Hvorfor Celsius-eksponert brukerinformasjon og hva du kan gjøre med det

Denne uken publiserte Celsius Network et stort dokument som inneholder alle kontosaldoene til kundene.

Flyttingen er en del av selskapets pågående restruktureringsprosess etter kapittel 11-konkursinnleveringen fra tidligere i år. Dokumentet gjenspeiler brukersaldo per 13. juli 2022, da selskapets restrukturering startet, og kundetransaksjoner som skjedde i løpet av de 90 dagene før kapittel 11-innleveringen, i henhold til selskapets FAQ.

Ikke overraskende forårsaket utgivelsen av slike detaljerte kundedata, som inkluderer saldoer, transaksjoner og navn, en opprør on Twitter. Denne informasjonen kan ikke bare kaste lys over hver brukers økonomiske informasjon, men også gjøre det mulig for observatører å analysere blokkjeden og de-anonymisere adresser på kjeden, siden transaksjonsbeløp og dato er detaljert i dokumentet.

Setter det hele sammen, blir det klart at brukernes personvern ble invadert og sikkerheten deres kompromittert. Men ikke bekymre deg (ennå); denne artikkelen gjennomgår hvorfor dette skjedde og hva som kan gjøres for å redusere noen trusler hvis du er blant de doxxed brukerne.

Hvorfor gjorde Celsius dette dokumentet offentlig?

Som nevnt tidligere, dette dokumentet er en del av Celsius sin restruktureringsprosess. Celsius var forpliktet til å avsløre kundeinformasjon som en del av sin restruktureringsprosess, gitt den nødvendige åpenheten som kreves av amerikansk lov. Selv om det vanligvis bare gjelder selskapets eiendeler, ble de også berørt siden Celsius holdt kundemidler i varetekt.

Ifølge en rettsdokument, sendte Celsius en forespørsel om å kutte ned på at kundens personlig identifiserbare informasjon (PII) ble frigitt gjennom en redigeringsprosess før den ble offentliggjort. Långiver fremmet tre argumenter.

Først hevdet Celsius at en så stor database med forbrukerinformasjon var for verdifull til at selskapet kunne offentliggjøres. Å gjøre det vil "betraktelig redusere verdien av kundelisten som en eiendel i ethvert fremtidig potensielt salg av eiendeler," hevdet selskapet.

For det andre fremmet Celsius argumentet om at dersom kundenes PII ble avslørt, kunne de bli mål for «identitetstyveri, utpressing, trakassering, forfølgelse og doxing», ifølge rettsdokumentet.

Til slutt hevdet kryptovaluta-utlåneren at siden mange av kundene bor i forskjellige jurisdiksjoner over hele verden, kan det å avsløre deres PII "utsette [Celsius] for potensielt sivilt ansvar og betydelige økonomiske straffer." Dokumentet noterer spesifikt Storbritannias generelle databeskyttelsesforordning (UK GDPR) og EUs GDPR.

Den amerikanske bobestyreren på sin side hevdet at Celsius «ikke og kan ikke stole på noen unntak fra den generelle regelen om at konkursbehandling skal være åpen, offentlig og gjennomsiktig» og har tilbudt «ikke mer enn vage uttalelser som støtter deres anmodning» til redigere den konfidensielle informasjonen.

De hevdet også at PII som Celsius forsøkte å redigere "verken er konfidensiell eller kommersiell informasjon."

"Den amerikanske tillitsmannen hevder at [Celsius' egne retningslinjer for personvern støtter argumentet om at kundenes informasjon ikke er konfidensiell fordi den tillater at kundenes navn og kontaktinformasjon deles med tredjeparts 'forretningspartnere' og derfor ikke er konfidensiell." ifølge rettsdokumentet.

I tillegg hevder "US Trustee at informasjonen ikke er virkelig kommersiell av natur fordi debitorene ikke søker å redigere alle kreditorers navn og identifiserende informasjon og i stedet ber om at identifiserende informasjon skal redigeres kun for visse kreditorer, "men informasjon med respekt til en annen gruppe vil bli fullstendig avslørt på grunn av hvor slike kreditorer bor.'»

Når det gjelder folkerettsaspektet, begrunnet den amerikanske bobestyreren også at under USAs konkurslovgivning, bør konkursbehandlinger være offentlige, og de bør gå foran Storbritannias GDPR og EU GDPR.

Til slutt, og mest sjokkerende, «hevder den amerikanske tillitsmannen at [Celsius'] argumenter om at kreditorer kan bli utsatt for vold hvis identiteten deres ble avslørt, utgjør anekdotisk bevis, som ikke stiger til nivået av bevis som er nødvendig for å overvinne presumsjonen for åpenhet. og offentlig konkurs."

Som svar publiserte Celsius en annen bevegelse, som forsøkte å implementere en fullstendig anonymiseringsprosess for ikke å avsløre detaljert brukerinformasjon. Det gikk utover den første bevegelsen som ble sendt inn, som ba om muligheten til å redigere hjemme- og e-postadressen til amerikanske kunder og navn, hjemmeadresse og e-postadresse til kunder i Storbritannia og EU.

Retten dømte mot flertallet av Celsius' anmodninger. Den avviste differensieringen mellom kunder i USA og Storbritannia/EU basert på argumentene ovenfor, og tillot selskapet å bare redigere hjemme- og e-postadresser. Den avviste anonymiseringsforslaget fullstendig.

Her er hva Doxxed-brukere kan gjøre

Det er mange alternativer man kan ta hvis de finner seg selv avslørt i Celsius-dokumentene, men ingen av dem vil kunne slette fortiden. Jo nærmere man kan komme det, i tilfelle utgivelsen av disse datapunktene har potensial til å skade personen konkret, kan de lovlig endre navn som et (ekstremt) alternativ som siste utvei. Man kan også flytte til en annen adresse, men siden retten ga Celsius fullmakt til å redigere hjemmeadresser, er det kanskje ikke et så stort problem å prøve å redusere. Det er imidlertid verdt å merke seg at uredigerte versjoner av innleveringene er tilgjengelige for «den amerikanske tillitsmannen, og råd til komiteen, og at enhver interessepart» som ber om og får tilgang; saken for flytting av boliger kan fortsatt fremmes.

Brukere kan også iverksette tiltak for å dempe noen av truslene i den digitale verden. Når det gjelder adresser på kjeden som observatører kan avanonymisere ved å se på blokkjeden og informasjonen som avsløres i dokumentet, kan gode personvernfokuserte verktøy komme til unnsetning.

Det enklere alternativet er å CoinJoin midler. Selv om det ikke vil slette brukerens transaksjonshistorikk, hvis det gjøres riktig det vil gjøre det mulig for brukeren å nyte godt fremtidsrettet privatliv. Dette betyr at utgifter fra det tidspunktet ikke vil bli tydelig oppdaget som en transaksjon som kommer fra den doxxed-brukeren. (I likhet med hvordan banken vet når du tar ut kontanter i en minibank, men ikke kan få detaljert informasjon om hva du bruker dem på etterpå.) Brukeren kan ta fatt på andre personvernverktøy, som f.eks. PayJoins, som også bryter heuristikker som dårlige aktører bruker for å utlede informasjon fra kjededata.

Men kanskje det viktigste brukerne kan gjøre er å bruke lavtidspreferansetilnærmingen og unngå å bruke sentraliserte tjenester som høster brukerdata. Finansielle tjenesteselskaper over hele verden, innen kryptovaluta og utover, må overholde regler for kjenn-din-kunde (KYC) og anti-hvitvasking (AML). Selv om slike lover sannsynligvis er velmente, er deres effektivitet omstridt, og ulempene er klare – som i dette Celsius-tilfellet.

I informasjonsalderen er data den mest verdifulle varen, og som sådan blir selskaper som samler inn enorme mengder data honningpotter, og blir effektivt mål for cyberangrep ettersom hackere og andre prøver å tjene penger på denne informasjonen.

Selv om verdens myndigheter ikke innser dette gigantiske problemet i det 21. århundre, blir brukere oppmuntret til å gjøre det de kan for å ta eierskap til dataene deres og kreve tilbake personvernet. Som status quo presser folk til å dele så mye om livet som mulig, retten til privatliv bør ikke sees på som noe lovlydige borgere ikke trenger men snarere som selve høyre som muliggjør alle de andre.