Een class-action rechtszaak tegen Coinbase heeft zorgen gewekt over de praktijken van technologiefirma’s omtrent het verzamelen en opslaan van biometrische gegevens. Nanak Nihal Khalsa betoogt dat vertrouwen op onveranderlijke biometrische identificaties permanente risico’s met zich meebrengt, omdat ze niet opnieuw ingesteld kunnen worden zodra ze gecompromitteerd zijn.
Biometrische Gegevensbeveiliging Onder de Loep Na Coinbase-rechtszaak; Expert Dringt aan op Modulaire Privacy
GESCHREVEN DOOR
DELEN
Mozaïek van Privacyreguleringen op Staatsniveau
Een class-action rechtszaak die onlangs tegen cryptocurrency-uitwisseling Coinbase is aangespannen, werpt opnieuw licht op het verzamelen en gebruik van biometrische gegevens door technologiefirma’s. Hoewel de rechtszaak is gebaseerd op Coinbase’s vermeende falen of weigering om te voldoen aan de Biometric Information Privacy Act van de Amerikaanse staat Illinois, benadrukt de class-action toch de uitdagingen waarmee techbedrijven geconfronteerd worden die klanten of gebruikers in meer dan één jurisdictie bedienen.
Web3- en technologiebedrijven zijn vaak zelfverzekerd dat hun verzameling of het gebruik van biometrische gegevens die van klanten worden verkregen, in overeenstemming is met de wet. Echter, eerdere gevallen waarbij zelfs bedrijfsreuzen zoals Google werden gedwongen om meer dan 1,3 miljard dollar te betalen om schendingen van de privacywetten op te lossen, lijken het idee te ondersteunen van een allesomvattende federale privacywet in plaats van het lappendeken van staatsregulaties.
Voor klanten of gebruikers van wie gevoelige biometrische gegevens door grote Web3-bedrijven, waaronder crypto-uitwisselingen, worden vastgelegd, zijn de inzetten nog hoger. De toenemende incidenten waarin cryptocurrency-gebruikers met aanzienlijke middelen het doelwit zijn van gewapende bendes, suggereren dat cybercriminelen mogelijk over gevoelige gebruikersinformatie, waaronder biometrische gegevens, beschikken.
Zoals de recente cyberaanval op Coinbase aantoont, kan het toegang geven tot gebruikersgegevens aan niet-essentiële medewerkers kostbaar blijken in financiële termen. Toch, zoals Michael Arrington, mede-oprichter van Arrington Capital, onlangs verwoordde, zullen de menselijke kosten hiervan waarschijnlijk veel hoger zijn dan de gestolen 400 miljoen dollar. Deze bewering wordt kennelijk ondersteund door de steeds vaker voorkomende incidenten waarin crypto-invloedrijke personen of houders van aanzienlijke crypto-assets het doelwit zijn van gewapende criminelen.
In een recent incident werd Festo Ivaibi, de oprichter van een op Oeganda gebaseerd crypto- en blockchain-educatieplatform, ontvoerd door criminelen die zich voordeden als leden van de veiligheidstroepen van het land. Tijdens de beproeving werd Ivaibi mishandeld door de criminelen, die zich ervan bewust leken dat hij substantiële crypto had in zijn Binance-portemonnee. De oprichter verloor uiteindelijk 500.000 dollar, maar bleef in leven om het verhaal te vertellen. Zowel de cyberaanval op Coinbase als de ontmoeting van de Afrikaanse oprichter demonstreren hoe het opslaan van gevoelige gebruikersgegevens en wie er toegang toe heeft, van belang is.
‘Privacy by Architecture, Not Privacy by Hope’
Ondertussen demonstreert Arrington’s oproep voor straf, inclusief gevangenisstraf voor leidinggevenden van bedrijven die gebruikersgegevens niet goed behandelen, de moeilijkheden waarmee Web3- en technologiebedrijven geconfronteerd worden bij het verzamelen en opslaan van gevoelige klantinformatie. Het dilemma waar bedrijven zoals Coinbase en anderen voor staan, toont ook aan hoe beperkt de bescherming voor Web3-bedrijven momenteel is. Dus hoe kunnen bedrijven de veiligheid van Web3-identiteitssystemen garanderen?
Volgens sommige experts ligt de oplossing in modulaire privacyarchitectuur die flexibiliteit en gebruikerscontrole vooropstelt, in plaats van rigide, biometrisch-gedreven modellen. In plaats van gebruikers te dwingen in een systeem waarin hun biometrische gegevens centraal worden vastgelegd en opgeslagen, biedt deze architectuur meer aanpasbare en gebruikergestuurde privacy-instellingen. Dit betekent dat gebruikers kunnen kiezen hoe en wanneer ze aspecten van hun identiteit willen verifiëren zonder noodzakelijkerwijs de onderliggende ruwe, gevoelige gegevens te onthullen.
Nanak Nihal Khalsa, de mede-oprichter van het Web3-project Holonym, is een voorstander van deze benadering. Hij vertelde Bitcoin.com News dat KYC zonder privacybeschermend ontwerp, vooral zero-knowledge-proofs, een tijdbom is. Hij voegde eraan toe dat zolang uitwisselingen en platforms gevoelige gebruikersgegevens opslaan in gecentraliseerde databases, ze honingpotten creëren die onvermijdelijk aanvallers aantrekken. Hij legde uit waarom een modulaire benadering baanbrekend is.
“Een modulaire benadering van privacyarchitectuur verandert de berekening. Zero-knowledge-proofs en andere verifieerbare inloggegevens stellen platforms in staat om aan nalevingsvereisten te voldoen zonder ooit de meest gevoelige informatie van gebruikers op te slaan of zelfs te zien. Identiteit wordt een bewijs, geen bestand.”
De mede-oprichter benadrukt dat dergelijke oplossingen steeds belangrijker worden omdat de gegevens die door Web3-bedrijven worden verzameld ook steeds persoonlijker worden. Hij betoogt dat vertrouwen op biometrische gegevens zoals vingerafdrukken of DNA voor identificatie een permanent risico vormt: eenmaal gecompromitteerd, kunnen deze unieke persoonlijke identificaties in tegenstelling tot overheid-ID’s niet worden gereset.
Holonym van Khalsa biedt een modulaire digitale identiteitsoplossing die ZKPs gebruikt voor privacy en naleving, in plaats van biometrie. Zijn Human ID-protocol heeft tot nu toe meer dan 125.000 pseudonieme gebruikers in 180 landen in staat gesteld om persoonschap te verifiëren zonder hun identiteit te onthullen. Met een privacygerichte en gedecentraliseerde ontwerp wil Holonym “digitale rechten naar de wereld brengen” door websites en zelfs overheden aan te moedigen om zijn protocol voor ID-verificatie aan te nemen. Volgens Holonym helpt deze modulaire benadering beveiligingsrisico’s te verminderen en vertrouwen in digitale identiteit op te bouwen.
Ondertussen erkende Khalsa dat incidenten zoals de recente inbreuk bij Coinbase een dieper probleem in de cryptoinfrastructuur benadrukken en onderstrepen hoe gebrekkig identiteitsystemen zijn die zijn gebouwd op gecentraliseerde, monolithische architecturen.
“De toekomst van naleving gaat niet over het verzamelen van meer gegevens. Het gaat over meer bewijzen met minder. Privacy door architectuur, niet door hoop,” zei de mede-oprichter.
