Tại sao Celsius lại để lộ thông tin người dùng và bạn có thể làm gì với thông tin này

Tuần này, Celsius Network đã xuất bản một tài liệu lớn chứa tất cả số dư tài khoản của khách hàng.

Động thái này là một phần của quá trình tái cơ cấu đang diễn ra của công ty sau khi đệ đơn phá sản theo Chương 11 từ đầu năm nay. Tài liệu phản ánh số dư của người dùng kể từ ngày 13 tháng 2022 năm 90, khi công ty bắt đầu tái cấu trúc và các giao dịch khách hàng đã xảy ra trong 11 ngày trước khi nộp hồ sơ theo Chương XNUMX, theo công ty Câu Hỏi Thường Gặp.

Không có gì ngạc nhiên khi việc phát hành dữ liệu khách hàng chi tiết như vậy, bao gồm số dư, giao dịch và tên, đã gây ra náo động on Twitter. Thông tin đó không chỉ có thể làm sáng tỏ thông tin tài chính của mỗi người dùng mà còn cho phép các nhà quan sát phân tích chuỗi khối và xóa ẩn danh các địa chỉ trên chuỗi, vì số tiền và ngày giao dịch được nêu chi tiết trong tài liệu.

Tổng hợp tất cả lại với nhau, rõ ràng là quyền riêng tư của người dùng đã bị xâm phạm và bảo mật của họ bị xâm phạm. Nhưng đừng băn khoăn (chưa); bài viết này đánh giá lý do tại sao điều này xảy ra và những gì có thể được thực hiện để giảm thiểu một số mối đe dọa nếu bạn nằm trong số những người dùng doxxed.

Tại sao Celsius lại công khai tài liệu này?

Như đã đề cập trước đó, tài liệu này là một phần của quá trình tái cấu trúc của Celsius. Celsius có nghĩa vụ tiết lộ thông tin khách hàng như một phần của quá trình tái cấu trúc của mình, dựa trên sự minh bạch cần thiết mà luật pháp Hoa Kỳ yêu cầu. Mặc dù điều đó thường chỉ áp dụng cho tài sản của công ty, nhưng vì Celsius đã tạm giữ tài sản của khách hàng nên chúng cũng bị ảnh hưởng.

Theo một tài liệu tòa án, Celsius đã gửi yêu cầu cắt giảm thông tin nhận dạng cá nhân (PII) của khách hàng đang được tiết lộ thông qua một quá trình chỉnh sửa trước khi công khai. Người cho vay đã đệ trình ba lập luận.

Đầu tiên, Celsius lập luận rằng một cơ sở dữ liệu lớn về thông tin người tiêu dùng là quá giá trị để công ty được công khai. Làm như vậy sẽ “làm giảm đáng kể giá trị của danh sách khách hàng như một tài sản trong bất kỳ đợt bán tài sản tiềm năng nào trong tương lai,” công ty tuyên bố.

Thứ hai, Celsius đưa ra lập luận rằng, nếu PII của khách hàng bị tiết lộ, họ có thể trở thành mục tiêu của "hành vi trộm cắp danh tính, tống tiền, quấy rối, theo dõi và làm lố", theo tài liệu của tòa án.

Cuối cùng, người cho vay tiền điện tử lập luận rằng vì nhiều khách hàng của họ cư trú ở các khu vực pháp lý khác nhau trên toàn thế giới, việc tiết lộ PII của họ có thể “khiến [Celsius] phải chịu trách nhiệm dân sự tiềm ẩn và các hình phạt tài chính đáng kể.” Tài liệu lưu ý cụ thể đến Quy định chung về bảo vệ dữ liệu của Vương quốc Anh (GDPR của Vương quốc Anh) và GDPR của Liên minh Châu Âu.

Mặt khác, người được ủy thác Hoa Kỳ lập luận rằng Celsius “không và không thể dựa vào bất kỳ ngoại lệ nào đối với quy tắc chung rằng thủ tục phá sản phải công khai, công khai và minh bạch” và đã đưa ra “không gì khác hơn là những tuyên bố mơ hồ hỗ trợ yêu cầu của họ” để biên tập lại thông tin bí mật.

Họ cũng lập luận rằng PII mà Celsius đã tìm cách biên tập lại “không phải là thông tin bí mật hay thương mại”.

“Ủy ban Nhân dân Hoa Kỳ lập luận rằng các chính sách bảo mật của riêng [Celsius '] ủng hộ lập luận rằng thông tin của khách hàng là không bí mật vì nó cho phép tên khách hàng và thông tin liên hệ được chia sẻ với' đối tác kinh doanh 'của bên thứ ba và do đó, không phải là bí mật," theo tài liệu của tòa án.

Ngoài ra, “Người được ủy thác Hoa Kỳ cho rằng thông tin đó không thực sự mang tính thương mại vì Bên nợ không tìm cách biên tập lại tên và thông tin nhận dạng của tất cả các chủ nợ và thay vào đó họ yêu cầu rằng thông tin nhận dạng chỉ được biên tập lại cho một số chủ nợ nhất định, nhưng thông tin có liên quan cho một nhóm khác sẽ được tiết lộ đầy đủ vì nơi các chủ nợ đó sinh sống. '”

Về khía cạnh luật pháp quốc tế, người được ủy thác của Hoa Kỳ cũng lý giải rằng, theo luật phá sản của Hoa Kỳ, thủ tục phá sản phải được công khai và những thủ tục này sẽ được ưu tiên so với GDPR của Vương quốc Anh và GDPR của EU.

Cuối cùng, và gây sốc nhất, "Người được ủy thác Hoa Kỳ cho rằng [Celsius '] lập luận rằng các chủ nợ có thể phải chịu bạo lực nếu danh tính của họ bị tiết lộ tương đương với bằng chứng giai thoại, điều này không tăng đến mức bằng chứng cần thiết để vượt qua giả định công khai và phá sản công khai ”.

Đáp lại, Celsius đã công bố một chuyển động khác, tìm cách thực hiện một quy trình ẩn danh hoàn chỉnh để không tiết lộ thông tin chi tiết của người dùng. Điều đó vượt ra ngoài dự kiến ​​ban đầu được đệ trình, trong đó yêu cầu khả năng liên hệ lại địa chỉ email và nhà riêng của khách hàng Hoa Kỳ cũng như tên, địa chỉ nhà riêng và địa chỉ email của khách hàng Vương quốc Anh và EU.

Tòa án đã ra phán quyết bác bỏ đa số yêu cầu của Celsius. Nó đã bác bỏ sự khác biệt giữa khách hàng Hoa Kỳ và Vương quốc Anh / EU dựa trên các lập luận ở trên và cho phép công ty chỉ biên soạn lại địa chỉ nhà và địa chỉ email. Nó phủ nhận hoàn toàn chuyển động ẩn danh.

Đây là những gì người dùng Doxxed có thể làm

Có nhiều lựa chọn mà người ta có thể thực hiện nếu họ thấy mình bị phơi nhiễm trong các tài liệu độ C, nhưng không ai trong số họ có thể xóa bỏ quá khứ. Càng tiến gần đến điều đó, trong trường hợp việc phát hành các điểm dữ liệu đó có khả năng gây hại cho người đó một cách rõ ràng, họ có thể đổi tên một cách hợp pháp như một phương án cuối cùng (cực đoan). Người ta cũng có thể chuyển đến một địa chỉ khác, nhưng vì tòa án đã cho phép Celsius xác định lại địa chỉ nhà, đó có thể không phải là vấn đề lớn để thử và giảm thiểu. Tuy nhiên, điều đáng chú ý là “Người được ủy thác Hoa Kỳ, và cố vấn của Ủy ban cũng như bất kỳ bên nào có lợi ích” có thể truy cập vào các phiên bản chưa được phản hồi của hồ sơ; trường hợp chuyển nhà vẫn có thể được thực hiện.

Người dùng cũng có thể thực hiện các biện pháp để giảm thiểu một số mối đe dọa trên thế giới kỹ thuật số. Khi nói đến các địa chỉ trên chuỗi mà người quan sát có thể xóa ẩn danh bằng cách xem xét chuỗi khối và thông tin được tiết lộ trong tài liệu, các công cụ tập trung vào quyền riêng tư tốt có thể giải quyết vấn đề.

Giải pháp thay thế đơn giản hơn là CoinTham gia các quỹ. Mặc dù điều đó sẽ không xóa lịch sử giao dịch của người dùng, nếu làm đúng nó sẽ cho phép người dùng tận hưởng sự riêng tư tốt trong tương lai. Điều này có nghĩa là chi tiêu từ thời điểm đó trở đi sẽ không được phát hiện rõ ràng là một giao dịch đến từ người dùng doxxed. (Tương tự như cách ngân hàng biết khi bạn rút tiền mặt tại máy ATM nhưng không thể nhận được thông tin chi tiết về những gì bạn chi tiêu sau đó.) Người dùng có thể bắt tay vào các công cụ bảo mật khác, như tham gia thanh toán, điều đó cũng phá vỡ heuristics mà các tác nhân xấu sử dụng để suy ra thông tin từ dữ liệu trên chuỗi.

Nhưng có lẽ điều quan trọng nhất mà người dùng có thể làm là thực hiện phương pháp ưu tiên thời gian thấp và tránh sử dụng các dịch vụ tập trung thu thập dữ liệu người dùng. Các công ty dịch vụ tài chính trên toàn thế giới, bằng tiền điện tử và hơn thế nữa, cần phải tuân thủ các quy tắc về khách hàng của bạn (KYC) và chống rửa tiền (AML). Mặc dù những luật như vậy có thể có mục đích tốt, nhưng tính hiệu quả của chúng còn bị tranh cãi và nhược điểm là rõ ràng –– như trong trường hợp C này.

Trong thời đại thông tin, dữ liệu là hàng hóa có giá trị nhất và do đó, các công ty thu thập một lượng lớn dữ liệu trở thành những ổ cứng, trở thành mục tiêu của các cuộc tấn công mạng khi tin tặc và những người khác tìm cách kiếm tiền từ thông tin đó.

Trong khi các chính phủ thế giới không nhận ra vấn đề to lớn này trong thế kỷ 21, người dùng được khuyến khích làm những gì họ có thể làm để chiếm quyền sở hữu dữ liệu của họ và đòi lại quyền riêng tư của họ. Vì hiện trạng thúc đẩy mọi người chia sẻ càng nhiều về cuộc sống của họ càng tốt, quyền riêng tư không nên được coi là thứ mà công dân tuân thủ luật pháp không cần nhưng đúng hơn là quyền cho phép tất cả những cái khác.