Η MetaMask παραδέχεται ότι αποθηκεύει προσωρινά διευθύνσεις IP

«Δεν χρησιμοποιούμε διευθύνσεις IP ακόμη και αν αποθηκεύονται προσωρινά, κάτι που δεν χρειάζεται να είναι, καθώς δεν τις χρησιμοποιούμε για τίποτα», δήλωσε ο Dan Finlay, συνιδρυτής της MetaMask.

Αυτό ακολουθεί τις αποκαλύψεις που σχετίζονται με το GDPR από την ConsenSys, τη μητρική εταιρεία της MetaMask, ότι η Infura θα συλλέξει τη διεύθυνση IP και τη διεύθυνση ethereum, τα οποία στην πραγματικότητα συνδέουν το ένα με το άλλο.

Το Infura είναι ένας πάροχος υποδομής κόμβου και λειτουργεί ως ο προεπιλεγμένος κόμβος του MetaMask. Επομένως, όταν χρησιμοποιούνται αυτές οι προεπιλογές, το MetaMask θα αποθηκεύσει επίσης την IP σας.

Ο Micah Zoltu, προγραμματιστής του ethereum, λέει ότι οι IP συλλέγονται όχι μόνο όταν στέλνετε μια συναλλαγή, αλλά και όταν ξεκλειδώνετε – όπως συνδέεστε στο MetaMask.

«Μόλις ξεκλειδώσετε τον λογαριασμό σας, η Infura θα συλλέξει τη διεύθυνση IP σας και όλες τις διευθύνσεις σας. Επίσης, όταν συνδέετε ένα καθολικό, θα στέλνει όλες αυτές τις διευθύνσεις και στο Infura», είπε ο Zoltu.

Είναι απλώς να ομαδοποιούνται αιτήματα, λέει ο Finlay, να αποδίδονται τα υπόλοιπα. «Δεν κάνουμε τίποτα κακόβουλο εδώ, όλοι απλώς προβάλλουν τους χειρότερους φόβους τους», επιμένει.

Το Finlay επιβεβαιώνει ότι εάν χρησιμοποιείται άλλο σημείο κλήσης απομακρυσμένης διαδικασίας (RPC), όπως ο δικός σας κόμβος, τότε το MetaMask δεν συλλέγει IP.

Ωστόσο, η εκτέλεση του δικού σας κόμβου μπορεί να είναι μια δύσκολη διαδικασία που απαιτεί περισσότερο χώρο αποθήκευσης από ό,τι μπορεί να έχει ένας συνηθισμένος υπολογιστής, αλλά η αποθήκευση είναι φθηνή και για όποιον θέλει πραγματικά πλήρη προστασία της ιδιωτικής ζωής, μπορείτε να εκτελέσετε έναν κόμβο στο Raspberry Pi.

Ή μπορείτε απλώς να εκτελέσετε ένα VPN. Ειδικά για τους κρυπτονιστές των Η.Π.Α., οι οποίοι έχουν αποκλειστεί από ορισμένα dapps και έργα λόγω περιορισμών της SEC, η λειτουργία ενός VPN θα πρέπει να γίνει κοινή για τη γενική προστασία της ιδιωτικής ζωής.

Ωστόσο, η πλειονότητα πιθανότατα θα συνδεθεί μέσω της απλής IP τους και μέσω του Infura και όχι του δικού τους κόμβου. Η Finlay επιμένει ότι ακόμη και για αυτούς τους χρήστες η συλλογή IP είναι τυχαία.

«Κάποιο λογισμικό, συμπεριλαμβανομένης της υποδομής cloud που μπορεί να χρησιμοποιήσουμε, μπορεί να συνδεθεί από προεπιλογή χωρίς να είναι προφανές, επομένως πρέπει να αρνηθούμε αυτόν τον κίνδυνο ενώ αναζητούμε και εξαλείφουμε αυτούς», λέει. "Βασικά: ας υποθέσουμε ότι αν χτυπήσετε έναν δημόσιο διακομιστή, υπάρχουν αρχεία καταγραφής κινδύνου, έστω και κατά λάθος."

Ενώ ο Joseph Lubin, ο ιδρυτής της ConsenSys, διευκρινίζει ότι η διεύθυνση και η IP επικοινωνία με την Infura ή το blockchain και το πρόγραμμα περιήγησής σας είναι απαραίτητα για την παροχή της υπηρεσίας. Αυτος λεει:

«Πρώτον, η διεύθυνση blockchain είναι απαραίτητη επειδή είναι μέρος του αιτήματος που αποστέλλεται σε ένα blockchain.

Η διεύθυνση IP απαιτείται επίσης για να δρομολογηθεί η απάντηση πίσω στον αιτούντα."

Ωστόσο, το MyEtherWallet (MEW) είπε ότι δεν συλλέγει διευθύνσεις IP, ισχυριζόμενος ότι «δεν έχουμε συλλέξει ποτέ και δεν πρόκειται ποτέ να συλλέξουμε αναγνωρίσιμες πληροφορίες από τους χρήστες μας».

Το MEW φαίνεται να εκτελεί τη δική του υποδομή κόμβων και έχει μια επέκταση προγράμματος περιήγησης που ονομάζεται Enkrypt.

Ο κώδικας για το Enkrypt είναι ανοιχτού κώδικα, επομένως μπορείτε να επαληθεύσετε ότι δεν συλλέγουν πραγματικά δεδομένα, αλλά η υποδομή κόμβου που εκτελείται MEW προφανώς δεν είναι ανοιχτού κώδικα, επομένως δεν μπορείτε να είστε σίγουροι.

Ως εκ τούτου, η καλύτερη επιλογή είναι να εκτελέσετε ένα VPN ή να συνδεθείτε με τον δικό σας κόμβο, καθώς είναι γνωστό από καιρό ότι οι κόμβοι μπορούν να συλλέγουν IP που συνδέονται με αυτό, με αυτήν την υπόθεση MetaMask επίσης να μην είναι νέα κατάσταση όπως λέει ο Finlay:

«Δεν [απλώς] αρχίζουμε να [συλλέγουμε IP], στην πραγματικότητα προσπαθούμε να μειώσουμε τυχόν περιπτώσεις αποθηκευμένων PII. Αυτή ήταν μια νομική ειδοποίηση συμμόρφωσης με τον GDPR [ότι συλλέγουν IP]."