Entuzjaści cyfrowej waluty wyrazili zaskakujące obawy dotyczące aplikacji Ledger Live, oprogramowania towarzyszącego typu open-source dla portfeli sprzętowych Ledger. Zarzuty sugerują, że aplikacja śledzi i wysyła informacje o użytkownikach do zewnętrznej usługi gromadzenia danych. Twierdzenia te wyszły na jaw w mediach społecznościowych, gdzie użytkownik “rektbuildr” przedstawił niepokojące odkrycia.
Po zbadaniu aktywności sieciowej Ledger Live, rektbuildr stwierdził:
“Ledger Live wysyła dane dotyczące aktywów przechowywanych w portfelu sprzętowym w momencie uzyskania dostępu do Ledger Live. Wysyła również mnóstwo innych informacji o komputerze i urządzeniu”.
Aplikacja wydaje się przesyłać dane do zewnętrznego punktu końcowego pod adresem “https://api.segment.io/v1/t”, który jest identyfikowany jako zewnętrzna usługa gromadzenia danych.
Śledzenie każdego kliknięcia przycisku
Ujawniony ładunek podobno zawiera unikalny identyfikator użytkownika i klucz zapisu, potencjalnie identyfikujący urządzenia użytkowników. Ponadto przesyłane dane obejmują szczegóły urządzenia, wykorzystanie pamięci masowej, wersję systemu operacyjnego i inne. Rektbuildr twierdzi, że kod śledzący Ledger Live wykracza poza standardową analitykę, monitorując prawie każde kliknięcie. Wspomnieli oni:
“Kod śledzenia jest zbyt strukturalny, by po prostu zliczać użytkowników i pobrania, jak robią to zwykłe aplikacje. Ledger Live analizuje wszystko, od wyświetleń ekranu po kliknięcia przycisków, zdarzenia błędów, instalacje, odinstalowania itp. W zasadzie śledzi wszystko. Wszystko, co robisz w tej aplikacji, jest śledzone”.
Użytkownik X twierdzi, że “każdy pojedynczy plik” w Ledger Live zawiera elementy śledzące użytkownika. Według informatora, Ledger Live zainicjował “intensywną” kampanię śledzenia użytkowników wraz z wydaniem v1.2.0 w dniu 23 grudnia 2019 roku. Warto zauważyć, że w tej wersji firma domyślnie przełączyła śledzenie użytkowników z opt-in na opt-out dla nowych instalacji.
Polityka gromadzenia danych w aplikacji Ledger Live
Co więcej, sama polityka prywatności Ledger Live ujawnia, że gromadzi i przechowuje różne dane użytkowników, w tym identyfikatory sesji urządzeń, adresy IP (przesyłane, ale nie przechowywane, według Ledger), szczegóły transakcji i inne.
Zgodnie z “nie tak prywatną” polityką prywatności, zebrane informacje są udostępniane dostawcom usług technicznych, spółkom zależnym, partnerom i potencjalnie innym firmom w przyszłości. Stwierdza ona:
“Udostępniamy Twoje dane naszym dostawcom usług technicznych, spółkom zależnym, partnerom i innym firmom, którym moglibyśmy sprzedać lub scedować całość lub część naszej działalności. Organom administracyjnym lub prawnym lub innym upoważnionym stronom trzecim, w przypadku gdy takie udostępnianie danych jest określone przez prawo”.
Kontrowersje skłaniają do zastanowienia się nad faktyczną anonimowością zgromadzonych danych, zwłaszcza biorąc pod uwagę szeroki zakres podmiotów, którym Ledger udostępnia informacje o użytkownikach. Pomimo zapewnień Ledger, że adresy IP nie są przechowywane, wciąż istnieją obawy dotyczące potencjalnej identyfikowalności przesyłanych danych.
Użytkownicy Ledger Live domagają się obecnie od firmy wyjaśnień dotyczących praktyk gromadzenia danych i uzasadnienia udostępniania informacji podmiotom zewnętrznym. Zarzuty te mogą mieć potencjalnie znaczące reperkusje dla reputacji Ledger i zaufania użytkowników, podkreślając pilną potrzebę zwiększenia przejrzystości i etycznych praktyk w zakresie danych w sektorze aktywów cyfrowych.