Biometrisk datasikkerhed under lup efter Coinbase-retssag; ekspert opfordrer til modulær privatlivsbeskyttelse

Patchwork af statslige privatlivsregler

Et gruppesøgsmål, der for nylig blev indgivet mod kryptovalutabørsen Coinbase, har igen sat fokus på teknologivirksomheders indsamling og brug af biometriske data. Selvom søgsmålet er baseret på Coinbases påståede undladelse eller nægtelse af at overholde den amerikanske stat Illinois’ Biometric Information Privacy Act, fremhæver gruppesøgsmålet ikke desto mindre de udfordringer, som teknologifirmaer, der betjener kunder eller brugere i mere end en jurisdiktion, står overfor.

Web3- og teknologivirksomheder er ofte overbeviste om, at deres indsamling eller brug af biometriske data opnået fra kunder er i overensstemmelse med loven. Tidligere tilfælde, hvor selv virksomhedsgiganter som Google blev tvunget til at udbetale over 1,3 milliarder dollars for at løse overtrædelser af loven om databeskyttelse, synes at understøtte ideen om en omfattende føderal lov om databeskyttelse frem for en patchwork af statslige regler.

Dog for kunder eller brugere, hvis følsomme biometriske data opfanges af top-Web3-firmaer, herunder krypto-børser, er indsatsen endnu højere. De voksende hændelser, hvor kryptovaluta-brugere med betydelige beholdninger bliver målrettet af bevæbnede bander, synes at antyde, at cyberkriminelle kan være i besiddelse af følsomme brugeroplysninger, herunder biometriske data.

Som den seneste Coinbase cyberangreb sag demonstrerer, kan tilladelse af adgang til brugerdata for ikke-essentielle medarbejdere vise sig at være kostbar i økonomiske termer. Men som Michael Arrington, medstifter af Arrington Capital, for nyligt sagde, vil de menneskelige omkostninger ved dette sandsynligvis være meget højere end de stjålne 400 millioner dollars. Denne påstand understøttes tilsyneladende af de stadigt hyppigere hændelser, hvor krypto-influencers eller indehavere af betydelige kryptoaktiver bliver målrettet af bevæbnede kriminelle.

I en nylig hændelse blev Festo Ivaibi, grundlæggeren af en Uganda-baseret krypto- og blockchain-uddannelsesplatform, bortført af kriminelle, der udgav sig for at være medlemmer af landets sikkerhedsstyrker. Under prøvelsen blev Ivaibi overfaldet af de kriminelle, der syntes at være klar over, at han havde betydelig krypto opbevaret i sin Binance-pung. Grundlæggeren mistede i sidste ende 500.000 dollars, men blev efterladt i live til at fortælle historien. Både Coinbase-cyberangrebet og den afrikanske grundlæggers oplevelse viser, hvordan det forholder sig med opbevaring af følsomme brugerdata og hvem der har adgang til dem.

‘Privatliv ved Arkitektur, Ikke Privatliv ved Håb’

I mellemtiden demonstrerer Arringtons opfordring til straf, herunder fængsel for ledere af virksomheder, der fejler i at håndtere brugerdata korrekt, de vanskeligheder, som Web3- og teknologifirmaer står overfor, når de indsamler og opbevarer følsomme kundeoplysninger. Det dilemma, virksomheder som Coinbase og andre står overfor, viser også, hvor begrænset beskyttelsen for Web3-virksomheder i øjeblikket er. Så hvordan kan virksomheder sikre sikkerheden for Web3-identitetssystemer?

Ifølge nogle eksperter ligger løsningen i modulær privatlivsarkitektur, der prioriterer fleksibilitet og brugerkontrol frem for stive, biometrisk-tunge modeller. I stedet for at tvinge brugere ind i et system, hvor deres biometriske data opfanges og opbevares centralt, tillader denne arkitektur mere tilpasningsdygtige og brugerdrevne privatlivsindstillinger. Dette betyder, at brugere kan vælge, hvordan og hvornår de vil bekræfte aspekter af deres identitet uden nødvendigvis at afsløre de underliggende rå, følsomme data.

Nanak Nihal Khalsa, medstifter af Web3-projektet Holonym, er en fortaler for denne tilgang. Han fortalte Bitcoin.com News, at KYC uden privacy-bevarende design, især zero-knowledge proofs, er en tikkende bombe. Han tilføjede, at så længe udvekslinger og platforme lagrer følsomme brugerdata i centrale databaser, skaber de forråd, der uundgåeligt tiltrækker angribere. Han forklarede, hvorfor en modulær tilgang er banebrydende.

“En modulær tilgang til privatlivsarkitektur ændrer ligningen. Zero-knowledge proofs og andre verificerbare legitimationsoplysninger tillader platforme at opfylde overholdelseskrav uden nogensinde at gemme eller endda se brugernes mest følsomme oplysninger. Identitet bliver et bevis, ikke en fil.”

Medstifteren insisterer på, at sådanne løsninger i stigende grad betyder noget, fordi de data, der indsamles af Web3-virksomheder, kun bliver mere personlige. Han hævder, at afhængighed af biometrik som fingeraftryk eller DNA til identifikation udgør en permanent risiko: når disse kompromitteres, kan de, i modsætning til regeringsudstedte ID’er, ikke nulstilles.

Khalsas Holonym tilbyder en modulær digital identitetsløsning, der bruger ZKPs til privatliv og overholdelse snarere end biometrik. Dens Human ID-protokol har til dato tilladt over 125.000 pseudonymiserede brugere i 180 lande at verificere personlighed uden at afsløre deres identitet. Med et privatlivs-først og decentraliseret design sigter Holonym mod at “bringe digitale rettigheder til verden” ved at opfordre hjemmesider og endda regeringer til at vedtage dens protokol til ID-verifikation. Denne modulære tilgang hjælper ifølge Holonym med at afbøde sikkerhedsrisici og skabe tillid til digital identitet.

I mellemtiden anerkendte Khalsa, at hændelser som det nylige Coinbase-brud fremhæver et dybere problem i kryptoinfrastruktur og understreger, hvor fejlbehæftet identitetssystemer bygget på centraliserede, monolitiske arkitekturer er.

“Fremtiden for overholdelse handler ikke om at indsamle flere data. Det handler om at bevise mere med mindre. Privatliv ved arkitektur, ikke privatliv ved håb,” sagde medstifteren.