Bezpieczeństwo Danych Biometrycznych Pod Lupą po Procesie Coinbase; Ekspert Nalega na Modułową Prywatność

Patchwork przepisów dotyczących prywatności na poziomie stanowym

Niedawno złożony pozew zbiorowy przeciwko giełdzie kryptowalut Coinbase ponownie skierował uwagę na zbieranie i wykorzystywanie danych biometrycznych przez firmy technologiczne. Choć pozew opiera się na rzekomym nieprzestrzeganiu lub odmowie przestrzegania przez Coinbase Biometric Information Privacy Act stanu Illinois, zwraca on uwagę na wyzwania, przed którymi stają firmy technologiczne obsługujące klientów w więcej niż jednej jurysdykcji.

Firmy Web3 i technologiczne często są przekonane, że ich zbieranie lub wykorzystanie danych biometrycznych uzyskanych od klientów jest zgodne z prawem. Jednak wcześniejsze przypadki, w których nawet giganty korporacyjne jak Google musiały wyłożyć ponad 1,3 miliarda dolarów na zaspokojenie naruszeń prawa o ochronie prywatności danych, zdają się wspierać ideę posiadania kompleksowego federalnego prawa dotyczącego prywatności zamiast patchworku stanowych regulacji.

Jednak dla klientów, których wrażliwe dane biometryczne są gromadzone przez czołowe firmy Web3, w tym giełdy kryptowalutowe, stawka jest jeszcze wyższa. Rosnące incydenty, w których użytkownicy kryptowalut z dużymi zasobami są celem bandytów zbrojnych, zdają się sugerować, że cyberprzestępcy mogą posiadać wrażliwe informacje o użytkownikach, w tym dane biometryczne.

Jak pokazuje ostatni atak cybernetyczny na Coinbase, umożliwienie niepotrzebnym pracownikom dostępu do danych użytkowników może być kosztowne pod względem finansowym. Jednak, jak niedawno powiedział Michael Arrington, współzałożyciel Arrington Capital, ludzki koszt tego prawdopodobnie będzie znacznie wyższy niż skradzione 400 milionów dolarów. To stwierdzenie wydaje się potwierdzać coraz częstsze incydenty, w których wpływowe osoby ze świata kryptowalut lub posiadacze znacznych ilości aktywów kryptograficznych są celem przestępców uzbrojonych.

W jednym z ostatnich incydentów, Festo Ivaibi, założyciel ugandyjskiej platformy edukacyjnej dotyczącej kryptowalut i blockchain, został uprowadzony przez przestępców podających się za członków sił bezpieczeństwa kraju. Podczas odsiadki, Ivaibi został zaatakowany przez przestępców, którzy wydawali się świadomi, że miał znaczne środki kryptograficzne na swoim koncie w Binance. Założyciel ostatecznie stracił 500 000 dolarów, ale pozostał przy życiu, aby opowiedzieć swoją historię. Zarówno atak cybernetyczny na Coinbase, jak i spotkanie afrykańskiego założyciela pokazują, jak ważne jest przechowywanie danych użytkowników i kto ma do nich dostęp.

‘Prywatność przez Architekturę, a nie Prywatność przez Nadzieję’

Tymczasem wezwanie Arringtona do ukarania, w tym kary więzienia dla kierowników firm, które nieodpowiednio zarządzają danymi użytkowników, wskazuje na trudności, przed którymi stoją firmy Web3 i technologiczne, zbierające i przechowujące wrażliwe informacje o klientach. Dylemat firm takich jak Coinbase i innych pokazuje również, jak ograniczone są obecnie zabezpieczenia dla firm Web3. Jak więc firmy mogą zapewnić bezpieczeństwo systemów tożsamości Web3?

Według niektórych ekspertów, rozwiązanie polega na modularnej architekturze prywatności, która priorytetowo traktuje elastyczność i kontrolę użytkownika, zamiast sztywnych, ciężkich modeli biometrycznych. Zamiast zmuszać użytkowników do systemu, w którym ich dane biometryczne są centralnie przechowywane i gromadzone, taka architektura pozwala na bardziej elastyczne i zorientowane na użytkownika ustawienia prywatności. Oznacza to, że użytkownicy mogą wybierać, jak i kiedy weryfikować aspekty swojej tożsamości, bez konieczności ujawniania podstawowych, surowych danych wrażliwych.

Nanak Nihal Khalsa, współzałożyciel projektu Web3 Holonym, jest zwolennikiem tego podejścia. Powiedział Bitcoin.com News, że KYC bez projektowania prywatności, zwłaszcza dowodów zerowej wiedzy, jest tykającą bombą zegarową. Dodał, że tak długo, jak giełdy i platformy gromadzą wrażliwe dane użytkowników w scentralizowanych bazach danych, tworzą one “honeypoty”, które nieuchronnie przyciągają atakujących. Wyjaśnił, dlaczego podejście modułowe jest przełomowe:

“Modularne podejście do architektury prywatności zmienia równanie. Dowody zerowej wiedzy i inne weryfikowalne poświadczenia pozwalają platformom spełniać wymagania zgodności, bez konieczności przechowywania, a nawet widzenia najbardziej wrażliwych informacji użytkowników. Tożsamość staje się dowodem, a nie plikiem.”

Współzałożyciel podkreśla, że takie rozwiązania stają się coraz ważniejsze, ponieważ dane zbierane przez firmy Web3 stają się coraz bardziej osobiste. Twierdzi, że poleganie na biometriach, takich jak odciski palców czy DNA do identyfikacji, stanowi permanentne ryzyko: po ich naruszeniu, w przeciwieństwie do rządowych identyfikatorów, te unikalne osobiste identyfikatory nie mogą być zresetowane.

Holonym Khalsy oferuje modułowe rozwiązanie tożsamości cyfrowej, które wykorzystuje ZKPs do zapewnienia prywatności i zgodności, zamiast biometrik. Jego protokół Human ID pozwolił dotychczas ponad 125 000 pseudonimowych użytkowników w 180 krajach zweryfikować swoją osobistość bez ujawniania tożsamości. Dzięki podejściu zorientowanemu na prywatność i zdecentralizowanemu projektowi, Holonym ma na celu “przyniesienie praw cyfrowych dla świata”, zachęcając strony internetowe, a nawet rządy do przyjęcia swojego protokołu dla weryfikacji ID. Według Holonym, to podejście modułowe pomaga złagodzić ryzyko bezpieczeństwa i budować zaufanie do tożsamości cyfrowej.

Tymczasem Khalsa przyznał, że incydenty, takie jak niedawne naruszenie bezpieczeństwa w Coinbase, podkreślają głębszy problem w infrastrukturze kryptowalutowej i podkreślają, jak wadliwe są systemy tożsamości oparte na scentralizowanych, monolitycznych architekturach.

“Przyszłość zgodności nie polega na zbieraniu większej ilości danych. Chodzi o udowadnianie więcej mniej. Prywatność przez architekturę, a nie przez nadzieję,” powiedział współzałożyciel.