Uma ação coletiva contra a Coinbase levantou preocupações sobre as práticas de coleta e armazenamento de dados biométricos por empresas de tecnologia. Nanak Nihal Khalsa argumenta que confiar em identificadores biométricos imutáveis representa riscos permanentes, pois eles não podem ser reiniciados uma vez comprometidos.
Segurança de Dados Biométricos sob Escrutínio Após Processo da Coinbase; Especialista Recomenda Privacidade Modular
ESCRITO POR
PARTILHAR
Mosaico de Regulamentações de Privacidade em Nível Estadual
Uma ação coletiva recentemente apresentada contra a exchange de criptomoedas Coinbase destacou mais uma vez a coleta e o uso de dados biométricos por empresas de tecnologia. Embora a ação seja fundamentada na alegada falha ou recusa da Coinbase em cumprir a Lei de Privacidade de Informações Biométricas do Estado de Illinois, a ação coletiva destaca os desafios enfrentados por empresas de tecnologia que atendem clientes ou usuários em mais de uma jurisdição.
Empresas de tecnologia e Web3 muitas vezes estão confiantes de que sua coleta ou uso de dados biométricos obtidos dos clientes está de acordo com a lei. No entanto, instâncias passadas onde até mesmo gigantes corporativos como o Google foram forçados a desembolsar mais de $1,3 bilhão para resolver violações de leis de privacidade de dados parecem apoiar a ideia de ter uma lei federal de privacidade abrangente em vez de um mosaico de regulamentações em nível estadual.
No entanto, para clientes ou usuários cujos dados biométricos sensíveis são capturados por grandes empresas de Web3, incluindo exchanges de criptomoedas, as apostas são ainda maiores. Os crescentes incidentes em que usuários de criptomoedas com grandes quantias são alvo de gangues armadas parecem sugerir que criminosos cibernéticos podem estar na posse de informações sensíveis de usuários, incluindo dados biométricos.
Como o recente caso de ataque cibernético na Coinbase demonstra, permitir que funcionários não essenciais tenham acesso aos dados dos usuários pode se tornar financeiramente custoso. No entanto, como Michael Arrington, cofundador da Arrington Capital, recentemente colocou, o custo humano disso provavelmente será muito mais alto do que os $400 milhões roubados. Essa afirmação é aparentemente apoiada pelos incidentes em que influenciadores de criptomoedas ou detentores de quantias significativas de ativos criptográficos são visados por criminosos armados.
Em um incidente recente, Festo Ivaibi, fundador de uma plataforma de educação em cripto e blockchain baseada em Uganda, foi sequestrado por criminosos que se passavam por membros das forças de segurança do país. Durante a provação, Ivaibi foi agredido pelos criminosos que pareciam estar cientes de que ele tinha uma quantidade substancial de cripto em sua carteira Binance. O fundador acabou perdendo $500.000, mas foi deixado vivo para contar a história. Tanto o ataque cibernético na Coinbase quanto o encontro do fundador africano demonstram como os dados sensíveis dos usuários são armazenados e quem tem acesso a eles importa.
‘Privacidade por Arquitetura, Não Privacidade por Esperança’
Enquanto isso, o apelo de Arrington por punições, incluindo prisão para executivos de empresas que falham em lidar adequadamente com os dados dos usuários, demonstra as dificuldades enfrentadas pelas empresas de tecnologia e Web3 na coleta e armazenamento de informações sensíveis dos clientes. O dilema enfrentado por empresas como a Coinbase e outras também mostra quão limitadas são atualmente as proteções para empresas de Web3. Então, como as empresas podem garantir a segurança dos sistemas de identidade Web3?
De acordo com alguns especialistas, a solução está em uma arquitetura de privacidade modular que prioriza a flexibilidade e o controle do usuário, em vez de modelos rígidos e pesados em biometria. Em vez de forçar os usuários a um sistema onde seus dados biométricos são capturados e armazenados centralmente, essa arquitetura permite configurações de privacidade mais adaptáveis e orientadas pelo usuário. Isso significa que os usuários podem escolher como e quando verificar aspectos de sua identidade sem necessariamente revelar os dados brutos e sensíveis subjacentes.
Nanak Nihal Khalsa, cofundador do projeto Web3 Holonym, é um defensor dessa abordagem. Ele disse ao Bitcoin.com News que KYC sem design que preserve a privacidade, especialmente provas de conhecimento zero, é uma bomba-relógio. Ele acrescentou que, enquanto exchanges e plataformas armazenarem dados sensíveis dos usuários em bancos de dados centralizados, criam verdadeiros alvos que inevitavelmente atraem atacantes. Ele explicou por que uma abordagem modular é inovadora:
“Uma abordagem modular para a arquitetura de privacidade muda a equação. Provas de conhecimento zero e outras credenciais verificáveis permitem que plataformas atendam aos requisitos de conformidade sem nunca armazenar ou sequer ver as informações mais sensíveis dos usuários. Identidade torna-se uma prova, não um arquivo.”
O cofundador insiste que tais soluções são cada vez mais importantes porque os dados sendo coletados por empresas de Web3 estão se tornando cada vez mais pessoais. Ele argumenta que confiar em biometria como impressões digitais ou DNA para identificação representa um risco permanente: uma vez comprometidos, ao contrário de IDs do governo, esses identificadores pessoais únicos não podem ser redefinidos.
O Holonym de Khalsa oferece uma solução de identidade digital modular que usa ZKPs para privacidade e conformidade, em vez de biometria. Seu protocolo de ID Humano permitiu até agora que mais de 125.000 usuários pseudônimos em 180 países verificassem a personalidade sem revelar sua identidade. Com um design orientado para a privacidade e descentralizado, o Holonym visa “trazer os direitos digitais para o mundo,” incentivando sites e até governos a adotarem seu protocolo para verificação de ID. Essa abordagem modular, de acordo com Holonym, ajuda a mitigar riscos de segurança e constrói confiança na identidade digital.
Enquanto isso, Khalsa reconheceu que incidentes como a recente violação da Coinbase destacam um problema mais profundo na infraestrutura de cripto e reforçam como os sistemas de identidade falhos construídos em arquiteturas centralizadas e monolíticas são.
“O futuro da conformidade não é sobre coletar mais dados. É sobre provar mais com menos. Privacidade por arquitetura, não privacidade por esperança,” disse o cofundador.
