Безпека біометричних даних під пильною увагою після позову до Coinbase; експерт закликає до модульної конфіденційності

Патчворк регламентів конфіденційності на рівні окремих штатів

Нещодавно поданий колективний позов проти криптовалютної біржі Coinbase знову привернув увагу до збору та використання біометричних даних технологічними компаніями. Хоча позов заснований на ймовірні невдачі або відмови Coinbase дотримуватися Закону про конфіденційність біометричної інформації штату Іллінойс, проте класовий позов підкреслює виклики, з якими стикаються технологічні компанії, що обслуговують клієнтів або користувачів у більш ніж одній юрисдикції.

Компанії Web3 та технологічні фірми часто впевнені, що їхній збір або використання біометричних даних, отриманих від клієнтів, відповідає закону. Проте минулі випадки, коли навіть такі корпоративні гіганти як Google були змушені виплатити понад $1,3 мільярда для врегулювання порушень законів про конфіденційність даних, підкреслюють ідею створення комплексного федерального закону про конфіденційність, а не патчворку регламентів на рівні штатів.

Однак, для клієнтів або користувачів, чуттєві біометричні дані яких збираються провідними компаніями Web3, включаючи криптобіржі, ставки ще вищі. Зростаюча кількість випадків, в яких користувачі криптовалюти з достатніми активами стають ціллю озброєних банд, свідчить про те, що кіберзлочинці можуть мати у своєму розпорядженні чуттєву інформацію користувачів, включаючи біометричні дані.

Як показує нещодавній кібератака на Coinbase, дозвіл незначним співробітникам отримувати доступ до даних користувачів може виявитися дорогим у фінансовому плані. Але, як недавно висловився Майкл Аррінгтон, співзасновник Arrington Capital, людські витрати цього, ймовірно, будуть набагато вищими, ніж 400 мільйонів доларів, викрадених. Це твердження, здається, підкріплене чималими випадками, коли криптовалютні впливові особи чи власники значних обсягів криптоактивів стають ціллю озброєних злочинців.

В одному з недавніх випадків, Фесто Іваїбі, засновник освітньої платформи криптовалюти та блокчейну, що базується в Уганді, був викрадений злочинцями, які видавали себе за членів сил безпеки країни. Під час випробування, Іваїбі був атакований злочинцями, які, здавалося, знали, що у нього є значні криптоактиви на його гаманці Binance. Зрештою засновник втратив 500 000 доларів, але залишився живим, щоб розповісти цю історію. І кібератака на Coinbase, і зустріч африканського засновника демонструють, як важливо мати контроль, зберігання та доступ до чуттєвих даних користувачів.

‘Конфіденційність за допомогою архітектури, а не надії на конфіденційність’

Тим часом, заклик Аррінгтона до покарання, включаючи тюремне ув’язнення для керівників компаній, які не справляються з належним обробленням даних користувачів, демонструє труднощі, з якими стикаються компанії Web3 та технологічні фірми, що збирають та зберігають чуттєву інформацію клієнтів. Цей скрутний стан для таких компаній, як Coinbase, також демонструє, наскільки обмежені наразі захисти для компаній Web3. Як компанії можуть забезпечити безпеку систем ідентифікації Web3?

На думку деяких експертів, рішення полягає у модульній архітектурі конфіденційності, яка характеризується гнучкістю та контролем користувача, а не жорсткими, біометрично-інтенсивними моделями. Замість того, щоб змушувати користувачів входити у систему, де їх біометричні дані зберігаються централізовано, ця архітектура дозволяє адаптивніші та такі, що орієнтовані на користувачів, налаштування конфіденційності. Це означає, що користувачі можуть вибирати, як і коли вони хочуть перевіряти аспекти своєї особистості, не обов’язково розкриваючи вихідні, чуттєві дані.

Nanak Nihal Khalsa, співзасновник проекту Web3 Holonym, є прихильником цього підходу. Він сказав Bitcoin.com News, що KYC без дизайну, який забезпечує збереження конфіденційності, особливо нульові докази знання, — це бомба з годинниковим механізмом. Він додав, що доти, поки біржі та платформи зберігають чуттєві дані користувачів у централізованих базах даних, вони створюють “медові пастки”, які неминуче приваблюють нападників. Він пояснив, чому модульний підхід є інноваційним.

“Модульний підхід до архітектури конфіденційності змінює рівняння. Нульові докази знання та інші вірогідні свідоцтва дозволяють платформам відповідати вимогам відповідності, ніколи не зберігаючи або навіть не бачачи найбільш чуттєву інформацію користувачів. Ідентичність стає підтвердженням, а не файлом.”

Співзасновник наполягає, що такі рішення стають все важливішими, оскільки дані, які збираються компаніями Web3, стають ще більш персоналізованими. Він стверджує, що покладання на біометричні ідентифікатори, такі як відбитки пальців або ДНК, для ідентифікації представляє постійний ризик: якщо ці дані будуть скомпрометовані, на відміну від державних посвідчень осіб, ці унікальні особистісні ідентифікатори не можна скинути.

Holonym пропонує модульне рішення цифрової ідентичності, яке використовує ZKP для конфіденційності та відповідності, а не біометрії. Його протокол Human ID на сьогодні дозволив понад 125 000 псевдонімних користувачів у 180 країнах перевіряти свою особистість, не розкриваючи її. Завдяки першочергово орієнтованому на конфіденційність та децентралізованому дизайну, Holonym прагне “приносити цифрові права світу”, заохочуючи вебсайти і навіть уряди приймати його протокол для перевірки особи. За словами Holonym, цей модульний підхід допомагає знижувати ризики безпеки та підвищує довіру до цифрових ідентичностей.

Тим часом, Khalsa визнав, що інциденти, як нещодавній злом Coinbase, підкреслюють глибшу проблему в криптографічній інфраструктурі і підкреслюють, наскільки недосконалі системи ідентифікації, побудовані на централізованих, монолітних архітектурах.

“Майбутнє відповідності не полягає у зборі більшої кількості даних. Воно полягає в тому, щоб довести більше з меншими зусиллями. Конфіденційність за допомогою архітектури, а не надії на конфіденційність,” – сказав співзасновник.