Waarom Celsius gebruikersinformatie openbaarde en wat u eraan kunt doen?

Celsius Network publiceerde deze week een groot document met daarin alle rekeningsaldi van haar klanten.

De verhuizing maakt deel uit van het lopende herstructureringsproces van het bedrijf na de Chapter 11 faillissementsaanvraag van eerder dit jaar. Het document geeft de gebruikerssaldi weer op 13 juli 2022, toen de herstructurering van het bedrijf begon, en klanttransacties die plaatsvonden in de 90 dagen voorafgaand aan de Chapter 11-aanvraag, volgens de richtlijnen van het bedrijf. FAQ.

Het is niet verwonderlijk dat het vrijgeven van dergelijke gedetailleerde klantgegevens, waaronder saldi, transacties en namen, een lawaai on Twitter. Die informatie kan niet alleen licht werpen op de financiële informatie van elke gebruiker, maar waarnemers ook in staat stellen de blockchain te analyseren en on-chain-adressen te de-anonimiseren, aangezien de transactiebedragen en datum in het document worden beschreven.

Alles bij elkaar wordt het duidelijk dat de privacy van gebruikers is geschonden en hun veiligheid in gevaar is gebracht. Maar maak je (nog) geen zorgen; in dit artikel wordt besproken waarom dit is gebeurd en wat er kan worden gedaan om sommige bedreigingen te verminderen als u een van de doxxed-gebruikers bent.

Waarom heeft Celsius dit document openbaar gemaakt?

Zoals eerder vermeld, dit document maakt deel uit van het herstructureringsproces van Celsius. Celsius was verplicht om klantgegevens openbaar te maken als onderdeel van het herstructureringsproces, gezien de noodzakelijke transparantie die door de Amerikaanse wet wordt geëist. Hoewel dat meestal alleen van toepassing is op de activa van het bedrijf, werden deze ook getroffen omdat Celsius de activa van klanten in bewaring hield.

Volgens een rechtbank document, heeft Celsius een verzoek ingediend om te voorkomen dat de persoonlijk identificeerbare informatie (PII) van de klant wordt vrijgegeven via een redactieproces voordat deze openbaar wordt gemaakt. De geldschieter heeft drie argumenten aangevoerd.

Ten eerste voerde Celsius aan dat zo'n grote database met consumenteninformatie te waardevol was voor het bedrijf om openbaar te maken. Dit zou "de waarde van de klantenlijst als een actief in een toekomstige potentiële verkoop van activa aanzienlijk verminderen", beweerde het bedrijf.

Ten tweede voerde Celsius het argument aan dat, als de PII van klanten zou worden onthuld, ze het doelwit zouden kunnen worden van "identiteitsdiefstal, chantage, intimidatie, stalking en doxing", volgens het gerechtelijk document.

Ten slotte voerde de geldschieter van cryptocurrency aan dat, aangezien veel van zijn klanten in verschillende rechtsgebieden over de hele wereld wonen, het bekendmaken van hun PII "[Celsius] zou kunnen blootstellen aan mogelijke wettelijke aansprakelijkheid en aanzienlijke financiële sancties." Het document vermeldt specifiek de Algemene Verordening Gegevensbescherming van het Verenigd Koninkrijk (VK AVG) en de AVG van de Europese Unie.

De Amerikaanse trustee daarentegen voerde aan dat Celsius "niet en niet kan vertrouwen op enige uitzonderingen op de algemene regel dat faillissementsprocedures open, openbaar en transparant moeten zijn" en heeft "niets meer dan vage verklaringen ter ondersteuning van hun verzoek" aangeboden de vertrouwelijke informatie redigeren.

Ze voerden ook aan dat de PII die Celsius wilde redigeren "geen vertrouwelijke of commerciële informatie is".

"De Amerikaanse trustee stelt dat het eigen privacybeleid van [Celsius] het argument ondersteunt dat de informatie van klanten niet vertrouwelijk is, omdat hierdoor de namen en contactgegevens van klanten kunnen worden gedeeld met externe 'zakenpartners' en daarom niet vertrouwelijk is," volgens het gerechtsdocument.

Bovendien stelt de Amerikaanse trustee dat de informatie niet echt commercieel van aard is, omdat de schuldenaars niet proberen de namen en identificatiegegevens van alle schuldeisers te redigeren en in plaats daarvan verzoeken om identificatiegegevens voor alleen bepaalde schuldeisers te redigeren, maar informatie met respect voor aan een andere groep zal volledig worden bekendgemaakt vanwege waar dergelijke schuldeisers wonen.'”

Wat het internationale recht betreft, redeneerde de Amerikaanse trustee ook dat faillissementsprocedures volgens de Amerikaanse faillissementswet openbaar zouden moeten zijn, en dat deze voorrang zouden moeten hebben boven de Britse AVG en de EU AVG.

Ten slotte, en het meest schokkend, "beweert de Amerikaanse trustee dat [Celsius'] argumenten dat schuldeisers het slachtoffer zouden kunnen worden van geweld als hun identiteit werd onthuld, anekdotisch bewijs is, dat niet het niveau van bewijs bereikt dat nodig is om het vermoeden van openlijke en publiek faillissement.”

Als reactie hierop publiceerde Celsius nog een motie, waarin werd getracht een volledig anonimiseringsproces te implementeren om geen gedetailleerde gebruikersinformatie te onthullen. Dat ging verder dan de aanvankelijk ingediende motie, waarin werd gevraagd om het thuis- en e-mailadres van Amerikaanse klanten en naam, thuisadres en e-mailadres van klanten in het VK en de EU te redigeren.

De rechtbank oordeelde tegen de meeste verzoeken van Celsius. Het verwierp het onderscheid tussen klanten in de VS en het VK/EU op basis van de bovenstaande argumenten en stond het bedrijf toe alleen thuis- en e-mailadressen te redigeren. Het ontkende de anonimiseringsbeweging volledig.

Dit is wat gebruikers van Doxxed kunnen doen

Er zijn veel opties die je kunt nemen als ze worden blootgesteld aan de Celsius-documenten, maar geen van hen zal het verleden kunnen wissen. Hoe dichter men daarbij komt, in het geval dat het vrijgeven van die datapunten het potentieel heeft om de persoon tastbaar te schaden, kunnen ze de namen wettelijk veranderen als een (extreme) laatste optie. Je zou ook naar een ander adres kunnen verhuizen, maar aangezien de rechtbank Celsius heeft gemachtigd om thuisadressen te redigeren, is dat misschien niet zo'n groot probleem om te proberen te verminderen. Het is echter vermeldenswaard dat niet-geredigeerde versies van de deponeringen toegankelijk zijn voor "de Amerikaanse trustee en raadsman van het comité, en dat elke belanghebbende" die om toegang verzoekt en toegang krijgt; de case voor verhuizingen kan nog steeds worden gemaakt.

Gebruikers kunnen ook maatregelen nemen om enkele van de bedreigingen in de digitale wereld te verminderen. Als het gaat om de on-chain-adressen die waarnemers kunnen de-anonimiseren door naar de blockchain en de informatie in het document te kijken, kunnen goede privacygerichte tools te hulp komen.

Het eenvoudigere alternatief is om CoinJoin fondsen. Ook al wist dat de transactiegeschiedenis van de gebruiker niet, indien correct gedaan het zal de gebruiker in staat stellen te genieten van goede toekomstgerichte privacy. Dit betekent dat uitgaven vanaf dat moment niet duidelijk worden gezien als een transactie die afkomstig is van de doxxed-gebruiker. (Vergelijkbaar met hoe de bank weet wanneer u geld opneemt bij een geldautomaat, maar daarna geen gedetailleerde informatie krijgt over waaraan u het uitgeeft.) De gebruiker kan andere privacytools gebruiken, zoals PayJoins, die ook breken heuristieken die kwaadwillenden gebruiken om informatie af te leiden uit on-chain data.

Maar misschien is het belangrijkste dat gebruikers kunnen doen, de low-time-preferentiebenadering volgen en het gebruik van gecentraliseerde services die gebruikersgegevens verzamelen, vermijden. Financiële dienstverleners over de hele wereld, in cryptocurrency en daarbuiten, moeten voldoen aan de know-your-customer (KYC) en antiwitwasregels (AML). Hoewel dergelijke wetten waarschijnlijk goed bedoeld zijn, wordt hun effectiviteit betwist en zijn de nadelen duidelijk - zoals in dit geval van Celsius.

In het informatietijdperk zijn gegevens de meest waardevolle handelswaar en als zodanig worden bedrijven die enorme hoeveelheden gegevens verzamelen, honeypots en worden ze in feite het doelwit van cyberaanvallen, aangezien hackers en anderen geld proberen te verdienen met die informatie.

Hoewel wereldregeringen zich dit gigantische probleem in de 21e eeuw niet realiseren, worden gebruikers gestimuleerd om te doen wat ze kunnen om eigenaar te worden van hun gegevens en hun privacy terug te eisen. Omdat de status-quo mensen ertoe aanzet zoveel mogelijk over hun leven te delen, is het recht op privacy moet niet worden gezien als iets dat gezagsgetrouwe burgers niet nodig hebben maar eerder als het recht dat alle andere mogelijk maakt.