Ledger Live — официальное программное обеспечение для взаимодействия с любым аппаратным кошельком Ledger
Разработчик REKTbuildr обнаружил масштабную операцию по сбору данных, проводимую крупнейшим в мире производителем аппаратных кошельков Ledger. По причинам, которые трудно понять, программное обеспечение Ledger Live передает информацию о кликах, посещениях страниц, перенаправлениях, криптотранзакциях, прокрутках страниц, количестве учетных записей, названиях криптоактивов, продолжительности сеансов, типах аппаратных устройств и версиях прошивки поставщику аналитики Ledger.
Ledger Live — официальное программное обеспечение для взаимодействия с любым аппаратным кошельком Ledger. Подавляющее большинство пользователей ПК загружают его, чтобы настроить свой аппаратный кошелек и подписывать транзакции. Проверяя код, REKTbuildr обнаружил, что отслеживание пользователей встроено во весь пакет ПО. Он назвал это «гигантской системой отслеживания пользователей».
REKTBuildr сообщил, что Ledger использует сервис Segment компании по обработке данных Twilio для анализа информации своих пользователей. Эти данные включают информацию о цифровых активах и NFT, хранящихся на кошельках Ledger.
«Ledger Live анализирует все: от просмотров экрана до кликов, событий ошибок, установок, удалений и т. д. Все, что вы делаете в этом приложении, отслеживается», — пишет разработчик.
Сборщик данных Ledger Live представляет собой объект JSON с ключом свойств. Он передает идентификатор пользователя и «writeKey», который позволяет однозначно идентифицировать компьютер. Он также может отправлять информацию об учетной записи segment.io, включая названия принадлежащих цифровых активов и другую информацию о компьютерах пользователей.
Хотя Ledger Live не отправляет приватные ключи или фразы восстановления на segment.io, он передает много информации о пользователе, которая может стать причиной атак вымогателей. Например, любой хакер segment.io может легко определить пользователя со значительными запасами криптовалют, включая временные метки криптоактивности и другую ужасающе подробную информацию об активах.
Пользователи Ledger как высокоценный пакет аудитории
По мнению REKTbuildr, вероятное коммерческое объяснение всего этого сбора данных заключается в том, что Ledger хочет перепродать анонимизированные данные сторонним рекламодателям. Готовые IP-аудитории или «аудитории» cookie с тысячами пользователей, которые недавно совершили какое-либо цифровое действие, например нажали кнопку в криптоприложении, обычно перепродаются рекламодателям такими агрегаторами данных, как Google, Bluekai или eXelate.
В качестве альтернативы данные могут использоваться внутри компании для сотрудников Ledger, занимающихся пользовательским опытом (UX) и пользовательским интерфейсом (UI).
В качестве любезности к сообществу REKTbuildr переделал программное обеспечение Ledger Live, удалил его коды отслеживания и выложил исправленную версию на GitHub.
Компания Ledger почти ничего не сказала о сборе аналитических данных в своих социальных сетях. Ее безразличие не стало сюрпризом для криптовалютного сообщества.
Ledger уже подрывала доверие пользователей к своим аппаратным кошелькам. В мае компания анонсировала спорный сервис Recover, который позволял удаленно расшифровывать приватные ключи аппаратного кошелька.
Ledger безоговорочно выпустила это обновление, перечеркнув многолетнее представление о том, что приватные ключи никогда не покидают аппаратный кошелек.
Другие интересные темы сегодняшнего дня:
- В работе оператора Киевстар произошел сбой: нет сети и интернета
- В США представили законопроект по борьбе с отмыванием цифровых активов: чем он опасен
- Украинский ИИ-стартап получил $3 млн инвестиций
