Coinbase’a karşı açılan toplu dava, teknoloji şirketlerinin biyometrik veri toplama ve depolama uygulamalarıyla ilgili endişeleri artırdı. Nanak Nihal Khalsa, değişmez biyometrik tanımlayıcılara güvenmenin, ele geçirildiğinde sıfırlanamayan kalıcı riskler taşıdığını savunuyor.
Coinbase Davasından Sonra Biyometrik Veri Güvenliği İnceleme Altında; Uzman Modüler Gizliliği Tavsiye Ediyor
YAZAN
PAYLAŞ
Eyalet Düzeyindeki Gizlilik Düzenlemelerinin Yama İşi
Kripto para borsası Coinbase’a karşı yakın zamanda açılan bir toplu dava, teknoloji şirketlerinin biyometrik veri toplama ve kullanımı konusunu bir kez daha ön plana çıkardı. Dava, Coinbase’in ABD Illinois Eyaleti’nin Biyometrik Bilgi Gizliliği Yasası’na uymadığı ya da uymayı reddettiği iddialarına dayanmakla birlikte, birden fazla yargı alanında hizmet veren teknoloji şirketlerinin karşılaştığı zorlukları da vurgulamaktadır.
Web3 ve teknoloji firmaları, müşterilerinden elde ettikleri biyometrik verilerin toplanması veya kullanımı konusunda yasalara uygun oldukları konusunda genellikle kendilerine güvenirler. Ancak, Google gibi kurumsal devlerin bile geçenlerde veri gizliliği yasası ihlalleri nedeniyle 1,3 milyar dolardan fazla ödeme yapmak zorunda kaldığı geçmişteki olaylar, eyalet düzeyindeki düzenlemeler yerine kapsamlı bir federal gizlilik yasasının olması gerektiği fikrini destekler görünmektedir.
Ancak, en önemli Web3 şirketleri de dahil olmak üzere kripto borsalar ile müşterilerin hassas biyometrik verilerinin ele geçirilmesi durumunda stakes daha yüksektir. Kripto kullanıcılarının önemli miktarda kripto varlığına sahip olması durumunda, silahlı çeteler tarafından hedef alınma olaylarının artması, siber suçluların biyometrik veriler de dahil olmak üzere hassas kullanıcı bilgilerine sahip olabileceğini önermektedir.
Son Coinbase siber saldırı vakasının gösterdiği gibi, gereksiz çalışanların kullanıcı verilerine erişim sağlaması finansal açıdan maliyetli olabilir. Ancak, Arrington Capital’ın kurucu ortağı Michael Arrington’un yakın zamanda belirttiği üzere, bunun insani maliyeti muhtemelen çalınan 400 milyon dolardan çok daha yüksek olacaktır. Bu iddia, kripto influencer’ları veya önemli miktarda kripto varlığına sahip kişilerin silahlı suçlular tarafından hedef alındığı olaylarla da desteklenmektedir.
Son bir olayda, Uganda merkezli bir kripto ve blockchain eğitim platformunun kurucusu olan Festo Ivaibi, ülkenin güvenlik güçlerinin üyeleri gibi davranan suçlular tarafından kaçırıldı. Olay sırasında, Ivaibi, Binance cüzdanında önemli miktarda kripto para sahibi olduğunu bilen suçlular tarafından saldırıya uğradı. Kurucu sonunda 500,000 dolar kaybetti ama hayatta kaldı ve deneyimini anlatabildi. Hem Coinbase siber saldırısı hem de Afrikalı kurucunun karşılaştığı olay, hassas kullanıcı verilerinin nasıl saklandığını ve kimin erişim sağladığını gösteriyor.
‘Umutsuz Değil, Mimariyle Sağlanan Gizlilik’
Bu arada, Arrington’un kullanıcı verilerini doğru bir şekilde yönetmeyen şirketlerin yöneticilerinin hapis dahil cezalandırılmasına yönelik çağrısı, hassas müşteri bilgilerini toplayan ve saklayan Web3 ve teknoloji şirketlerinin karşılaştığı zorlukları göstermektedir. Coinbase gibi şirketlerin ve diğerlerinin karşılaştığı ikilem, Web3 şirketleri için korumaların ne kadar kısıtlı olduğunu da göstermektedir. Peki, şirketler Web3 kimlik sistemlerinin güvenliğini nasıl sağlayabilir?
Bazı uzmanlara göre çözüm, esneklik ve kullanıcı kontrolünü önceliklendiren modüler gizlilik mimarisinde yatmaktadır, biyometrik ağırlıklı katı modeller yerine. Kullanıcıları biyometrik verilerinin ele geçirildiği ve merkezileştirildiği bir sisteme sokmak yerine, bu mimari daha uyumlu ve kullanıcı odaklı gizlilik ayarlarına izin verir. Bu, kullanıcıların kimliklerinin belirli yönlerini doğrulama konusunda nasıl ve ne zaman karar verebildiği, temel, hassas veriyi açıklamadan yapmalarını sağlar.
Web3 projesi Holonym’in eş kurucusu olan Nanak Nihal Khalsa, bu yaklaşımdan yana. Bitcoin.com News’e, gizliliği koruyucu tasarım olmadan KYC’nin özellikle sıfır-bilgi ispatları gibi bir bombasına dönüştüğünü söyledi. Borsaların ve platformların hassas kullanıcı verilerini merkezi veritabanlarında sakladıkları sürece, kaçınılmaz olarak saldırganları çeken ballı güveçler yarattığını açıkladı. Modüler yaklaşımın neden çığır açıcı olduğunu şöyle açıkladı:
“Gizlilik mimarisine modüler bir yaklaşım, denklemi değiştirir. Sıfır-bilgi ispatları ve diğer doğrulanabilir kimlik bilgileri, platformların kullanıcıların en hassas bilgilerini asla saklamadan veya görmeden uyum gereksinimlerini karşılamalarına sağlar. Kimlik bir dosya değil, bir ispat haline gelir.”
Eş kurucu, böyle çözümlerin giderek daha önemli hale geldiğini çünkü Web3 şirketleri tarafından toplanan verilerin giderek daha kişisel hale geldiğini savunuyor. Parmak izi veya DNA gibi biyometriklere güvenmenin daimi bir risk taşıdığını; bir kez ele geçirildiğinde, hükümet kimliklerinden farklı olarak bu benzersiz kişisel tanımlayıcıların sıfırlanamayacağını ifade ediyor.
Khalsa’nın Holonym’i, gizlilik ve uyumluluk için ZKP’leri, biyometrikler yerine kullanan modüler bir dijital kimlik çözümü sunuyor. İnsan Kimliği protokolü, bugüne kadar 180 ülkede 125,000’den fazla takma adlı kullanıcının kimliğini açıklamadan şahsi kimlik doğrulaması gerçekleştirmesine olanak tanıdı. Gizlilik öncelikli ve merkezi olmayan tasarımıyla Holonym, kimlik doğrulama protokolünü web sitelerinin ve hatta hükümetlerin benimsemesini teşvik ederek “dijital hakları dünyaya getirmeyi” amaçlamaktadır. Holonym’e göre bu modüler yaklaşım, güvenlik risklerini azaltmaya yardımcı olur ve dijital kimlikte güven oluşturur.
Bu arada, Khalsa, son Coinbase ihlali gibi olayların kripto altyapısında daha derin bir sorunu vurguladığını ve merkezi, monolitik mimariler üzerine kurulmuş kimlik sistemlerinin ne kadar kusurlu olduğunu ortaya koyduğunu kabul etti.
“Uyumun geleceği daha fazla veri toplamakla ilgili değil. Daha azla daha fazla ispat etmekle ilgili. Umutsuz değil, mimariyle sağlanan gizlilik,” dedi eş-kurucu.
