Een paar dagen geleden heeft ConsenSys zijn Privacy Policy, waarin een paragraaf is gewijd aan de MetaMask-portemonnee en het aanmeldingsbeleid.
De MetaMask-portemonnee en het nieuwe aanmeldingsbeleid
MetaMask is verreweg een van de meest gebruikte wallets voor Ethereum ter wereld, met meer dan 21 miljoen maandelijks actieve gebruikers, mede omdat het werkt met een browserextensie waarmee de cryptowallet eenvoudig en snel gekoppeld kan worden aan vele websites.
ConsenSys Software Inc. is precies het bedrijf dat deze portemonnee produceert en vrijgeeft, dus de verklaringen erover zijn officieel.
MetaMask stelt gebruikers in staat hun privésleutels op te slaan en te beheren, dus het is een niet-bewarende portemonnee. Het wordt uiteraard gebruikt om cryptocurrencies en op Ethereum gebaseerde tokens te ontvangen en te verzenden, met als bijzonderheid dat het eenvoudig kan worden verbonden met verschillende gedecentraliseerde websites en applicaties.
Op deze manier is het niet alleen mogelijk om transacties op een zeer eenvoudige manier uit te voeren, maar kunnen de websites en dApps zelf de gebruiker authenticeren op de slimme contracten, zij het anoniem.
Een van de altijd geuite kritieken op deze oplossing ligt juist in het beheer van gebruikersgegevens.
Hoewel de niet-bewarende portemonnee in theorie de gebruiker de volledige en exclusieve controle over zijn gegevens zou moeten geven, waardoor een goed niveau van privacy wordt gegarandeerd, zou het in werkelijkheid mogelijk informatie kunnen verzamelen en delen met derden waardoor gebruikers identificeerbaar kunnen worden.
De registratie van IP's bij inloggen met behulp van de MetaMask-portemonnee
Daarom vergroot het loggen van het IP-adres van de gebruiker alleen maar de kritiek in dit opzicht.
De paragraaf in het nieuwe privacybeleid van ConsenSys zegt dat wanneer Infura als de standaard RPC-provider in MetaMask wordt gebruikt, Infura de IP-adressen en Ethereum-portemonnee-adressen van gebruikers zal verzamelen bij het verzenden van een transactie.
Degenen die niet willen dat deze gegevens worden verzameld, krijgen de mogelijkheid om een externe RPC-provider of hun eigen Ethereum-knooppunt te gebruiken. ConsenSys waarschuwt echter dat ook andere RPC-aanbieders deze informatie verzamelen.
Het is vermeldenswaard dat de Infura RPC-provider is ontwikkeld door ConsenSys zelf en de standaardprovider is in MetaMask.
ConsenSys verzamelt dus standaard de IP-adressen van MetaMask-gebruikers wanneer ze een transactie uitvoeren, en biedt als alternatief alleen de expliciete keuze van een andere RPC-provider, maar zonder aan te geven welke geen gebruikers-IP's verzamelen.
Andere verzamelde informatie
De nieuwe pagina met het privacybeleid van ConsenSys vermeldt ook andere informatie die wordt verzameld, hoewel deze in andere paragrafen wordt vermeld dan die gewijd aan MetaMask.
Een deel van deze informatie wordt rechtstreeks en expliciet aan de gebruiker gevraagd, zoals voor- en achternaam, geboortedatum, postadres, e-mailadres, telefoonnummer, enzovoort.
Anderen worden echter standaard verzameld wanneer u andere ConsenSys-services gebruikt, zoals bijvoorbeeld Codefi verzamelt ook uw land en geboorteplaats, nationaliteit, burgerservicenummer, werkgever, beroep, ID en andere informatie die nodig is om te voldoen aan anti-geld witwaswetten (AML) en KYC-vereisten.
ConsenSys op deze pagina maakt al deze informatie echter openbaar en openlijk, zodat gebruikers goed geïnformeerd kunnen worden over welke gegevens ze aan het bedrijf overhandigen.
ConsenSys is in alle opzichten een privébedrijf, opgericht in 2014 door Joseph Lubin, gevestigd in New York City. Het heeft meer dan 500 werknemers en er zijn geen gegevens over aandeelhouderschap of inkomsten openbaar beschikbaar.
Infur naar
Portemonnees zoals MetaMask bevatten geen Ethereum knoop erin. Ze moeten dus verbinding maken met externe knooppunten om te kunnen functioneren.
Standaard is de RPC-provider (Remote Procedure Call) die ze gebruiken Infura, die in plaats daarvan blockchain-knooppunten beheert. Wanneer iemand een transactie op MetaMask doet, maakt deze verbinding met Infura, die de transactie naar de Ethereum-blockchain verzendt. De verbinding wordt tot stand gebracht via de "Remote Procedure Call", die Infura alle gegevens stuurt zodat het de transactie naar het Ethereum-netwerk kan verzenden.
Bij het installeren van MetaMask is de vooraf ingestelde RPC-provider precies Infura, dus als de gebruiker dit niet verandert, wordt zijn IP geregistreerd wanneer hij een transactie verzendt.
Er zijn echter ook andere RPC-providers beschikbaar waarop gebruikers MetaMask kunnen aansluiten om Infura niet te gebruiken. Voorzichtigheid is echter geboden, want het is niet zeker dat andere RPC-aanbieders daadwerkelijk beter zijn.
De risico's
Het grootste risico op dit moment is dat iemands on-chain transacties herkenbaar zullen zijn.
Alle on-chain transactiegegevens op Ethereum zijn openbaar en in platte tekst, inclusief het portemonnee-adres van de afzender. Het zijn echter anonieme gegevens, waaruit het zeer moeilijk zou moeten zijn om de identiteit van de eigenaar van de portemonnee te achterhalen.
On-chain IP-opname vermindert deze moeilijkheid, waardoor het iets gemakkelijker wordt om uiteindelijk de eigenaar te identificeren.
Eerlijk gezegd heeft ConsenSys nogal wat gegevens om gebruikers te identificeren, hoewel deze identificatie met het eenvoudige gebruik van MetaMask nog steeds moeilijk kan zijn. Als echter ook andere tools, zoals Codefi, worden gebruikt, wordt identificatie veel eenvoudiger.
Desalniettemin wordt de informatie die door ConsenSys over zijn gebruikers wordt verzameld, niet openbaar gemaakt en worden slechts enkele anonieme gegevens op de blockchain vastgelegd.
Ten slotte moet worden toegevoegd dat in werkelijkheid veel gebruikers die een hoge mate van anonimiteit willen behouden, al tools gebruiken om hun IP te verbergen of te wijzigen, zoals zogenaamde VPN's, dus zelfs in het geval dat de RPC-provider deze gegevens vastlegt, het is bijna onmogelijk om het te gebruiken om de eigenaar van de portemonnee te identificeren.
Bron: https://en.cryptonomist.ch/2022/11/25/metamask-wallet-ips-login/