Почему Celsius раскрывает информацию о пользователях и что с этим делать

На этой неделе Celsius Network опубликовала большой документ, содержащий все балансы счетов своих клиентов.

Этот шаг является частью продолжающегося процесса реструктуризации компании после подачи заявления о банкротстве в соответствии с главой 11 ранее в этом году. В документе отражены балансы пользователей по состоянию на 13 июля 2022 года, когда началась реструктуризация компании, а также транзакции клиентов, которые произошли в течение 90 дней, предшествовавших подаче заявления в соответствии с главой 11, согласно данным компании. FAQ.

Неудивительно, что публикация таких подробных данных о клиентах, включая балансы, транзакции и имена, вызвала шум on Twitter. Эта информация может не только пролить свет на финансовую информацию каждого пользователя, но также позволить наблюдателям анализировать блокчейн и деанонимизировать адреса в цепочке, поскольку суммы и дата транзакций подробно описаны в документе.

Если сложить все это воедино, становится ясно, что конфиденциальность пользователей была нарушена, а их безопасность поставлена ​​под угрозу. Но не волнуйтесь (пока); в этой статье рассматривается, почему это произошло и что можно сделать, чтобы уменьшить некоторые угрозы, если вы входите в число пользователей, подвергшихся доксированию.

Почему Цельсий обнародовал этот документ?

Как упоминалось ранее, этот документ является частью процесса реструктуризации Celsius. Celsius была обязана раскрыть информацию о клиентах в рамках процесса реструктуризации, учитывая необходимую прозрачность, требуемую законодательством США. Хотя обычно это относится только к активам компании, поскольку Celsius держала под стражей активы клиентов, они также пострадали.

В соответствии с судебный документКомпания Celsius подала запрос на сокращение количества информации, позволяющей установить личность клиента (PII), которая раскрывается в процессе редактирования перед ее публикацией. Кредитор представил три аргумента.

Во-первых, Цельсий утверждал, что такая большая база данных потребительской информации слишком ценна для того, чтобы компания могла ее обнародовать. Это «значительно снизит ценность списка клиентов как актива при любой будущей потенциальной продаже активов», заявила компания.

Во-вторых, Цельсий выдвинул аргумент, что, если будут раскрыты личные данные клиентов, они могут стать объектами «кражи личных данных, шантажа, преследования, преследования и доксинга», согласно судебному документу.

Наконец, криптовалютный кредитор заявил, что, поскольку многие из его клиентов проживают в разных юрисдикциях по всему миру, раскрытие их личных данных может «подвергнуть [Celsius] потенциальной гражданской ответственности и значительным финансовым штрафам». В документе, в частности, отмечаются Общие правила защиты данных Соединенного Королевства (GDPR Великобритании) и GDPR Европейского Союза.

Американский управляющий, с другой стороны, заявил, что Celsius «не ссылается и не может полагаться на какие-либо исключения из общего правила, согласно которому процедура банкротства должна быть открытой, публичной и прозрачной», и предложил «не более чем расплывчатые заявления в поддержку своего запроса». редактировать конфиденциальную информацию.

Они также утверждали, что Личная информация, которую Цельсий пыталась отредактировать, «не является ни конфиденциальной, ни коммерческой информацией».

«Попечитель США утверждает, что собственная политика конфиденциальности [Celsius] подтверждает аргумент о том, что информация о клиентах не является конфиденциальной, поскольку она позволяет передавать имена и контактную информацию клиентов сторонним «деловым партнерам» и, следовательно, не является конфиденциальной», согласно судебному документу.

Кроме того, «Доверительный управляющий США утверждает, что информация не носит истинно коммерческого характера, поскольку Должники не стремятся стереть имена всех кредиторов и идентифицирующую информацию, а вместо этого требуют, чтобы идентифицирующая информация была отредактирована только для определенных кредиторов, «но информация с уважением другой группе будет полностью раскрыта информация о том, где проживают такие кредиторы».

Что касается международного права, американский управляющий также аргументировал это тем, что в соответствии с законодательством США о банкротстве процедуры банкротства должны быть публичными и иметь преимущественную силу над GDPR Великобритании и GDPR ЕС.

Наконец, что наиболее шокирует, «Попечитель США утверждает, что аргументы [Цельсия] о том, что кредиторы могут подвергнуться насилию, если их личности будут раскрыты, представляют собой неофициальные доказательства, которые не достигают уровня доказательств, необходимых для преодоления презумпции открытого и государственное банкротство».

В ответ Celsius опубликовал еще одно предложение, стремясь внедрить процесс полной анонимизации, чтобы не раскрывать подробную информацию о пользователе. Это выходило за рамки первоначального поданного ходатайства, в котором требовалась возможность редактировать домашний адрес и адрес электронной почты клиентов из США, а также имя, домашний адрес и адрес электронной почты клиентов из Великобритании и ЕС.

Суд отклонил большинство требований Цельсия. Он отверг различие между клиентами из США и Великобритании/ЕС на основании приведенных выше аргументов и разрешил компании редактировать только домашние адреса и адреса электронной почты. Он полностью отверг предложение об анонимности.

Вот что могут сделать пользователи Doxxed

Есть много вариантов, которые можно предпринять, если они окажутся разоблаченными в документах Цельсия, но ни один из них не сможет стереть прошлое. Чем ближе к этому можно подойти, тем в случае, если раскрытие этих данных может нанести ощутимый вред человеку, они могут по закону изменить имена в качестве (крайнего) крайнего варианта. Можно также переехать на другой адрес, но, поскольку суд разрешил Celsius редактировать домашние адреса, это может быть не такой уж большой проблемой, которую можно попытаться смягчить. Однако стоит отметить, что неотредактированные версии документов доступны «доверенному лицу США и советникам Комитета, а также любой заинтересованной стороне», которая запрашивает и получает доступ; аргументы в пользу переезда все еще можно привести.

Пользователи также могут принять меры для смягчения некоторых угроз цифрового мира. Когда дело доходит до сетевых адресов, которые наблюдатели могут деанонимизировать, просматривая блокчейн и информацию, раскрытую в документе, на помощь могут прийти хорошие инструменты, ориентированные на конфиденциальность.

Более простая альтернатива состоит в том, чтобы CoinJoin средства. Несмотря на то, что это не сотрет историю транзакций пользователя, если все сделано правильно это позволит пользователю наслаждаться надежной конфиденциальностью. Это означает, что с этого момента расходы не будут четко распознаваться как транзакция, исходящая от доксированного пользователя. (Аналогично тому, как банк узнает, когда вы снимаете наличные в банкомате, но не может получить подробную информацию о том, на что вы их тратите впоследствии.) Пользователь может использовать другие инструменты обеспечения конфиденциальности, например PayJoins, это тоже сломается эвристика, которую злоумышленники используют для получения информации из данных в цепочке.

Но, пожалуй, самое важное, что могут сделать пользователи, — это использовать подход с низкими временными предпочтениями и избегать использования централизованных сервисов, собирающих пользовательские данные. Компании, предоставляющие финансовые услуги по всему миру, как в сфере криптовалют, так и за их пределами, должны соблюдать правила «знай своего клиента» (KYC) и правила борьбы с отмыванием денег (AML). Хотя такие законы, скорее всего, преследуют благие намерения, их эффективность оспаривается, а недостатки очевидны – как в случае с Цельсием.

В век информации данные являются наиболее ценным товаром, и поэтому компании, собирающие огромные объемы данных, становятся приманками, фактически становясь объектами кибератак, поскольку хакеры и другие лица стремятся монетизировать эту информацию.

Хотя мировые правительства не осознают эту гигантскую проблему в 21 веке, пользователи заинтересованы делать все возможное, чтобы взять на себя ответственность за свои данные и вернуть себе конфиденциальность. Поскольку статус-кво заставляет людей рассказывать о своей жизни как можно больше, право на неприкосновенность частной жизни не следует рассматривать как то, что не нужно законопослушным гражданам а скорее как то самое право, которое делает возможными все остальные.