Чому Celsius розкрив інформацію користувача та що ви можете з цим зробити

Цього тижня Celsius Network опублікувала великий документ, що містить усі баланси рахунків своїх клієнтів.

Цей крок є частиною поточного процесу реструктуризації компанії після її заяви про банкрутство відповідно до глави 11 на початку цього року. Документ відображає баланси користувачів станом на 13 липня 2022 року, коли почалася реструктуризація компанії, і транзакції клієнтів, які відбулися за 90 днів до подання декларації відповідно до глави 11, відповідно до вимог компанії FAQ.

Не дивно, що оприлюднення таких детальних даних про клієнтів, які включають баланси, транзакції та імена, спричинило заворушити on Twitter. Ця інформація може не тільки пролити світло на фінансову інформацію кожного користувача, але й дати можливість спостерігачам проаналізувати блокчейн і деанонімізувати адреси в ланцюжку, оскільки суми та дати транзакцій детально описані в документі.

Зібравши все разом, стає зрозуміло, що конфіденційність користувачів була порушена, а їхня безпека скомпрометована. Але не турбуйтеся (поки що); у цій статті розглядається, чому це сталося, і що можна зробити, щоб пом’якшити деякі загрози, якщо ви належите до користувачів doxxed.

Чому Celsius оприлюднив цей документ?

Як згадувалося раніше, цей документ є частиною процесу реструктуризації Celsius. Celsius був зобов’язаний надати інформацію про клієнтів у рамках процесу реструктуризації, враховуючи необхідну прозорість, яку вимагає законодавство США. Хоча зазвичай це стосується лише активів компанії, оскільки Celsius тримав активи клієнтів під вартою, вони також постраждали.

У відповідності з судовий документ, компанія Celsius подала запит на скорочення надання особистої інформації клієнта (PII) через процес редагування перед оприлюдненням. Кредитор надав три аргументи.

По-перше, Цельсіус стверджував, що така велика база даних споживчої інформації була надто цінною для компанії, щоб її оприлюднили. Це «суттєво знизить цінність списку клієнтів як активу в майбутньому потенційному продажу активів», стверджує компанія.

По-друге, Celsius висунув аргумент, згідно з яким у судовому документі, якщо ідентифікаційна інформація клієнтів буде виявлена, вони можуть стати об’єктами «крадіжки особистих даних, шантажу, переслідувань, переслідування та доксингу».

Нарешті, криптовалютний кредитор стверджував, що оскільки багато його клієнтів проживають у різних юрисдикціях по всьому світу, розкриття їх ідентифікаційної інформації може «піддати [Celsius] потенційній цивільній відповідальності та значним фінансовим штрафам». У документі зокрема згадується Загальний регламент захисту даних Сполученого Королівства (UK GDPR) і GDPR Європейського Союзу.

Довірена особа США, з іншого боку, стверджувала, що Celsius «не покладається і не може покладатися на будь-які винятки із загального правила про те, що процедура банкрутства має бути відкритою, публічною та прозорою», і запропонувала «нічого, крім розпливчастих заяв на підтримку свого запиту» редагувати конфіденційну інформацію.

Вони також стверджували, що ідентифікаційна інформація, яку Celsius намагався відредагувати, «не є ані конфіденційною, ані комерційною інформацією».

«Довірена особа США стверджує, що власна політика конфіденційності [Celsius] підтверджує тезу про те, що інформація про клієнтів не є конфіденційною, оскільки вона дозволяє передавати імена та контактну інформацію клієнтів стороннім «діловим партнерам», а отже, не є конфіденційною», за актом суду.

Крім того, «Довірена особа США стверджує, що ця інформація не є справді комерційною за своєю природою, оскільки боржники не прагнуть редагувати імена всіх кредиторів та ідентифікаційну інформацію, а натомість вимагають редагувати ідентифікаційну інформацію лише для певних кредиторів, «але інформацію з повагою іншій групі буде повністю розкрито через місце проживання таких кредиторів».

Щодо аспекту міжнародного права, довірена особа США також аргументувала це тим, що відповідно до законодавства Сполучених Штатів про банкрутство, процедури банкрутства мають бути публічними, і вони мають переважати над GDPR Великобританії та GDPR ЄС.

Нарешті, що є найбільш шокуючим, «Довірена особа США стверджує, що аргументи [Целсіуса] про те, що кредитори можуть піддатися насильству, якщо їхні особи будуть розкриті, є неофіційними доказами, які не досягають рівня доказів, необхідних для подолання презумпції відкритого і державне банкрутство».

У відповідь Celsius опублікував іншу ініціативу, прагнучи запровадити процес повної анонімізації, щоб не розкривати детальну інформацію про користувачів. Це вийшло за рамки початкового поданого клопотання, яке вимагало можливість редагувати домашню та електронну адресу клієнтів із США та ім’я, домашню адресу та електронну адресу клієнтів із Великобританії та ЄС.

Суд відхилив більшість запитів Celsius. Він відхилив різницю між клієнтами США та Великобританії/ЄС на основі наведених вище аргументів і дозволив компанії редагувати лише домашню та електронну адреси. Він повністю відхилив клопотання про анонімізацію.

Ось що можуть зробити користувачі Doxxed

Є багато варіантів, які можна зробити, якщо вони виявляться викритими в документах Цельсія, але жоден із них не зможе стерти минуле. Чим ближче до цього можна підійти, у випадку, якщо оприлюднення цих точок даних потенційно може завдати відчутної шкоди людині, вони можуть законно змінити імена як крайній (крайній) варіант. Можна також переїхати на іншу адресу, але оскільки суд дозволив Celsius редагувати домашні адреси, це може бути не такою серйозною проблемою, щоб намагатися її пом’якшити. Варто, однак, зазначити, що невідредаговані версії документів доступні «Довірчій особі США та раднику Комітету, а також будь-якій зацікавленій стороні», яка запитує та отримує доступ; все ще можна обґрунтувати переїзд.

Користувачі також можуть вжити заходів для пом’якшення деяких загроз у цифровому світі. Коли мова заходить про адреси в ланцюжку, які спостерігачі можуть деанонімізувати, переглядаючи блокчейн і інформацію, розкриту в документі, хороші інструменти, орієнтовані на конфіденційність, можуть прийти на допомогу.

Простіша альтернатива - це CoinJoin коштів. Незважаючи на те, що це не зітре історію транзакцій користувача, якщо зроблено правильно це дозволить користувачеві насолоджуватися перспективною конфіденційністю. Це означає, що витрати з цього моменту не будуть чітко помічені як транзакція від користувача doxxed. (Подібно до того, як банк дізнається, коли ви знімаєте готівку в банкоматі, але не може отримати детальну інформацію про те, на що ви їх витрачаєте після цього.) Користувач може скористатися іншими інструментами конфіденційності, як-от PayJoins, що також ламаються евристики, які зловмисники використовують для отримання інформації з даних у ланцюжку.

Але, мабуть, найважливіше, що можуть зробити користувачі, — це застосувати підхід із низьким часом і уникати використання централізованих служб, які збирають дані користувачів. Компанії, що надають фінансові послуги в усьому світі, у сфері криптовалют і не тільки, повинні дотримуватися правил «знай свого клієнта» (KYC) і правил боротьби з відмиванням грошей (AML). Хоча такі закони, ймовірно, мають добрі наміри, їхня ефективність викликає сумніви, а недоліки очевидні – як у цьому випадку з Цельсієм.

В епоху інформації дані є найціннішим товаром, і тому компанії, які збирають величезні обсяги даних, стають приманками, фактично стаючи об’єктами кібератак, оскільки хакери та інші намагаються монетизувати цю інформацію.

Хоча світові уряди не усвідомлюють цієї гігантської проблеми в 21-му столітті, користувачі спонукаються робити все можливе, щоб отримати право власності на свої дані та повернути свою конфіденційність. Оскільки статус-кво змушує людей ділитися якомога більше про своє життя, право на конфіденційність не слід розглядати як щось, що не потрібно законослухняним громадянам а радше як те саме право, яке уможливлює всі інші.