Експлозивни твърдения: Приложението Ledger Live събира масивни потребителски данни!
Изненадващо разкритие: ентусиастите на цифровата валута изразиха загриженост относно приложението Ledger Live, софтуера с отворен код, който придружава хардуерните портфейли Ledger. Твърденията сочат, че приложението проследява и изпраща информация за потребителите на външна услуга за събиране на данни. Тези твърдения излязоха наяве в социалните медии, където потребителят „rektbuildr“ изложи тревожните открития.
След като проучи мрежовата активност на Ledger Live, rektbuildr твърди:
„В момента, в който влезете в Ledger Live, Ledger Live изпраща данни за активите, които държите в хардуерния си портфейл. Освен това изпраща тонове друга информация за вашия компютър и устройство“.
Изглежда, че приложението предава данни към външна крайна точка на адрес „https://api.segment.io/v1/t“, който е идентифициран като външна услуга за събиране на данни.
Проследяване на всяко натискане на бутон
Съобщава се, че изложеният полезен товар съдържа уникален потребителски идентификатор и ключ за запис, които потенциално идентифицират устройствата на потребителите. Освен това предаваните данни включват подробности за устройството, използване на паметта, версия на операционната система и др. Rektbuildr твърди, че кодът за проследяване на Ledger Live се простира отвъд стандартните анализи, като следи почти всяко кликване. Те споменават: „В момента, в който е извършена проверка на данните на потребителите, те са в процес на обработка:
„Кодът за проследяване е твърде структурен, за да отчита само потребителите и изтеглянията, както правят обикновените приложения. Ledger Live прави анализ на всичко – от изгледи на екрана до кликвания върху бутони, събития за грешки, инсталирания, деинсталации и т.н. На практика проследява всичко. Всичко, което правите в това приложение, се проследява.“
Потребителят X твърди, че „всеки един файл“ на Ledger Live съдържа проследяващи данни за потребителите. Според подателя на сигнала Ledger Live е започнала „интензивна“ кампания за проследяване на потребителите с пускането на версия v1.2.0 на 23 декември 2019 г. Забележително е, че в това издание компанията е превключила проследяването на потребителите от opt-in на opt-out по подразбиране за новите инсталации.
Политика за събиране на данни на приложението Ledger Live
Освен това самата политика за поверителност на Ledger Live разкрива, че тя събира и запазва различни потребителски данни, включително идентификатори на сесиите на устройствата, IP адреси (предавани, но не съхранявани, според Ledger), данни за транзакциите и др.
Според „не толкова личната“ политика за поверителност събраната информация се споделя с доставчици на технически услуги, дъщерни дружества, партньори и потенциално други дружества в бъдеще. В нея се посочва:
„Споделяме вашите данни с нашите доставчици на технически услуги, дъщерни дружества, партньори и други дружества, на които бихме могли да продадем или възложим всички или част от нашите дейности. Административните или съдебните органи или всяка друга упълномощена трета страна, когато това споделяне на данни е предвидено в закона.“
Спорът предизвиква запитвания относно действителната анонимност на събраните данни, особено като се има предвид широкият кръг от субекти, с които Ledger споделя информация за потребителите. Въпреки твърдението на Ledger, че не се запазват IP адреси, съществуват продължителни опасения относно потенциалната възможност за идентифициране на предаваните данни.
Понастоящем потребителите на Ledger Live търсят разяснения от компанията относно практиките за събиране на данни и основанията за споделяне на информация с външни организации. Твърденията биха могли да имат значителни последици за репутацията на Ledger и доверието на потребителите, като подчертават спешната необходимост от по-голяма прозрачност и етични практики в областта на данните в сектора на цифровите активи.