A controvérsia cresce à medida que a carteira da MetaMask revela, numa nova política de privacidade, que estava a recolher dados sensíveis sobre os seus utilizadores. As equipas tiveram de explicar o que estava a ser feito com os dados, mas isso não foi suficiente para apaziguar a comunidade.
MetaMask e os dados que recolheram
Noticiámos ontem que a MetaMask estaria a recolher dados de IP dos seus utilizadores por defeito, através da sua empresa-mãe ConsenSys. Uma mudança que enviou a comunidade para uma situação complicada, uma vez que as práticas das empresas criptográficas têm estado sob escrutínio especial durante semanas. Para acalmar a situação, a MetaMask emitiu uma declaração, explicando que estes dados não foram utilizados:
“A nossa política sempre explicou que certas informações são automaticamente recolhidas sobre a forma como os utilizadores utilizam os nossos sítios, incluindo o facto de estas informações poderem incluir endereços IP”
Por isso nada de novo para a MetaMask, o que explica que quando os utilizadores interagem com cadeias de bloqueio através de terceiros, como o Infura, este último recolhe tanto o endereço IP como o endereço da carteira de forma a fornecer o serviço. Como lembrete, Infura é o serviço que liga a carteira aos navegadores utilizados com a MetaMask.
Dan Finlay, um dos co-fundadores da MetaMask, também disse que isto poderia ser “corrigido” em breve, alegando que estes endereços IP eram apenas armazenados temporariamente e não eram utilizados:
Pensei que podemos arranjar isto em breve. Não estamos a usar endereços IP mesmo que estejam a ser armazenados temporariamente, o que não é necessário, pois não os estamos a usar para nada.
– Dan Finlay (@danfinlay) 24 de Novembro de 2022
Endereços de utilizador ligados a um único endereço IP
Mas isso não foi suficiente para apaziguar a comunidade. O programador Micah Zoltu salientou no Twitter que quando os utilizadores abrem a MetaMask, a Infura recolhe o seu endereço IP, bem como todos os endereços de carteira associados. Se uma carteira de Ledger estiver ligada, os endereços ligados também serão recolhidos por Infura:
A sua política precisa de ser actualizada para dizer:
Assim que desbloquear a sua conta, Infura irá recolher o seu endereço IP e *todos* os seus endereços. Além disso, quando liga um livro razão, enviará também todos esses endereços para Infura.https://t.co/1MnmhKWp9i– Micah Zoltu (@MicahZoltu) 24 de Novembro de 2022
O que isto significa é que um endereço IP está ligado a um grupo de endereços pertencentes à mesma pessoa. Isto cria efectivamente uma base de dados particularmente vulnerável. Como vários comentadores salientaram, a MetaMask faz isto por razões de eficiência: permite apenas a criação de uma única consulta a fim de actualizar os vários saldos nos endereços listados.
Mas será que isto justifica uma potencial exposição dos utilizadores? Essa é a questão que está a ser colocada. A comunidade fez saber a sua desconfiança. No contexto da incerteza que se seguiu ao caso FTX, os prestadores de serviços estão a ser particularmente analisados – e as suas acções analisadas.