Ledger Live — офіційне програмне забезпечення для взаємодії з будь-яким апаратним гаманцем Ledger
Розробник REKTbuildr виявив масштабну операцію зі збору даних, яку проводить найбільший у світі виробник апаратних гаманців Ledger. З причин, які важко зрозуміти, програмне забезпечення Ledger Live передає інформацію про кліки, відвідування сторінок, перенаправлення, криптотранзакції, прокручування сторінок, кількість облікових записів, назви криптоактивів, тривалість сеансів, типи апаратних пристроїв і версії прошивки постачальнику аналітики Ledger.
Ledger Live — офіційне програмне забезпечення для взаємодії з будь-яким апаратним гаманцем Ledger. Переважна більшість користувачів ПК завантажують його, щоб налаштувати свій апаратний гаманець і підписувати транзакції. Перевіряючи код, REKTbuildr виявив, що відстеження користувачів вбудовано в увесь пакет ПЗ. Він назвав це “гігантською системою відстеження користувачів”.
REKTBuildr повідомив, що Ledger використовує сервіс Segment компанії з обробки даних Twilio для аналізу інформації своїх користувачів. Ці дані включають інформацію про цифрові активи та NFT, що зберігаються на гаманцях Ledger.
“Ledger Live аналізує все: від переглядів екрана до кліків, подій помилок, установок, видалень тощо. Усе, що ви робите в цьому застосунку, відстежується”, ─ пише розробник.
Збирач даних Ledger Live являє собою об’єкт JSON з ключем властивостей. Він передає ідентифікатор користувача і “writeKey”, який дозволяє однозначно ідентифікувати комп’ютер. Він також може надсилати інформацію про обліковий запис segment.io, включно з назвами цифрових активів, які належать, та іншу інформацію про комп’ютери користувачів.
Хоча Ledger Live не надсилає приватні ключі або фрази відновлення на segment.io, він передає багато інформації про користувача, яка може стати причиною атак вимагачів. Наприклад, будь-який хакер segment.io може легко визначити користувача зі значними запасами криптовалюти, включно з часовими мітками криптоактивності та іншою надзвичайно детальною інформацією про активи.
Користувачі Ledger як високоцінний пакет аудиторії
На думку REKTbuildr, ймовірне комерційне пояснення всього цього збору даних полягає в тому, що Ledger хоче перепродати анонімізовані дані стороннім рекламодавцям. Готові IP-аудиторії або “аудиторії” cookie з тисячами користувачів, які нещодавно вчинили будь-яку цифрову дію, наприклад, натиснули кнопку в криптозастосунку, зазвичай перепродаються рекламодавцям такими агрегаторами даних, як Google, Bluekai або eXelate.
Як альтернативу дані можуть використовуватися всередині компанії для співробітників Ledger, що займаються призначеним для користувача досвідом (UX) і призначеним для користувача інтерфейсом (UI).
Як люб’язність до спільноти REKTbuildr переробив програмне забезпечення Ledger Live, видалив його коди відстеження і виклав виправлену версію на GitHub.
Компанія Ledger майже нічого не сказала про збір аналітичних даних у своїх соціальних мережах. Її байдужість не стала сюрпризом для криптовалютної спільноти.
Ledger уже підривала довіру користувачів до своїх апаратних гаманців. У травні компанія анонсувала спірний сервіс Recover, який дозволяв віддалено розшифровувати приватні ключі апаратного гаманця.
Ledger беззастережно випустила це оновлення, перекресливши багаторічне уявлення про те, що приватні ключі ніколи не залишають апаратний гаманець.
Інші цікаві теми сьогоднішнього дня:
- У роботі оператора Київстар стався збій: немає мережі та інтернету
- У США представили законопроєкт з боротьби з відмиванням цифрових активів: чим він небезпечний
- Український ШІ-стартап отримав $3 млн інвестицій
