תביעה ייצוגית נגד Coinbase העלתה חששות לגבי דרכי האיסוף והאחסון של נתונים ביומטריים על ידי חברות טכנולוגיה. נאנאק ניהל ח’אלסה טוען שהסתמכות על מזהים ביומטריים בלתי נתנים לשינוי מציבה סיכונים קבועים, שכן הם לא יכולים להיות מאופסים לאחר שהם נחשפים.
אבטחת נתוני ביומטריה תחת בדיקה לאחר תביעה נגד Coinbase; מומחה קורא לפרטיות מודולרית
נכתב ע"י
שתף
תמונה מרוכבת של תקנות פרטיות ברמת המדינה
תביעה ייצוגית שהוגשה לאחרונה נגד חברת חילופי הקריפטו Coinbase הובילה שוב את תשומת הלב לאיסוף ושימוש בנתונים ביומטריים על ידי חברות טכנולוגיה. למרות שהתביעה מבוססת על כשלון או סירוב לכאורה של Coinbase לעמוד בחוק הפרטיות של מידע ביומטרי של מדינת אילינוי בארצות הברית, התביעה הייצוגית מדגישה בכל זאת את האתגרים העומדים בפני חברות טכנולוגיה שמשרתות לקוחות או משתמשים ביותר מאזור אחד.
חברות Web3 וחברות טכנולוגיה מרגישות לרוב בטוחות שאיסוף או שימוש שלהן בנתונים ביומטריים שהושגו מלקוחות עולה בקנה אחד עם החוק. עם זאת, מקרים קודמים שבהם אפילו גופים גדולים כמו Google נאלצו להוציא מעל 1.3 מיליארד דולר לפתרון הפרות חוקי פרטיות מידע תומכים ברעיון של קיום חוק פרטיות פדרלי כולל במקום המערכת המפורקת של תקנות ברמת המדינה.
עם זאת, עבור לקוחות או משתמשים שפרטיהם הביומטריים הרגישים נלכדו על ידי חברות Web3 מובילות כולל חילופי קריפטו, ההימור גבוה אף יותר. האירועים הגוברים שבהם משתמשים בקריפטו בעלי נכסים משמעותיים מותקפים על ידי כנופיות חמושות נראה שמרמזים כי פושעי סייבר עשויים להחזיק במידע משתמש רגיש, כולל נתונים ביומטריים.
כמו שהמקרה האחרון של המתקפה הסייברית על Coinbase מדגים, מתן גישה לעובדים לא חיוניים לנתוני משתמש עלול להיות יקר במונחים כספיים. עם זאת, כפי שמיכאל ארינגטון, מייסד שותף של Arrington Capital, ציין לאחרונה, המחיר האנושי יהיה ככל הנראה גבוה בהרבה מ-400 מיליון דולר שנגנבו. ההצהרה הזו נתמכת לכאורה על ידי האירועים שבהם בעלי השפעה בקריפטו או מחזיקי נכסים קריפטו משמעותיים הם יעדים לפושעים חמושים.
באירוע אחד לאחרונה, פסטו איובי, מייסד פלטפורמת חינוך לקריפטו ובלוקצ’יין שמבוססת באוגנדה, נחטף על ידי פושעים שמתחזים לחברי כוחות הביטחון של המדינה. במהלך האירועים, איובי הותקף על ידי הפושעים שנראה כי ידעו שיש לו נכסי קריפטו משמעותיים בארנק Binance שלו. המייסד בסופו של דבר איבד 500,000 דולר אך נותר בחיים כדי לספר את סיפורו. גם המתקפה הסייברית על Coinbase וגם המפגש של המייסד האפריקאי מדגימים עד כמה חשוב האופן שבו נתוני משתמש רגישים נאגרים ומי יכול לגשת אליהם.
‘פרטיות על ידי ארכיטקטורה, לא פרטיות על ידי תקווה’
בינתיים, קריאתו של ארינגטון להעניש, כולל עונש מאסר עבור מנהלי חברות שלא מצליחות לטפל נכון בנתוני משתמש, מדגימה את הקשיים העומדים בפני חברות Web3 וחברות טכנולוגיה שמאגרות ושומרות מידע לקוחות רגיש. הדילמה העומדת בפני חברות כמו Coinbase ואחרות מראה גם כמה מוגבלות ההגנות לחברות Web3 כיום. אז כיצד יכולות חברות להבטיח את בטיחות מערכות זהות Web3?
לפי מספר מומחים, הפתרון טמון בארכיטקטורת פרטיות מודולרית שמעדיפה גמישות ושליטת משתמש, במקום מודלים קשיחים המסתמכים רבות על ביומטריה. במקום לכפות על משתמשים מערכת שבה הנתונים הביומטריים שלהם נלכדים ונשמרים מרכזית, הארכיטקטורה הזו מאפשרת הגדרות פרטיות ניתנות להתאמה ומובלות על ידי המשתמש. פירוש הדבר הוא שמשתמשים יכולים לבחור כיצד ומתי לאמת היבטים של זהותם ללא חשיפת הנתונים הגולמיים והרגישים הבסיסיים.
נאנאק ניהל ח’אלסה, המייסד השותף של פרויקט Web3 Holonym, הוא תומך בגישה זו. הוא אמר ל-Bitcoin.com News כי KYC ללא עיצוב משמר פרטיות, בעיקר הוכחות ידע אפסי, הוא פצצת זמן מתקתקת. הוא הוסיף שכל עוד חילופי ותשתיות מרכזיות אוגרות נתוני משתמשים רגישים במסדי נתונים מרכזיים, הם יוצרים “סיר דבש” אשר בהכרח מושך תוקפים. הוא הסביר מדוע הגישה המודולרית היא פורצת דרך:
“גישת פרטיות מודולרית משנה את הנוסחה. הוכחות ידע אפסי וקרדנשליים אחרים שניתן לאמת מאפשרים לפלטפורמות לעמוד בדרישות התאימות מבלי לשמור או אפילו לראות את המידע הרגיש ביותר של המשתמשים. זהות הופכת להוכחה, לא לקובץ.”
המייסד השותף מתעקש כי פתרונות כאלה הופכים חשובים יותר ויותר מכיוון שהנתונים שנאספים על ידי חברות Web3 הולכים ונעשים יותר אישיים. הוא טוען שההסתמכות על ביומטריה כמו טביעות אצבע או DNA לצורך זיהוי מציבה סיכון קבוע: לאחר שהם נחשפים, בניגוד לתעודות מזהות ממשלתיות, את המזהים האישיים הייחודיים הללו לא ניתן לאפס.
Holonym של ח’אלסה מציעה פתרון זהות דיגיטלית מודולרי שמשתמש ב-ZKPs לפרטיות ותאימות, במקום בביומטריה. פרוטוקול Human ID שלה איפשר עד כה ליותר מ-125,000 משתמשים פseudonyms מ-180 מדינות לאמת את האישיות שלהם מבלי לחשוף את זהותם. עם עיצוב שמתמקד בפרטיות ובמימוש מלא, Holonym שואפת “להביא זכויות דיגיטליות לעולם”, על ידי עידוד אתרי אינטרנט ואפילו ממשלות לאמץ את פרוטוקול שלה לאימות זהות. גישה מודולרית זו, על פי Holonym, עוזרת להקטין סיכוני אבטחה ובונה אמון בזהות דיגיטלית.
בינתיים, ח’אלסה הכיר בכך שהאירועים כמו הפריצה האחרונה ל-Coinbase מדגישים בעיה עמוקה יותר בתשתית הקריפטו ומדגישים עד כמה פגומים מערכות זהות שנבנות על ארכיטקטורות מרכזיות ומונוליתיות.
“העתיד של התאימות אינו איסוף יותר נתונים. זה על הוכחות יותר עם פחות. פרטיות על ידי ארכיטקטורה, לא פרטיות על ידי תקווה,” אמר המייסד השותף.
