Vào ngày 5 tháng 12, CryptoSlate đã đăng một bài báo về những lo ngại về quyền riêng tư liên quan đến việc sử dụng ví MetaMask, cụ thể là cách một tiết lộ công khai gần đây tiết lộ việc ghi nhật ký địa chỉ IP của người dùng.
Để đối phó với phản ứng dữ dội, công ty mẹ của MetaMask là ConsenSys đã phát hành một bản tường trình giải quyết các mối quan tâm được nêu ra.
Cộng đồng tiền điện tử khó chịu về chính sách thu thập dữ liệu
Một chính sách quyền riêng tư được cập nhật, được phát hành vào ngày 24 tháng 11, đã tiết lộ việc theo dõi địa chỉ IP của người dùng khi gửi giao dịch, áp dụng cho những người dùng để cài đặt Cuộc gọi thủ tục từ xa (RPC) mặc định là Infura.
Điều này đã làm dấy lên làn sóng chỉ trích từ cộng đồng tiền điện tử, với một số người bày tỏ sự không hài lòng về chính sách thu thập dữ liệu. Các chiến lược được chia sẻ để phá vỡ việc theo dõi địa chỉ IP bao gồm thay đổi cài đặt RPC thành nhà cung cấp khác và chạy nút Ethereum.
ConsenSys chỉ ra rằng chính sách quyền riêng tư được cập nhật đã được thực hiện để mang lại sự minh bạch hơn cho các hoạt động của nó. Nhưng việc ghi lại địa chỉ IP khi gửi giao dịch luôn được thực hiện trong quá trình sử dụng MetaMask thông thường.
“Những cập nhật này chỉ nhằm mục đích cung cấp tính minh bạch cao hơn cho các hoạt động hiện có và không mô tả sự thay đổi trong hoạt động kinh doanh của chúng tôi.”
Tuy nhiên, công ty cho biết phản hồi của cộng đồng đã thúc đẩy họ “ưu tiên tốt hơn quyền riêng tư của người dùng MetaMask và Infura.” Vì lý do đó, ConsenSys muốn làm rõ những hiểu lầm và cung cấp thông tin chi tiết về những gì họ đang làm để giải quyết các mối lo ngại về quyền riêng tư.
ConsenSys cho biết họ hỗ trợ cơ quan người dùng
Sau khi đọc Điều khoản dịch vụ, người sáng lập Boxmining, Michael Gu, đã suy đoán rằng MetaMask có thể ghi lại địa chỉ IP khi mở ví, không chỉ khi gửi giao dịch.
Tuyên bố của ConsenSys đã làm rõ các yêu cầu “đã đọc”, chẳng hạn như mở ví để kiểm tra số dư, không đăng nhập địa chỉ IP. Tuy nhiên, các yêu cầu “ghi”, khi thực hiện các giao dịch và thông qua dịch vụ điểm cuối Infura, sẽ thu thập địa chỉ IP để đảm bảo “việc truyền, thực thi giao dịch thành công và các chức năng dịch vụ quan trọng khác như cân bằng tải và bảo vệ DDoS”.
Công ty cũng muốn làm rõ rằng:
- Địa chỉ IP và dữ liệu địa chỉ ví liên quan đến giao dịch được lưu trữ riêng biệt nên không thể liên kết chúng với nhau.
- Dữ liệu người dùng, bao gồm cả địa chỉ IP, sẽ bị xóa theo chính sách lưu giữ dữ liệu của công ty. Các kế hoạch được đưa ra để giảm thời gian xóa xuống còn bảy ngày.
- Nó không bán dữ liệu được thu thập cho bên thứ ba.
Nhận xét về việc thay đổi nhà cung cấp RPC thành một giải pháp thay thế không phải của Infura, ConsenSys cảnh báo rằng những người dùng làm như vậy vẫn phải tuân theo chính sách dữ liệu của nhà cung cấp điểm cuối mới. Trong khi chạy một nút không có gì đảm bảo che giấu địa chỉ IP.
“Từ góc độ quyền riêng tư, chúng tôi cảnh báo rằng những lựa chọn thay thế này có thể không thực sự mang lại nhiều quyền riêng tư hơn; các nhà cung cấp RPC thay thế có các chính sách quyền riêng tư và thực tiễn dữ liệu khác nhau và việc tự lưu trữ một nút có thể giúp mọi người liên kết tài khoản Ethereum của bạn với địa chỉ IP của bạn dễ dàng hơn.”
Tuy nhiên, từ tuần tới trở đi, người dùng sẽ có quyền truy cập vào trang cài đặt nâng cao mới, cho phép lựa chọn nhà cung cấp RPC thay thế và chức năng từ chối dịch vụ của bên thứ ba. Ngoài ra, công việc phát triển tiếp theo sẽ đi vào bảo mật quy trình RPC, bao gồm cảnh báo rủi ro đối với các nhà cung cấp khả nghi.
Theo Cryptoslate