For et par dage siden opdaterede ConsenSys sin Privatlivspolitik, hvor der er et afsnit dedikeret til MetaMask-pungen og politikken om login.
MetaMask tegnebogen og den nye politik om login
MetaMask er uden sammenligning en af de mest udbredte tegnebøger til Ethereum i verden, med mere end 21 millioner månedlige aktive brugere, blandt andet fordi den fungerer med en browserudvidelse, der gør, at kryptopungen nemt og hurtigt kan linkes til mange hjemmesider.
ConsenSys Software Inc. er netop det firma, der producerer og udgiver denne tegnebog, så dets udtalelser om det er officielle.
MetaMask giver brugerne mulighed for at gemme og administrere deres private nøgler, så det er en ikke-depotpung. Det bruges naturligvis til at modtage og sende kryptovalutaer og Ethereum-baserede tokens, med det særlige, at det nemt kan forbindes til forskellige decentraliserede websteder og applikationer.
På denne måde gør det det ikke kun muligt at udføre transaktioner på en meget enkel måde, men giver også hjemmesiderne og dApps selv mulighed for at autentificere brugeren på de smarte kontrakter, dog anonymt.
En af de kritikpunkter, der altid har været rettet mod denne løsning, ligger netop i håndteringen af brugerdata.
Selvom den ikke-forvarende tegnebog i teorien skulle give brugeren fuld og eksklusiv kontrol over deres data, hvilket sikrer et godt niveau af privatliv, kan den i virkeligheden potentielt indsamle og dele oplysninger med tredjeparter, der kan gøre brugerne identificerbare.
Registrering af IP'er ved login ved hjælp af MetaMask tegnebog
Derfor øger logning af brugerens IP kun kritikken i denne henseende.
Afsnittet i ConsenSys' nye privatlivspolitik siger, at når Infura bruges som standard RPC-udbyder i MetaMask, vil Infura indsamle brugernes IP-adresser og Ethereum wallet-adresser, når de sender en transaktion.
De, der ikke ønsker at indsamle disse data, tilbydes muligheden for at bruge en tredjeparts RPC-udbyder eller deres egen Ethereum-node. ConsenSys advarer dog om, at andre RPC-udbydere også indsamler disse oplysninger.
Det er værd at bemærke, at Infura RPC-udbyderen er udviklet af ConsenSys selv, og er standardudbyderen i MetaMask.
Så som standard indsamler ConsenSys IP-adresserne på MetaMask-brugere, når de udfører en transaktion, og tilbyder som et alternativ kun det eksplicitte valg fra en anden RPC-udbyder, men uden at angive, hvilke der ikke indsamler bruger-IP'er.
Andre oplysninger indsamlet
Den nye ConsenSys Privacy Policy-side viser også andre oplysninger, der indsamles, selvom disse er opført i andre afsnit end den, der er dedikeret til MetaMask.
Nogle af disse oplysninger er direkte og eksplicit spurgt til brugeren, hvilket kan omfatte for- og efternavn, fødselsdato, postadresse, e-mailadresse, telefonnummer og så videre.
Andre indsamles dog som standard, når du bruger andre ConsenSys-tjenester, som f.eks. Codefi indsamler også dit land og fødested, nationalitet, personnummer, arbejdsgiver, erhverv, ID og andre oplysninger, der er nødvendige for at overholde anti-penge hvidvasklovgivning (AML) og KYC-krav.
ConsenSys på denne side gør dog alle disse oplysninger offentlige og åbenlyse, så brugerne kan være godt informeret om, hvilke data de afleverer til virksomheden.
ConsenSys er for alle henseender en privat virksomhed, grundlagt i 2014 af Joseph Lubin med base i New York City. Det har mere end 500 ansatte, og ingen data om aktionærernes ejerskab eller indtægter er offentligt tilgængelige.
Infura
Tegnebøger som MetaMask indeholder ikke en Ethereum node inde i dem. Så de skal forbindes med eksterne noder for at fungere.
Som standard er RPC-udbyderen (Remote Procedure Call) de bruger Infura, som administrerer blockchain-noder i stedet. Når nogen foretager en transaktion på MetaMask, forbindes den til Infura, som overfører transaktionen til Ethereum blockchain. Forbindelsen er lavet gennem "Remote Procedure Call", som sender Infura alle data, så den kan overføre transaktionen til Ethereum-netværket.
Når du installerer MetaMask, er den forudindstillede RPC-udbyder netop Infura, så hvis brugeren ikke ændrer den, vil deres IP blive registreret, når de sender en transaktion.
Andre RPC-udbydere er dog også tilgængelige, som brugere kan tilslutte MetaMask til for ikke at bruge Infura. Der skal dog udvises forsigtighed, fordi det ikke er sikkert, at andre RPC-udbydere faktisk er bedre.
Risikoen
Den største risiko på dette tidspunkt er, at ens on-chain transaktioner vil være genkendelige.
Alle on-chain transaktionsdata på Ethereum er offentlige og i almindelig tekst, inklusive afsenderens tegnebogsadresse. Det er dog anonyme data, hvorfra det burde være meget svært at spore pungeejerens identitet.
On-chain IP-optagelse reducerer denne vanskelighed, hvilket gør det noget nemmere til sidst at identificere ejeren.
Sandt at sige har ConsenSys en hel del data til at identificere brugere, selvom med den simple brug af MetaMask denne identifikation stadig kan være vanskelig. Men hvis andre værktøjer, såsom Codefi, også bruges, bliver identifikation meget lettere.
Ikke desto mindre bliver oplysningerne indsamlet af ConsenSys om dets brugere ikke offentliggjort, og kun nogle anonyme data registreres på blockchain.
Endelig skal det tilføjes, at i virkeligheden bruger mange brugere, der ønsker at opretholde et højt niveau af anonymitet, allerede værktøjer til at skjule eller ændre deres IP, såsom såkaldte VPN'er, så selv i det tilfælde, hvor RPC-udbyderen registrerer disse data, det er næsten umuligt at bruge det til at identificere ejeren af tegnebogen.
Kilde: https://en.cryptonomist.ch/2022/11/25/metamask-wallet-ips-login/