La polemica sta crescendo perché il portafoglio MetaMask ha rivelato in una nuova informativa sulla privacy di raccogliere dati sensibili sui suoi utenti. Le squadre hanno dovuto spiegare cosa si fa con i dati, ma questo non è bastato a placare la comunità.
MetaMask e i dati raccolti
Ieri abbiamo riferito che MetaMask avrebbe raccolto i dati IP dei suoi utenti per impostazione predefinita, tramite la sua società madre ConsenSys. Un cambiamento che ha mandato in fibrillazione la comunità, dato che le pratiche delle società di criptovalute sono state oggetto di particolare attenzione per settimane. Per calmare la situazione, MetaMask ha rilasciato una dichiarazione, spiegando che questi dati non sono stati utilizzati:
“La nostra politica ha sempre spiegato che alcune informazioni vengono raccolte automaticamente su come gli utenti utilizzano i nostri siti, compreso il fatto che queste informazioni possono includere gli indirizzi IP. “
Quindi niente di nuovo per MetaMask, che spiega che quando gli utenti interagiscono con le blockchain tramite una terza parte, come Infura, quest’ultima raccoglie sia l’indirizzo IP che l’indirizzo del portafoglio per fornire il servizio. Come promemoria, Infura è il servizio che collega il portafoglio ai browser utilizzati con MetaMask.
Dan Finlay, uno dei co-fondatori di MetaMask, ha anche affermato che questo problema potrebbe essere “risolto” a breve, sostenendo che questi indirizzi IP sono stati memorizzati solo temporaneamente e non utilizzati:
Penso che potremo risolvere il problema al più presto. Non utilizziamo gli indirizzi IP anche se vengono memorizzati temporaneamente, cosa che non è necessaria, in quanto non li utilizziamo per nulla.
– Dan Finlay (@danfinlay) November 24, 2022
Indirizzi utente collegati a un singolo indirizzo IP
Ma questo non è bastato a placare la comunità. Lo sviluppatore Micah Zoltu ha sottolineato su Twitter che quando gli utenti aprono MetaMask, Infura raccoglie il loro indirizzo IP e tutti gli indirizzi di portafoglio associati. Se è collegato un portafoglio Ledger, anche gli indirizzi collegati saranno raccolti da Infura:
La loro politica deve essere aggiornata per dire:
Non appena si sblocca l’account, Infura raccoglie l’indirizzo IP e *tutti* gli indirizzi. Inoltre, quando si collega un libro mastro, tutti gli indirizzi vengono inviati anche a Infura.https://t.co/1MnmhKWp9i– Micah Zoltu (@MicahZoltu) November 24, 2022
Ciò significa che un indirizzo IP è collegato a un gruppo di indirizzi appartenenti alla stessa persona. Questo crea di fatto un database particolarmente vulnerabile. Come hanno sottolineato diversi commentatori, MetaMask lo fa per motivi di efficienza: consente di creare una sola query per aggiornare i vari saldi degli indirizzi elencati.
Ma questo giustifica la potenziale esposizione degli utenti? Questa è la domanda che ci si pone. La comunità ha manifestato la propria sfiducia. Nel contesto di incertezza che ha fatto seguito al caso FTX, i fornitori di servizi sono particolarmente sotto esame – e le loro azioni analizzate.
