Виявлено проблеми з конфіденційністю Етереум-розширення MetaMask для Chrome


Published on 26 Mar. 2019
Business 3085138 1280

Нещодавно на Github було виявлено, що MetaМask за замовчуванням транслює ETH-адреси  своїх користувачів на веб-сайти, що викликало побоювання щодо втрати конфіденційності.

У минулу середу користувач Github Рrojectoblio виявив, що конфігурація за замовчуванням MetaMask може висвітлити особисту інформацію своїх користувачів, якщо вона прив'язана до адреси їхніх Етереум-гаманців.

На базовому рівні той факт, що ви маєте ETH-адресу, яка транслюється на кожен сайт і трекер, може бути використаний для збільшення цін, які ви бачите на сайтах, таких як Amazon, Google та інші… Навіть переказ ETH між акаунтами все ще посилається на ваші облікові дані і може бути використаний для зміни ваших даних щодо  працевлаштування, медичного страхування, факторів ризику кредитування тощо на основі ваших схильностей або показників здоров'я,

 - написав користувач, пояснюючи ризики.

Це не перший випадок, коли висловлюються такі занепокоєння, оскільки MetaMask раніше відповідав на обговорення з цього приводу, увімкнувши Режим конфіденційності (Privacy Mode) за замовчуванням станом на 6 листопада минулого року.

Однак, як пояснює Рrojectoblio, цього недостатньо. Незважаючи на те, що режим конфіденційності видаляє частину інформаційного обміну, який MetaMask має з веб-сайтами, він не видаляє окремі трансляції повідомлень, які можна використовувати для екстраполяції даних від відвідувачів.

Введення певного коду в консолі, який теоретично може бути запущено веб-сайтом, передає повідомлення об'єкта даних, яке містить  ETH-адресу користувача. Це повідомлення з'являється кожні 40 секунд.

Є багато інших способів взаємодіяти з розширенням Chrome, окрім передачі унікальних ідентифікаційних даних іншим компаніям і вони не мають нічого спільного з введеним web3,

 - додав Рrojectoblio.

Приблизно через день Ден Фінлі (Dan Finlay) - провідний розробник у MetaMask - відповів на запитання Github, додавши, що немає іншого способу належним чином зробити роботу платформи без будь-якої комунікації з інформацією на веб-сайтах, які її просять.

Для того, щоб надати веб-сайтам API, ми повинні спілкуватися за допомогою скрипта на певну сторінку… Ми повинні ввімкнути режим конфіденційності за замовчуванням, і повільно, але ми це робимо. Ми будемо робити це швидше, але переконуємося, щоб не нашкодити сайту… Ми напевно відкидаємо всі ваші звинувачення, що це якийсь шкідливий акт з нашої сторони. Це був би найкрутіший крок, який ми могли б зробити на повністю відкритому криптовалютному проекті, 

- сказав Фінлі.

Дилема тут полягає в тому, що для того, щоб програма мала можливість передавати інформацію на будь-який веб-сайт, який просить її, користувачі зрештою повинні визнати, що невелика частина їх приватності потенційно може бути відкрита.


More news

Grayscale Capital пропонує роздрібні інвестиції в Eтереумі


Актив вважається одним з найбільш ліквідних, що призводить до рішення про відкриття фонду дрібним інвесторам.

24 May. 2019

Етереум виділить $30 млн для розробки Eтереуму 2 0


У Ethereum Foundation оголосили що виділять $30 млн протягом 12 місяців для продовження розбудови Eтереуму 2.0.

22 May. 2019

Eтереум демонструє рекордні обсяги торгівлі


Останнім часом біткойн займає всю увагу криптоспільноти, оскільки з початку квітня подорожчав удвічі. Eтереум був трохи повільний, але він, нарешті, наздогнав темпи і тепер наближається до критичної точки.

21 May. 2019