MetaMask thừa nhận tạm thời lưu trữ địa chỉ IP

Dan Finlay, đồng sáng lập của MetaMask cho biết: “Chúng tôi không sử dụng địa chỉ IP ngay cả khi chúng được lưu trữ tạm thời, điều mà chúng không cần thiết, vì chúng tôi không sử dụng chúng cho bất kỳ mục đích gì”.

Điều đó tuân theo những tiết lộ liên quan đến GDPR của ConsenSys, công ty mẹ của MetaMask, rằng Infura sẽ thu thập địa chỉ IP và địa chỉ ethereum của bạn, thực tế là liên kết cái này với cái kia.

Infura là nhà cung cấp cơ sở hạ tầng nút và đóng vai trò là nút mặc định của MetaMask. Do đó, khi các giá trị mặc định đó được sử dụng, MetaMask cũng sẽ lưu trữ IP của bạn.

Micah Zoltu, một nhà phát triển ethereum, cho biết IP được thu thập không chỉ khi bạn gửi một giao dịch mà còn khi bạn mở khóa – như khi đăng nhập vào – MetaMask.

“Ngay sau khi bạn mở khóa tài khoản của mình, Infura sẽ thu thập địa chỉ IP và tất cả các địa chỉ của bạn. Ngoài ra, khi bạn kết nối sổ cái, nó cũng sẽ gửi tất cả các địa chỉ đó đến Infura,” Zoltu nói.

Finlay nói, đó chỉ là các yêu cầu hàng loạt để hiển thị số dư. “Chúng tôi không làm bất cứ điều gì ác ý ở đây, mọi người chỉ đang dự đoán những nỗi sợ hãi tồi tệ nhất của họ,” anh nhấn mạnh.

Finlay xác nhận rằng nếu một điểm gọi thủ tục từ xa (RPC) khác được sử dụng, chẳng hạn như nút của riêng bạn, thì MetaMask sẽ không thu thập IP.

Tuy nhiên, việc chạy nút của riêng bạn có thể là một quá trình phức tạp đòi hỏi nhiều dung lượng lưu trữ hơn so với một máy tính thông thường có thể có, nhưng dung lượng lưu trữ lại rẻ và đối với bất kỳ ai thực sự muốn có sự riêng tư hoàn toàn, bạn có thể chạy một nút trên Raspberry Pi.

Hoặc bạn chỉ có thể chạy VPN. Đối với những người sử dụng tiền điện tử ở Hoa Kỳ nói riêng, những người bị cấm tham gia một số dapp và dự án do các hạn chế của SEC, việc chạy VPN sẽ trở nên phổ biến vì quyền riêng tư nói chung.

Tuy nhiên, phần lớn có thể sẽ kết nối thông qua IP đơn giản của họ và thông qua Infura thay vì nút riêng của họ. Finlay khẳng định rằng ngay cả đối với những người dùng đó, việc thu thập IP là ngẫu nhiên.

Ông nói: “Một số phần mềm, bao gồm cả cơ sở hạ tầng đám mây mà chúng tôi có thể sử dụng, có thể ghi nhật ký theo mặc định mà không rõ ràng, vì vậy chúng tôi cần từ chối rủi ro đó trong khi tìm kiếm và loại bỏ những rủi ro đó. “Về cơ bản: giả sử nếu bạn truy cập vào một máy chủ công cộng thì sẽ có một bản ghi rủi ro đang xảy ra, thậm chí là vô tình.”

Trong khi Joseph Lubin, người sáng lập ConsenSys, làm rõ rằng địa chỉ và liên lạc IP với Infura hoặc blockchain và trình duyệt của bạn là cần thiết để cung cấp dịch vụ. Anh ta nói:

“Đầu tiên, địa chỉ blockchain là cần thiết vì nó là một phần của yêu cầu được gửi tới blockchain.

Địa chỉ IP cũng được yêu cầu để định tuyến phản hồi lại cho người yêu cầu.”

Tuy nhiên, MyEtherWallet (MEW) đã đưa ra tuyên bố rằng họ không thu thập địa chỉ IP, tuyên bố rằng “chúng tôi chưa bao giờ và sẽ không bao giờ thu thập thông tin nhận dạng từ người dùng của mình”.

MEW dường như chạy cơ sở hạ tầng nút của riêng mình và có tiện ích mở rộng trình duyệt có tên là Enkrypt.

Mã của Enkrypt là nguồn mở, vì vậy bạn có thể xác minh rằng họ không thực sự thu thập dữ liệu, nhưng cơ sở hạ tầng nút mà MEW chạy rõ ràng không phải là nguồn mở, vì vậy bạn không thể chắc chắn.

Do đó, tùy chọn tốt nhất là chạy VPN hoặc kết nối với nút của riêng bạn, từ lâu người ta đã biết rằng các nút có thể thu thập IP kết nối với nó, với vấn đề MetaMask này cũng không phải là trạng thái mới như Finlay nói:

“Chúng tôi không [chỉ] bắt đầu [thu thập IP], chúng tôi thực sự đang cố gắng giảm mọi trường hợp PII được lưu trong bộ nhớ cache. Đây là thông báo pháp lý tuân thủ GDPR [rằng họ thu thập IP].”