Dlaczego Celsjusz ujawnił informacje o użytkowniku i co możesz z tym zrobić

W tym tygodniu Celsius Network opublikował obszerny dokument zawierający wszystkie salda kont swoich klientów.

Przeprowadzka jest częścią trwającego procesu restrukturyzacji firmy po złożeniu wniosku o ogłoszenie upadłości na podstawie Rozdziału 11 z początku tego roku. Dokument odzwierciedla salda użytkowników na dzień 13 lipca 2022 r., kiedy rozpoczęła się restrukturyzacja firmy, oraz transakcje klientów, które miały miejsce w ciągu 90 dni poprzedzających złożenie wniosku o rozdział 11, zgodnie z danymi firmy FAQ .

Nic dziwnego, że ujawnienie tak szczegółowych danych klientów, które obejmują salda, transakcje i nazwy, spowodowało wrzawa on Twitter. Informacje te mogą nie tylko rzucić światło na informacje finansowe każdego użytkownika, ale także umożliwić obserwatorom analizę łańcucha bloków i deanonimizację adresów w łańcuchu, ponieważ kwoty i data transakcji są wyszczególnione w dokumencie.

Łącząc to wszystko razem, staje się jasne, że prywatność użytkowników została naruszona, a ich bezpieczeństwo naruszone. Ale nie martw się (jeszcze); ten artykuł opisuje, dlaczego tak się stało i co można zrobić, aby złagodzić niektóre zagrożenia, jeśli jesteś wśród użytkowników doxxed.

Dlaczego Celsius upublicznił ten dokument?

Jak wspomniano poprzednio, ten dokument jest częścią procesu restrukturyzacji firmy Celsius. Celsius był zobowiązany do ujawnienia informacji o klientach w ramach procesu restrukturyzacji, biorąc pod uwagę niezbędną przejrzystość wymaganą przez prawo amerykańskie. Chociaż zwykle dotyczy to tylko aktywów firmy, ponieważ Celsius przetrzymywał aktywa klientów, również zostały one dotknięte.

Według dokument sądowy, firma Celsius złożyła wniosek o ograniczenie ujawniania informacji umożliwiających identyfikację użytkownika w ramach procesu redagowania przed ich upublicznieniem. Pożyczkodawca przedstawił trzy argumenty.

Po pierwsze, Celsius argumentował, że tak duża baza danych informacji konsumenckich jest zbyt cenna, aby firma mogła zostać upubliczniona. Takie postępowanie „znacznie zmniejszyłoby wartość listy klientów jako aktywów w każdej przyszłej potencjalnej sprzedaży aktywów”, twierdzi firma.

Po drugie, Celsius przedstawił argument, że gdyby ujawniono dane osobowe klientów, mogliby stać się celem „kradzieży tożsamości, szantażu, nękania, prześladowania i doxingu”, zgodnie z dokumentem sądowym.

Wreszcie, pożyczkodawca kryptowalut argumentował, że ponieważ wielu jego klientów mieszka w różnych jurysdykcjach na całym świecie, ujawnienie ich PII może „narazić [Celsjusza] na potencjalną odpowiedzialność cywilną i znaczne kary finansowe”. Dokument odnotowuje w szczególności Ogólne rozporządzenie o ochronie danych Zjednoczonego Królestwa (UK GDPR) i RODO Unii Europejskiej.

Z drugiej strony, powiernik USA argumentował, że Celsius „nie może i nie może polegać na żadnych wyjątkach od ogólnej zasady, że postępowanie upadłościowe powinno być otwarte, jawne i przejrzyste” i nie zaoferował „nic więcej niż niejasnych oświadczeń na poparcie swojego wniosku” redagować poufne informacje.

Argumentowali również, że PII, które Celsius starał się zredagować, „nie są informacjami poufnymi ani handlowymi”.

„Powiernik USA argumentuje, że własna polityka prywatności [Celsiusa] potwierdza argument, że informacje klientów nie są poufne, ponieważ pozwalają na udostępnianie imion i danych kontaktowych klientów „partnerom biznesowym” stron trzecich, a zatem nie są poufne”. zgodnie z dokumentem sądowym.

Ponadto „Powiernik USA twierdzi, że informacje nie mają prawdziwie komercyjnego charakteru, ponieważ Dłużnicy nie starają się przeredagować wszystkich nazwisk wierzycieli i informacji identyfikujących, a zamiast tego żądają, aby informacje identyfikujące zostały zredagowane tylko dla niektórych wierzycieli „, ale informacje z szacunkiem innej grupie zostaną w pełni ujawnione ze względu na miejsce zamieszkania takich wierzycieli”.

W aspekcie prawa międzynarodowego powiernik USA uznał również, że zgodnie z amerykańskim prawem upadłościowym postępowanie upadłościowe powinno być jawne i powinno mieć pierwszeństwo przed brytyjskim RODO i unijnym RODO.

Wreszcie, co najbardziej szokujące, „amerykański powiernik twierdzi, że argumenty [Celsjusza], że wierzyciele mogą być poddawani przemocy w przypadku ujawnienia ich tożsamości, stanowią dowody anegdotyczne, które nie sięgają poziomu dowodów koniecznych do przezwyciężenia domniemania jawności i bankructwo publiczne”.

W odpowiedzi Celsius opublikował kolejny wniosek, dążąc do wdrożenia pełnego procesu anonimizacji, aby nie ujawniać szczegółowych informacji o użytkowniku. Wykraczało to poza początkowy złożony wniosek, który wymagał możliwości zredagowania adresu domowego i adresu e-mail klientów z USA oraz imienia i nazwiska, adresu domowego i adresu e-mail klientów z Wielkiej Brytanii i UE.

Sąd odrzucił większość wniosków Celsjusza. Odrzucił rozróżnienie między klientami z USA i Wielkiej Brytanii / UE w oparciu o powyższe argumenty i zezwolił firmie tylko na redagowanie adresów domowych i adresów e-mail. Całkowicie zaprzeczyła wnioskowi anonimizacji.

Oto, co mogą zrobić użytkownicy Doxxed

Istnieje wiele opcji, które można podjąć, jeśli zostaną ujawnione w dokumentach Celsjusza, ale żadna z nich nie będzie w stanie wymazać przeszłości. Im bliżej można się do tego zbliżyć, w przypadku, gdy uwolnienie tych punktów danych może namacalnie zaszkodzić osobie, mogą legalnie zmienić nazwiska jako (skrajną) opcję ostateczności. Można również przenieść się pod inny adres, ale ponieważ sąd upoważnił Celsiusa do redagowania adresów domowych, może to nie być tak duży problem, który należy złagodzić. Warto jednak zauważyć, że niezredagowane wersje dokumentów są dostępne dla „Powiernika USA i doradcy Komitetu oraz każdej zainteresowanej strony”, która wnioskuje i otrzymuje dostęp; sprawa przeprowadzki jest nadal możliwa.

Użytkownicy mogą również podjąć działania w celu złagodzenia niektórych zagrożeń w cyfrowym świecie. Jeśli chodzi o adresy w łańcuchu, które obserwatorzy mogą deanonimizować, patrząc na łańcuch bloków i informacje ujawnione w dokumencie, na ratunek mogą przyjść dobre narzędzia skoncentrowane na prywatności.

Prostszą alternatywą jest: CoinJoin fundusze. Nawet jeśli nie usunie to historii transakcji użytkownika, jeśli zrobione poprawnie pozwoli to użytkownikowi cieszyć się dobrą, przyszłościową prywatnością. Oznacza to, że wydatki od tego momentu nie będą wyraźnie widoczne jako transakcja pochodząca od użytkownika doxxed. (Podobne do tego, skąd bank wie, kiedy wypłacasz gotówkę z bankomatu, ale nie może później uzyskać szczegółowych informacji na temat tego, na co je wydajesz). Użytkownik może skorzystać z innych narzędzi ochrony prywatności, takich jak PayJoins, które też się psują heurystyki, których źli aktorzy używają do wywnioskowania informacji z danych w łańcuchu.

Ale być może najważniejszą rzeczą, jaką użytkownicy mogą zrobić, jest przyjęcie podejścia polegającego na niskiej preferencji czasowej i unikanie korzystania ze scentralizowanych usług, które zbierają dane użytkowników. Firmy świadczące usługi finansowe na całym świecie, w kryptowalutach i nie tylko, muszą przestrzegać zasad poznania klienta (KYC) i przeciwdziałania praniu pieniędzy (AML). Chociaż takie przepisy są prawdopodobnie w dobrych intencjach, ich skuteczność jest kwestionowana, a wady są jasne – jak w przypadku Celsjusza.

W erze informacji dane są najcenniejszym towarem i jako takie firmy, które gromadzą ogromne ilości danych, stają się pułapkami, skutecznie stając się celem cyberataków, gdy hakerzy i inne osoby starają się zarabiać na tych informacjach.

Chociaż światowe rządy nie zdają sobie sprawy z tego gigantycznego problemu w XXI wieku, użytkownicy są zachęcani do robienia wszystkiego, co w ich mocy, aby przejąć na własność swoje dane i odzyskać swoją prywatność. Ponieważ status quo skłania ludzi do dzielenia się jak najwięcej o swoim życiu, prawo do prywatności nie powinno być postrzegane jako coś, czego obywatele przestrzegający prawa nie potrzebują ale raczej jako samo prawo, które umożliwia wszystkie inne.