הטרדה, מעקב ודקס", לפי מסמך בית המשפט.

לבסוף, המלווה של מטבעות קריפטוגרפיים טען שמכיוון שרבים מלקוחותיו מתגוררים בתחומי שיפוט שונים בכל רחבי העולם, חשיפת ה-PII שלהם עלולה "לחשוף את [צלזיוס] לאחריות אזרחית אפשרית ולעונשים כספיים משמעותיים". המסמך מציין במיוחד את תקנת הגנת המידע הכללית של בריטניה (GDPR) ואת ה-GDPR של האיחוד האירופי.

הנאמן האמריקני, מנגד, טען כי סלסיוס "אינה ואינה יכולה להסתמך על חריגים לכלל הכללי לפיו הליכי פשיטת רגל צריכים להיות פתוחים, פומביים ושקופים" והציעו "לא יותר מאשר הצהרות מעורפלות התומכות בבקשתם" לבטל את המידע הסודי.

הם גם טענו כי ה-PII ש-Celsius ביקש לעצב "איננו מידע סודי או מסחרי".

"הנאמן בארה"ב טוען שמדיניות הפרטיות של [צלסיוס] עצמה תומכת בטיעון שמידע הלקוחות אינו סודי מכיוון שהוא מאפשר לשתף את שמות הלקוחות ופרטי התקשרות עם 'שותפים עסקיים' של צד שלישי, ולכן, אינו סודי." לפי מסמך בית המשפט.

בנוסף, "הנאמן בארה"ב טוען שהמידע אינו מסחרי באמת באופיו מכיוון שהחייבים אינם מבקשים לבטל את כל שמות הנושים והמידע המזהה, ובמקום זאת מבקשים לתקן מידע מזהה רק עבור נושים מסוימים, "אלא מידע בכבוד לקבוצה אחרת ייחשף במלואו בגלל היכן מתגוררים נושים כאלה'".

בהיבט של החוקים הבינלאומיים, הנאמן האמריקאי גם נימק כי על פי חוקי פשיטת הרגל של ארצות הברית, הליכי פשיטת רגל צריכים להיות פומביים, ואלה צריכים לגבור על ה-GDPR של בריטניה וה-GDPR של האיחוד האירופי.

לבסוף, ובאופן מזעזע ביותר, "הנאמן בארה"ב טוען שהטיעונים [של צלסיוס] לפיהם הנושים עלולים להיות נתונים לאלימות אם זהותם תיחשף, מסתכמים בראיות אנקדוטליות, שאינן עולות לרמת הראיות הדרושה כדי להתגבר על הנחת הפתיחה. ופשיטת רגל ציבורית".

בתגובה, Celsius פרסם הצעה נוספת, המבקשת ליישם תהליך אנונימיזציה מלא כדי לא לחשוף מידע מפורט על המשתמש. זה חורג מההצעה הראשונית שהוגשה, שביקשה את היכולת לבטל את כתובת הבית והמייל של לקוחות בארה"ב ושם, כתובת בית וכתובת דוא"ל של לקוחות בבריטניה ובאיחוד האירופי.

בית המשפט פסק נגד רוב בקשותיו של צלסיוס. היא ביטלה את ההבחנה בין לקוחות ארה"ב ובריטניה/איחוד האירופי בהתבסס על הטיעונים לעיל ואיפשרה לחברה לבטל רק את כתובות הבית והאימייל. היא דחתה את בקשת האנונימיזציה לחלוטין.

הנה מה שמשתמשי Doxxed יכולים לעשות

יש הרבה אפשרויות שאפשר לנקוט אם הם מוצאים את עצמם נחשפים במסמכי צלזיוס, אבל אף אחת מהן לא תוכל למחוק את העבר. ככל שניתן להתקרב לכך, במקרה שלשחרור נקודות הנתונים הללו יש פוטנציאל לפגוע באופן מוחשי באדם, הם יכולים לשנות שמות באופן חוקי כאפשרות (קיצונית) למוצא אחרון. אפשר גם לעבור לכתובת אחרת, אבל מכיוון שבית המשפט אישר לצלסיוס לבטל כתובות בית, אולי זה לא יהיה בעיה כל כך גדולה לנסות ולצמצם. עם זאת, ראוי לציין כי גרסאות לא ערוכות של המסמכים נגישות ל"נאמן ארה"ב, וליועץ לוועדה, ולכל צד בעל עניין" המבקש וניתנת לו גישה; עדיין ניתן להגיש את התביעה למעבר בתים.

משתמשים יכולים גם לנקוט באמצעים כדי להפחית חלק מהאיומים על העולם הדיגיטלי. כשמדובר בכתובות בשרשרת שמשקיפים יכולים לעשות ביטול אנונימי על ידי התבוננות בבלוקצ'יין ובמידע שנחשף במסמך, כלים טובים ממוקדי פרטיות יכולים לבוא להצלה.

האלטרנטיבה הפשוטה יותר היא ל מטבעות כְּסָפִים. למרות שזה לא ימחק את היסטוריית העסקאות של המשתמש, אם נעשה נכון זה יאפשר למשתמש ליהנות מפרטיות טובה צופה פני עתיד. משמעות הדבר היא שההוצאות מנקודה זו ואילך לא יזוהו בבירור כעסקה המגיעה מהמשתמש הדוקס. (בדומה לאופן שבו הבנק יודע מתי אתה מושך מזומן בכספומט אך אינו יכול לקבל מידע מפורט על מה אתה מוציא אותו לאחר מכן.) המשתמש יכול להתחיל בכלי פרטיות אחרים, כמו PayJoins, שגם זה נשבר היוריסטיות שבהן משתמשים שחקנים רעים כדי להסיק מידע מנתונים על השרשרת.

אבל אולי הדבר החשוב ביותר שמשתמשים יכולים לעשות הוא לנקוט בגישה של העדפת זמן נמוכה ולהימנע משימוש בשירותים מרכזיים הקוצרים נתוני משתמשים. חברות שירותים פיננסיים ברחבי העולם, במטבעות קריפטוגרפיים ומחוצה לה, צריכות לציית לכללי הכרת הלקוח (KYC) ואסור הלבנת הון (AML). למרות שלחוקים כאלה יש כנראה כוונות טובות, האפקטיביות שלהם שנויה במחלוקת והחסרונות ברורים - כמו במקרה הזה של צלזיוס.

בעידן המידע, נתונים הם המצרך היקר ביותר, וככזה, חברות שאוספות כמויות עצומות של נתונים הופכות ל-Honeypots, והופכות למעשה למטרות של התקפות סייבר, כאשר האקרים ואחרים מבקשים לייצר רווחים מהמידע הזה.

בעוד שממשלות העולם אינן מבינות את הנושא העצום הזה במאה ה-21, משתמשים מתמריצים לעשות מה שהם יכולים כדי לקחת בעלות על הנתונים שלהם ולתבוע בחזרה את הפרטיות שלהם. מכיוון שהסטטוס קוו דוחף אנשים לשתף כמה שיותר על חייהם, הזכות לפרטיות אין לראות בו משהו שאזרחים שומרי חוק אינם צריכים אלא כעצם הזכות המאפשרת את כל האחרים.