ConsenSys:
«Мы соберем все ваши данные в целях н(в)ашей безопасности»

24 ноября 2022 года ConsenSys обновили политику конфиденциальности.
Новая политика включает в себя сбор информации о всех пользователях при совершении транзакций через MetaMask.

Разбираемся по порядку.
Кто такие Consensys
ConsenSys — блокчейн-стартап, созданный сооснователем сети Ethereum, Joseph Lubbin. В начале этого года (март 2022), компания привлекла 450 млн. долларов в очередном раунде финансирования, который спонсировали такие компании, как Microsoft, SoftBank и Temasek.

Компания ConsenSys занимается разработкой программного обеспечения, работающего в сети Ethereum.
Наиболее известными продуктами стартапа являются кошелек MetaMask и набор инструментов для создания приложений для сети Ethereum под названием Infura.
При чем тут Metamask и Infura
  • Некастодиальный кошелек, который создала компания ConsenSys. Он поддерживает большое количество криптовалют и совместим с сетями EVM. Из всего списка самых популярных криптовалют он не поддерживает только Solana и Tron.

  • Провайдер нод, который дает возможность разработчикам подключаться к сети Ethereum с помощью узлов, управляемых данной компанией. Таким образом, разработчики экономят время, деньги и усилия.

Для подключения своего продукта к блокчейну разработчику требуется нода, но далеко не каждый разработчик может позволить себе поддержание своей ноды.

Зачастую проще заплатить Infura за предоставление уже действующей ноды, а все ресурсы направить на свой продукт.

Проще говоря, Infura —это хороший инструмент, но это шаг назад, к централизации.
Обновление политики конфиденциальности ConsenSys
24 ноября 2022 было выпущено обновление политики конфиденциальности, из которого следует:
При использовании Infura в качестве RPC* в MetaMask компания ConsenSys будет собирать IP-идентификаторы и адреса кошельков пользователей.

*RPC — удаленный вызов процедур

Данные будут собираются различными способами и могут включать:

  • имя, фамилию, юзернейм или аналогичный идентификатор, имя клиента, дату рождения и пол;
  • почтовый адрес, электронную почту и номер телефона;
  • имя пользователя и пароль, интересы, предпочтения, отзывы и ответы на опросы;
  • обратную связь и переписку;
  • финансовую информацию;
  • платежные реквизиты и данные о транзакциях вроде сведений о покупках через сервисы ConsenSys;
  • данные об использовании продуктов компании;
  • маркетинговую информацию;
  • адрес кошелька Ethereum, API-ключ и сетевую информацию, касающуюся транзакций.

При использовании другого RPC в MetaMask сбор указанных данных не предусмотрен.
Вероятно, некоторые пользователи скажут, что при регистрации и (или) использовании кошелька MetaMask никакие такие данные не указывают, а все это только формальные нормативные документы. Нам же кажется, что весьма вероятно: ConsenSys сможет собрать многие из этих данных с помощью ML-алгоритмов и технологии FingerPrint.
Fingerprint или Footprint — это полный цифровой отпечаток устройства, состоящий из информации о вашей операционной системе, настройках, активных браузерах, установленных плагинах и т.д.

Вы сами можете проверить свой «отпечаток» по ссылке.
Fingerprint собирает множество данных. На рисунке выше приведена лишь их некоторая часть.

Технология Fingerprint в сочетании c ML-алгоритмами позволяет узнавать одного и того же пользователя на разных сайтах или во время разных визитов. ConsenSys останется соединить этот цифровой отпечаток с ресурсом, где будут фигурировать ваша электронная почта, имя, платежные реквизиты… — в общем, все те данные, которые MetaMask заявил в своей новой политике безопасности.

Во-первых, компания ConsenSys располагает рядом собственных решений:
Во-вторых, ConsenSys может договориться со сторонними организациями о покупке или обмене нужной информацией. Естественно с соблюдением законодательства о персональных данных :)
Комментарии разработчиков ConsenSys
Компания объяснила свое решение стремлением улучшить предоставляемые услуги, а также обеспечить безопасность, защиту от мошенничества и соответствие нормативно-правовым требованиям.

С согласия пользователей персональные данные могут передать аффилированным организациям, профессиональным советникам и провайдерам услуг для выполнения требований законов.

В ConsenSys предупредили, что при некоторых обстоятельствах компания может деанонимизировать личные данные без дополнительного уведомления. Команда использует стандартные отраслевые меры безопасности и не несет ответственности за перехват, изменение или потерю информации.
Реакция WEB3 мира
В сообществе предложили переключиться с Infura на Alchemy и использовать Trust Wallet и Rainbow в качестве альтернативы кошельку от ConsenSys.

Основатель Uniswap Хейден Адамс пообещал добавить встроенную опцию отказа от сбора обезличенных данных и добавил, что пользователи могут отключить подобную аналитику с помощью блокировщика рекламы.
По нашему мнению, Uniswap поступают достаточно тактично, дав пользователю выбор отключения опции, но, судя по тому, что возможность отключения функции сбора данных предоставляется на данный момент только с помощью блокировщика рекламы, данные до сих пор открыто собираются.

Мы предполагаем, что в дальнейшем данная опция будет по умолчанию включенной. С большой вероятностью, пока пользователь будет отключать функцию сбора данных, все данные с помощью технологии FingerPrint уже будут собраны.
Кто еще обновил политику конфиденциальности
21 ноября 2022 Uniswap обновила правила сбора пользовательских данных.

DEX использует определенные сетевые данные и связанные с криптокошельками клиентов сведения для «принятия обоснованных решений и совершенствования обслуживания».

Разработчики уточнили, что это относится к идентификаторам мобильных устройств, файлам cookie, информации локального хранилища, данных об ОС, языках ПО и версии браузера. Сведения помогают, например, изучать предпочтения пользователей и улучшать взаимодействие.
Uniswap подтвердила, что проверяет кошельки клиентов с помощью сторонних аналитических инструментов для выявления незаконной деятельности.

Биржа также предупредила пользователей, что может делиться определенными данными с поставщиками инфраструктурных услуг вроде Infura и Cloudflare.

Также платформа будет передавать имеющиеся сведения по запросу судебных органов и, в случае необходимости, третьей стороне для соблюдения комплаенса.

К своему обновлению команда добавила:
Прежде всего, мы не собираем и не храним личную информацию, такую, как имя, фамилия, почтовый адрес, дата рождения, электронная почта или IP-адрес.
итого
События конца ноября показали, что шаги в сторону централизации сказываются на децентрализованном WEB3 мире явно не лучшим образом.

Компании, которые были (и являются) провайдерами нод, готовы собирать информацию о пользователе там, где сохранность данных шифруется алгоритмами SHA-256, а приватность скрыта за маской безликих, но общедоступных символов.