Biometrisk datasäkerhet under granskning efter Coinbase-stämning; Expert uppmanar till modulär integritet

Patchwork av delstatsnivåer för integritetsregleringar

En grupptalan som nyligen väckts mot kryptovalutabörsen Coinbase har återigen belyst insamling och användning av biometriska data av teknikföretag. Även om talan är baserad på Coinbases påstådda underlåtenhet eller ovilja att följa USA:s delstat Illinois Biometric Information Privacy Act, framhäver grupptalan ändå de utmaningar som teknikföretag står inför när de betjänar kunder eller användare i mer än en jurisdiktion.

Web3- och teknikföretag är ofta säkra på att deras insamling eller användning av biometriska data från kunder är i enlighet med lagen. Men tidigare fall där även företag som Google tvingades betala över 1,3 miljarder dollar för att lösa överträdelse av datasekretesslagar tycks stödja idén om att ha en övergripande federal integritetslag snarare än ett lapptäcke av delstatslagar.

Men för kunder eller användare vars känsliga biometriska data fångas upp av ledande Web3-företag inklusive kryptovalutabörser, är insatserna ännu högre. De växande incidenterna där kryptovalutaanvändare med betydande tillgångar attackeras av beväpnade gäng tyder på att cyberkriminella kan ha känslig användarinformation, inklusive biometriska data.

Som det senaste Coinbase cyberattacket visar, kan det visa sig vara kostsamt i ekonomiska termer att låta ovidkommande anställda ha tillgång till användardata. Ändå, som Michael Arrington, medgrundare av Arrington Capital, nyligen uttryckte det, kan den mänskliga kostnaden av detta sannolikt bli mycket högre än de 400 miljoner dollar som stulits. Detta påstående stöds till synes av de ständiga incidenterna där kryptoinfluenser eller innehavare av betydande mängder kryptotillgångar attackeras av beväpnade kriminella.

I en nyligen inträffad händelse blev Festo Ivaibi, grundaren av en Uganda-baserad utbildningsplattform för krypto och blockchain, kidnappad av kriminella som utgav sig för att vara medlemmar av landets säkerhetsstyrkor. Under dramat blev Ivaibi överfallen av de kriminella som verkade vara medvetna om att han hade betydande krypto i sin Binance-plånbok. Grundaren förlorade slutligen 500 000 dollar, men blev lämnad vid liv för att berätta berättelsen. Både Coinbase-cyberattacken och den afrikanska grundarens möte visar hur viktig det är hur känslig användardata lagras och vem som har tillgång till den.

‘Integritet genom arkitektur, inte integritet genom hopp’

Under tiden, Arringtons krav på straff, inklusive fängelsetid för chefer hos företag som misslyckas att korrekt hantera användardata, demonstrerar svårigheterna för Web3- och teknikföretag som samlar in och lagrar känslig kundinformation. Dilemmat som företag som Coinbase och andra står inför visar också hur begränsat skyddet för Web3-företag för närvarande är. Så hur kan företag säkerställa säkerheten för Web3-identitetssystem?

Enligt vissa experter ligger lösningen i modulär integritetsarkitektur som prioriterar flexibilitet och användarkontroll, snarare än styva, biometriktunga modeller. Istället för att tvinga användare in i ett system där deras biometriska data fångas och lagras centralt, tillåter denna arkitektur mer anpassningsbara och användardrivna integritetsinställningar. Detta innebär att användare kan välja hur och när de vill verifiera aspekter av sin identitet utan att nödvändigtvis avslöja den underliggande råa, känsliga datan.

Nanak Nihal Khalsa, medgrundare av Web3-projektet Holonym, är en förespråkare för detta tillvägagångssätt. Han berättade för Bitcoin.com News att KYC utan integritetsskyddande design, särskilt nollkunskapsbevis, är en tickande bomb. Han tillade att så länge börser och plattformar lagrar känslig användardata i centraliserade databaser, skapar de honungskrukor som oundvikligen lockar angripare. Han förklarade varför en modulär tillvägagångssätt är banbrytande.

“En modulär tillvägagångssätt till integritetsarkitektur ändrar ekvationen. Nollkunskapsbevis och andra verifierbara referenser låter plattformar uppfylla efterlevnadskrav utan att någonsin lagra eller ens se användares mest känsliga information. Identitet blir ett bevis, inte en fil.”

Medgrundaren insisterar på att sådana lösningar blir allt viktigare eftersom den data som samlas in av Web3-företag blir allt mer personlig. Han hävdar att förlita sig på biometrik som fingeravtryck eller DNA för identifikation innebär en permanent risk: En gång komprometterad, till skillnad från statliga ID:n, kan dessa unika personliga identifierare inte återställas.

Khalsas Holonym erbjuder en modulär digital identitetslösning som använder ZKPs för integritet och efterlevnad, istället för biometrik. Dess Human ID-protokoll har hittills tillåtit över 125 000 pseudonyma användare i 180 länder att verifiera mänsklighet utan att avslöja sin identitet. Med en integritetsförst och decentraliserad design, syftar Holonym till att “föra digitala rättigheter till världen,” genom att uppmuntra webbplatser och till och med regeringar att anta dess protokoll för ID-verifiering. Detta modulära tillvägagångssätt, enligt Holonym, hjälper till att minska säkerhetsrisker och bygger förtroende för digital identitet.

Samtidigt erkände Khalsa att händelser som det senaste Coinbase-brottet belyser ett djupare problem i krypto-infrastrukturen och understryker hur bristfälliga identitetssystem byggda på centraliserade, monolitiska arkitekturer är.

“Framtiden för efterlevnad handlar inte om att samla in mer data. Det handlar om att bevisa mer med mindre. Integritet genom arkitektur, inte integritet genom hopp,” sa medgrundaren.