Обнаружены проблемы с конфиденциальностью Эфириум-расширения MetaMask для Chrome
Недавно на Github было обнаружено, что MetaМask по умолчанию транслирует ETH-адреса своих пользователей на веб-сайты, что вызвало опасения относительно потери конфиденциальности.
В минувшую среду пользователь Github Рrojectoblio обнаружил, что конфигурация по умолчанию MetaMask может раскрыть личную информацию своих пользователей, если она привязана к адресу их Эфириум-кошельков.
На базовом уровне тот факт, что вы имеете ETH-адрес, который транслируется на каждый сайт и трекер, может быть использован для увеличения цен, которые вы видите на сайтах, таких как Amazon, Google и другие... Даже перевод ETH между аккаунтами все еще ссылается на ваши учетные данные и может быть использован для изменения ваших данных относительно трудоустройства, медицинского страхования, факторов рисков кредитования и т. д. на основе ваших склонностей или показателей здоровья,
- написал пользователь, объясняя риски.
Это не первый случай, когда высказываются такие беспокойства, поскольку MetaMask ранее отвечал на обсуждение по этому поводу, включив режим конфиденциальности (Privacy Mode) по умолчанию состоянием на 6 ноября прошлого года.
Однако, как объясняет Рrojectoblio, этого недостаточно. Несмотря на то, что режим конфиденциальности удаляет часть информационного обмена, который MetaMask имеет с веб-сайтами, он не удаляет отдельные трансляции сообщений, которые можно использовать для экстраполяции данных от посетителей.
Введение определенного кода в консоли, который теоретически может быть запущен сайтом, передает сообщение объекта данных, которое содержит ETH-адрес пользователя. Это сообщение появляется каждые 40 секунд.
Есть много других способов взаимодействовать с расширением Chrome, кроме передачи уникальных идентификационных данных другим компаниям и они не имеют ничего общего с введенным web3,
- добавил Рrojectoblio.
Примерно через день Дэн Финли (Dan Finlay) - ведущий разработчик в MetaMask - ответил на вопрос Github, добавив, что нет другого способа должным образом сделать работу платформы без всякой коммуникации информации на веб-сайтах, которые ее просят.
Для того, чтобы предоставить сайтам API, мы должны общаться с помощью скрипта на определенную страницу... Мы должны включить режим конфиденциальности по умолчанию, и медленно, но мы это делаем. Мы будем делать это быстрее, но убеждаемся, чтобы не навредить сайту... мы отвергаем все ваши обвинения, что это какой-то специальный акт с нашей стороны. Это был бы самый крутой шаг, который мы могли бы сделать на полностью открытом криптовалютном проекте,
- сказал Финли.
Дилемма здесь заключается в том, что для того, чтобы программа имела возможность передавать информацию на любой сайт, который просит ее, пользователи наконец должны признать, что небольшая часть их приватности потенциально может быть открыта.