De ce Celsius a expus informațiile despre utilizator și ce puteți face în legătură cu acestea

Săptămâna aceasta, Celsius Network a publicat un document mare care conține toate soldurile conturilor clienților săi.

Mișcarea face parte din procesul de restructurare al companiei în curs de desfășurare, în urma depunerii sale de faliment la capitolul 11 ​​de la începutul acestui an. Documentul reflectă soldurile utilizatorilor din 13 iulie 2022, când a început restructurarea companiei, și tranzacțiile cu clienții care au avut loc în cele 90 de zile premergătoare depunerii la capitolul 11, conform companiei. FAQ.

Deloc surprinzător, publicarea unor astfel de date detaliate despre clienți, care includ solduri, tranzacții și nume, a provocat o vacarm on Twitter. Aceste informații nu numai că pot arunca o lumină asupra informațiilor financiare ale fiecărui utilizator, ci și permit observatorilor să analizeze blockchain-ul și să dezanonimizeze adresele din lanț, deoarece sumele și data tranzacției sunt detaliate în document.

Punând totul cap la cap, devine clar că confidențialitatea utilizatorilor a fost invadată și securitatea lor compromisă. Dar nu te supăra (încă); acest articol analizează de ce s-a întâmplat acest lucru și ce se poate face pentru a atenua unele amenințări dacă vă numărați printre utilizatorii doxxed.

De ce Celsius a făcut public acest document?

După cum sa menționat anterior, acest document face parte din procesul de restructurare al lui Celsius. Celsius a fost obligat să expună informațiile despre clienți ca parte a procesului său de restructurare, având în vedere transparența necesară cerută de legislația SUA. În timp ce acest lucru se aplică de obicei numai activelor companiei, deoarece Celsius deținea activele clienților în custodie, acestea au fost și ele afectate.

Potrivit unui document de instanță, Celsius a trimis o solicitare de reducere a informațiilor de identificare personală a clientului (PII) care sunt eliberate printr-un proces de redactare înainte de a le face publice. Creditorul a prezentat trei argumente.

În primul rând, Celsius a susținut că o bază de date atât de mare de informații despre consumatori era prea valoroasă pentru ca compania să fie făcută publică. Procedând astfel, ar „scădea în mod semnificativ valoarea listei de clienți ca activ în orice potențială vânzare viitoare de active”, a susținut compania.

În al doilea rând, Celsius a prezentat argumentul că, dacă PII-ul clienților ar fi dezvăluit, aceștia ar putea deveni ținte de „furt de identitate, șantaj, hărțuire, urmărire și doxing”, conform documentului instanței.

În cele din urmă, creditorul de criptomonede a susținut că, deoarece mulți dintre clienții săi locuiesc în jurisdicții diferite din întreaga lume, dezvăluirea IPI-ului lor ar putea „expune [Celsius] la potențialele răspunderi civile și la sancțiuni financiare semnificative”. Documentul menționează în special Regulamentul general privind protecția datelor din Regatul Unit (GDPR) și GDPR al Uniunii Europene.

Administratorul american, pe de altă parte, a susținut că Celsius „nu se poate baza și nu se poate baza pe nicio excepție de la regula generală conform căreia procedurile de faliment ar trebui să fie deschise, publice și transparente” și nu a oferit „nimic mai mult decât declarații vagi în sprijinul cererii lor” redactați informațiile confidențiale.

Ei au susținut, de asemenea, că PII pe care Celsius a încercat să le redacteze „nu este nici informații confidențiale, nici comerciale”.

„Administratorul american susține că politicile de confidențialitate ale [Celsius] susțin argumentul că informațiile clienților nu sunt confidențiale, deoarece permit ca numele clienților și informațiile de contact să fie partajate cu „partenerii de afaceri” terți și, prin urmare, nu sunt confidențiale.” conform actului judiciar.

În plus, „Administratorul SUA susține că informațiile nu sunt cu adevărat comerciale în natură, deoarece Debitorii nu caută să scadă numele tuturor creditorilor și informațiile de identificare și, în schimb, solicită ca informațiile de identificare să fie redactate numai pentru anumiți creditori, „dar informații cu respect unui alt grup va fi dezvăluit pe deplin din cauza locului în care locuiesc acești creditori.”

În ceea ce privește dreptul internațional, administratorul american a motivat, de asemenea, că, în conformitate cu legea falimentului din SUA, procedurile de faliment ar trebui să fie publice, iar acestea ar trebui să prevaleze asupra GDPR din Regatul Unit și GDPR al UE.

În cele din urmă, și cel mai șocant, „trusteul american susține că argumentele [lui lui Celsius] conform cărora creditorii ar putea fi supuși violenței în cazul în care identitățile lor ar fi dezvăluite echivalează cu dovezi anecdotice, care nu se ridică la nivelul probelor necesare pentru a depăși prezumția de deschidere. și falimentul public.”

Ca răspuns, Celsius a publicat o altă moțiune, încercând să implementeze un proces complet de anonimizare pentru a nu dezvălui informații detaliate despre utilizator. Acest lucru a depășit moțiunea inițială depusă, care a solicitat posibilitatea de a redacta adresa de domiciliu și de e-mail a clienților din SUA și numele, adresa de domiciliu și adresa de e-mail a clienților din Marea Britanie și UE.

Instanța s-a pronunțat împotriva majorității cererilor lui Celsius. A respins diferențierea dintre clienții din SUA și Marea Britanie/UE pe baza argumentelor de mai sus și a permis companiei să redacteze doar adresele de domiciliu și de e-mail. A respins complet moțiunea de anonimizare.

Iată ce pot face utilizatorii Doxxed

Există multe opțiuni pe care le poți lua dacă se găsesc expuși în documentele Celsius, dar niciuna dintre ele nu va putea șterge trecutul. Cu cât se poate ajunge mai aproape de asta, în cazul în care eliberarea acelor puncte de date are potențialul de a dăuna în mod tangibil persoanei, acestea pot schimba legal numele ca o opțiune (extremă) de ultimă instanță. De asemenea, s-ar putea muta la o altă adresă, dar din moment ce instanța l-a autorizat pe Celsius să redacteze adresele de domiciliu, s-ar putea să nu fie o problemă atât de mare de încercat și de atenuat. Cu toate acestea, este de remarcat faptul că versiunile neexprimate ale dosarelor sunt accesibile „administratorului american și consilierului Comitetului și că orice parte interesată” care solicită și i se acordă acces; cazul pentru mutarea locuințelor se mai poate face.

De asemenea, utilizatorii pot lua măsuri pentru a atenua unele dintre amenințările asupra lumii digitale. Când vine vorba de adresele în lanț pe care observatorii le pot dezanonimiza uitându-se la blockchain și la informațiile dezvăluite în document, instrumente bune centrate pe confidențialitate pot veni în ajutor.

Alternativa mai simplă este să CoinJoin fonduri. Chiar dacă asta nu va șterge istoricul tranzacțiilor utilizatorului, daca se face corect va permite utilizatorului să se bucure de o bună confidențialitate orientată spre viitor. Aceasta înseamnă că cheltuielile din acel moment nu vor fi observate clar ca o tranzacție venită de la utilizatorul doxxed. (Asemănător modului în care banca știe când retrageți numerar de la un bancomat, dar nu poate obține informații detaliate despre ce cheltuiți ulterior.) Utilizatorul se poate lansa în alte instrumente de confidențialitate, cum ar fi PayJoins, și asta se sparge euristice pe care actorii răi le folosesc pentru a deduce informații din datele din lanț.

Dar poate cel mai important lucru pe care îl pot face utilizatorii este să adopte o abordare cu preferințe de timp reduse și să evite utilizarea serviciilor centralizate care recoltează datele utilizatorilor. Companiile de servicii financiare din întreaga lume, în criptomonede și nu numai, trebuie să respecte regulile de cunoaștere a clientului (KYC) și de combatere a spălării banilor (AML). Deși astfel de legi sunt probabil bine intenționate, eficacitatea lor este contestată, iar dezavantajele sunt clare – ca în acest caz Celsius.

În era informației, datele sunt cea mai valoroasă marfă și, ca atare, companiile care colectează cantități mari de date devin honeypots, devenind efectiv ținta atacurilor cibernetice, deoarece hackerii și alții caută să monetizeze aceste informații.

În timp ce guvernele lumii nu realizează această problemă gigantică în secolul 21, utilizatorii sunt încurajați să facă tot ce pot pentru a prelua proprietatea asupra datelor lor și a revendica confidențialitatea lor. Pe măsură ce status quo-ul îi împinge pe oameni să împărtășească cât mai multe despre viața lor, dreptul la intimitate nu ar trebui privit ca ceva de care cetățenii care respectă legea nu au nevoie ci mai degrabă drept însuși care le permite pe toate celelalte.