Beberapa hari yang lalu, ConsenSys mengemas kininya Polisi Laman Web, di mana terdapat perenggan khusus untuk dompet MetaMask dan dasar mengenai log masuk.
Dompet MetaMask dan dasar baharu mengenai log masuk
MetaMask setakat ini adalah salah satu dompet yang paling banyak digunakan untuk Ethereum di dunia, dengan lebih daripada 21 juta pengguna aktif bulanan, sebahagiannya kerana ia berfungsi dengan sambungan penyemak imbas yang membolehkan dompet crypto dipautkan dengan mudah dan cepat ke banyak tapak web.
ConsenSys Software Inc. ialah syarikat yang mengeluarkan dan mengeluarkan dompet ini, jadi kenyataannya mengenainya adalah rasmi.
MetaMask membolehkan pengguna menyimpan dan mengurus kunci peribadi mereka, jadi ia adalah dompet bukan jagaan. Ia jelas digunakan untuk menerima dan menghantar mata wang kripto dan token berasaskan Ethereum, dengan keistimewaan bahawa ia boleh disambungkan dengan mudah ke pelbagai laman web dan aplikasi terdesentralisasi.
Dengan cara ini, ia bukan sahaja membolehkan anda melakukan transaksi dengan cara yang sangat mudah, tetapi juga membenarkan tapak web dan dApps sendiri untuk mengesahkan pengguna pada kontrak pintar, walaupun tanpa nama.
Salah satu kritikan yang sentiasa dilemparkan kepada penyelesaian ini terletak tepat pada pengurusan data pengguna.
Walaupun secara teori, dompet bukan jagaan harus meninggalkan pengguna dengan kawalan penuh dan eksklusif terhadap data mereka, memastikan tahap privasi yang baik, pada hakikatnya, ia berpotensi mengumpul dan berkongsi maklumat dengan pihak ketiga yang boleh menjadikan pengguna boleh dikenal pasti.
Rakaman IP semasa log masuk menggunakan dompet MetaMask
Oleh itu, pengelogan IP pengguna hanya meningkatkan kritikan dalam hal ini.
Perenggan dalam dasar privasi baharu ConsenSys mengatakan bahawa apabila menggunakan Infura sebagai pembekal RPC lalai dalam MetaMask, Infura akan mengumpulkan alamat IP pengguna dan alamat dompet Ethereum apabila menghantar transaksi.
Mereka yang tidak mahu data ini dikumpul ditawarkan pilihan untuk menggunakan penyedia RPC pihak ketiga, atau nod Ethereum mereka sendiri. Walau bagaimanapun, ConsenSys memberi amaran bahawa penyedia RPC lain turut mengumpul maklumat ini.
Perlu diingat bahawa penyedia Infura RPC dibangunkan oleh ConsenSys sendiri, dan merupakan pembekal lalai dalam MetaMask.
Jadi secara lalai ConsenSys akan mengumpul alamat IP pengguna MetaMask apabila mereka melakukan transaksi, menawarkan sebagai alternatif hanya pilihan eksplisit pembekal RPC lain tetapi tanpa menunjukkan mana yang tidak mengumpul IP pengguna.
Maklumat lain yang dikumpul
Halaman Dasar Privasi ConsenSys baharu juga menyenaraikan maklumat lain yang dikumpul, walaupun ini disenaraikan dalam perenggan yang berbeza daripada perenggan yang dikhaskan untuk MetaMask.
Sesetengah maklumat ini ditanya secara langsung dan jelas kepada pengguna, yang mungkin termasuk nama pertama dan akhir, tarikh lahir, alamat surat-menyurat, alamat e-mel, nombor telefon dan sebagainya.
Walau bagaimanapun, yang lain dikumpulkan secara lalai apabila anda menggunakan perkhidmatan ConsenSys lain, seperti contohnya Codefi juga mengumpul negara dan tempat lahir anda, kewarganegaraan, nombor keselamatan sosial, majikan, pekerjaan, ID dan maklumat lain yang diperlukan untuk mematuhi anti-wang undang-undang pengubahan haram (AML) dan keperluan KYC.
Walau bagaimanapun, ConsenSys pada halaman ini menjadikan semua maklumat ini terbuka dan terbuka, supaya pengguna dapat dimaklumkan dengan baik tentang data yang mereka serahkan kepada syarikat.
ConsenSys adalah untuk semua maksud dan tujuan sebuah syarikat swasta, yang diasaskan pada 2014 oleh Joseph Lubin, yang berpangkalan di New York City. Ia mempunyai lebih daripada 500 pekerja, dan tiada data mengenai pemilikan atau hasil pemegang saham tersedia untuk umum.
Infura
Dompet seperti MetaMask tidak mengandungi Ethereum nod di dalam mereka. Jadi mereka perlu berhubung dengan nod luaran untuk berfungsi.
Secara lalai, pembekal RPC (Remote Procedure Call) yang mereka gunakan ialah Infura, yang sebaliknya menguruskan nod blockchain. Apabila seseorang membuat urus niaga di MetaMask, ia bersambung ke Infura, yang menghantar urus niaga ke rantaian Ethereum. Sambungan dibuat melalui "Panggilan Prosedur Jauh," yang menghantar Infura semua data supaya ia boleh menghantar transaksi ke rangkaian Ethereum.
Apabila memasang MetaMask, pembekal RPC pratetap adalah tepat Infura, jadi jika pengguna tidak mengubahnya IP mereka akan direkodkan apabila mereka menghantar transaksi.
Walau bagaimanapun, pembekal RPC lain juga tersedia di mana pengguna boleh menyambungkan MetaMask agar tidak menggunakan Infura. Walau bagaimanapun, berhati-hati mesti dilakukan kerana tidak pasti bahawa penyedia RPC lain sebenarnya lebih baik.
Risiko
Risiko terbesar pada ketika ini ialah transaksi dalam rantaian seseorang akan dapat dikenali.
Semua data transaksi dalam rantaian pada Ethereum adalah awam, dan dalam teks biasa, termasuk alamat dompet pengirim. Walau bagaimanapun, ia adalah data tanpa nama, dari mana ia sepatutnya sangat sukar untuk mengesan identiti pemilik dompet.
Rakaman IP dalam rantaian mengurangkan kesukaran ini, menjadikannya lebih mudah untuk akhirnya mengenal pasti pemiliknya.
Sejujurnya, ConsenSys mempunyai sedikit data untuk mengenal pasti pengguna, walaupun dengan penggunaan mudah MetaMask pengenalan ini mungkin masih sukar. Walau bagaimanapun, jika alat lain, seperti Codefi, juga digunakan, pengenalan menjadi lebih mudah.
Namun begitu, maklumat yang dikumpul oleh ConsenSys mengenai penggunanya tidak didedahkan kepada umum, dan hanya beberapa data tanpa nama direkodkan pada blockchain.
Akhir sekali, perlu ditambah bahawa pada hakikatnya ramai pengguna yang ingin mengekalkan tahap kerahasiaan tinggi telah menggunakan alat untuk menyembunyikan atau menukar IP mereka, seperti yang dipanggil VPN, jadi walaupun dalam kes penyedia RPC merekodkan data ini, hampir mustahil untuk menggunakannya untuk mengenal pasti pemilik dompet.
Sumber: https://en.cryptonomist.ch/2022/11/25/metamask-wallet-ips-login/