En gruppesøksmål mot Coinbase har reist bekymringer om praksisen for innsamling og lagring av biometriske data hos teknologiselskaper. Nanak Nihal Khalsa argumenterer for at relying på uforanderlige biometriske identifikatorer utgjør permanente risikoer, da de ikke kan tilbakestilles når de først er kompromittert.
Biometrisk datasikkerhet under lupen etter Coinbase-søksmål; ekspert oppfordrer til modulær personvern
SKREVET AV
DEL
Flekkete statlige personvernreguleringer
Et gruppesøksmål nylig anlagt mot kryptovaluta-børsen Coinbase har nok en gang satt fokus på innsamling og bruk av biometriske data av teknologiselskaper. Selv om søksmålet er basert på Coinbases påståtte unnlatelse eller avslag på å etterkomme Illinois’ lov om personvern for biometrisk informasjon i USA, understreker gruppesøksmålet likevel utfordringer som møter teknologiselskaper som betjener kunder eller brukere i mer enn én jurisdiksjon.
Web3 og teknologiselskaper er ofte sikre på at deres innsamling eller bruk av biometriske data som er hentet fra kunder, er i samsvar med loven. Imidlertid virker tidligere tilfeller der selv bedriftsgiganter som Google ble tvunget til å betale over 1,3 milliarder dollar for å avgjøre brudd på personvernlover å støtte ideen om å ha en omfattende føderal personvernlov i stedet for et flekkete system av statlige reguleringer.
Men for kunder eller brukere hvis sensitive biometriske data fanges opp av ledende Web3-selskaper, inkludert kryptobørser, er innsatsen enda større. De økende tilfellene der kryptobrukere med betydelige beholdninger er målrettet av væpnede gjenger, ser ut til å antyde at nettkriminelle kan være i besittelse av sensitiv brukerinformasjon, inkludert biometriske data.
Som det nylige Coinbase-cyberangrepet viser, kan det å tillate ikke-nødvendige ansatte tilgang til brukerdata vise seg å bli kostbart i økonomiske termer. Likevel, som Michael Arrington, medgründeren av Arrington Capital, nylig uttrykte det, vil den menneskelige kostnaden av dette sannsynligvis være mye høyere enn de 400 millioner dollar som ble stjålet. Denne påstanden støttes tilsynelatende av de stadig hyppigere hendelsene der kryptoinfluensere eller innehavere av betydelige mengder kryptoaktiva er målrettet av væpnede kriminelle.
I en nylig hendelse ble Festo Ivaibi, grunnleggeren av en Uganda-basert krypto- og blokkjedutdanningsplattform, bortført av kriminelle som utga seg for å være medlemmer av landets sikkerhetsstyrker. Under prøvelsen ble Ivaibi angrepet av kriminelle som så ut til å være klar over at han hadde betydelig krypto oppbevart i sin Binance-lommebok. Grunnleggeren mistet til slutt 500,000 dollar, men ble etterlatt i live for å fortelle historien. Både cyberangrepet på Coinbase og den afrikanske grunnleggerens møte viser hvor viktig det er hvordan sensitive brukerdata lagres og hvem som har tilgang til dem.
‘Personvern ved arkitektur, ikke personvern ved håp’
I mellomtiden viser Arringtons oppfordring til straff, inkludert fengsel for ledere i selskaper som ikke håndterer brukerdata på riktig måte, utfordringene som Web3- og teknologiselskaper står overfor når de samler inn og lagrer sensitiv kundeinformasjon. Dilemmaet som selskaper som Coinbase og andre står overfor, viser også hvor begrensede beskyttelsene for Web3-selskaper for tiden er. Så hvordan kan selskaper sikre sikkerheten til Web3-identitetssystemer?
Ifølge noen eksperter ligger løsningen i en modulær personvernarkitektur som prioriterer fleksibilitet og brukerkontroll, snarere enn stive, biometrisk-tunge modeller. I stedet for å tvinge brukere inn i et system der deres biometriske data fanges opp og lagres sentralt, tillater denne arkitekturen mer tilpasningsbare og brukerstyrte personverninnstillinger. Dette betyr at brukere kan velge hvordan og når de vil bekrefte aspekter av sin identitet uten nødvendigvis å avsløre de underliggende rå, sensitive dataene.
Nanak Nihal Khalsa, medgründer av Web3-prosjektet Holonym, er en forkjemper for denne tilnærmingen. Han sa til Bitcoin.com News at KYC uten personvernbevarende design, spesielt nullkunnskapsbevis, er en tikkende bombe. Han la til at så lenge børser og plattformer lagrer sensitive brukerdata i sentraliserte databaser, skaper de honningfeller som uunngåelig tiltrekker seg angripere. Han forklarte hvorfor en modulær tilnærming er banebrytende:
“En modulær tilnærming til personvernarkitektur endrer ligningen. Nullkunnskapsbevis og andre verifiserbare legitimasjoner gir plattformer muligheten til å oppfylle samsvarskrav uten noensinne å lagre eller engang se brukerens mest sensitive informasjon. Identitet blir et bevis, ikke en fil.”
Medgründeren insisterer på at slike løsninger blir stadig viktigere fordi dataene som samles inn av Web3-selskaper bare blir mer personlige. Han argumenterer for at relying på biometrikk som fingeravtrykk eller DNA for identifikasjon utgjør en permanent risiko: når de først er kompromittert, i motsetning til offentlige ID-er, kan disse unike personlige identifikatorene ikke tilbakestilles.
Khalsas Holonym tilbyr en modulær digital identitetsløsning som bruker ZKP-er for personvern og samsvar, i stedet for biometrikk. Dens Human ID-protokoll har til nå gjort det mulig for over 125,000 pseudonyme brukere i 180 land å verifisere personlighet uten å avsløre sin identitet. Med et personvern-først og desentralisert design, har Holonym som mål å “bringe digitale rettigheter til verden” ved å oppmuntre nettsteder og til og med regjeringer til å adoptere sin protokoll for ID-verifikasjon. Denne modulære tilnærmingen, ifølge Holonym, bidrar til å redusere sikkerhetsrisikoer og bygger tillit til digital identitet.
I mellomtiden anerkjente Khalsa at hendelser som det nylige bruddet på Coinbase fremhever et dypere problem i kryptoinfrastrukturen og understreker hvor mangelfulle identitetssystemer bygget på sentraliserte, monolitiske arkitekturer er.
“Fremtiden for samsvar handler ikke om å samle mer data. Det handler om å bevise mer med mindre. Personvern ved arkitektur, ikke personvern ved håp,” sa medgründeren.
