Eksplozivne trditve: Ledger Live App zbira ogromno podatkov o uporabnikih!

Navdušenci nad digitalnimi valutami so bili presenetljivo zaskrbljeni zaradi aplikacije Ledger Live, odprtokodne spremljevalne programske opreme za strojne denarnice Ledger. Obtožbe kažejo, da aplikacija sledi uporabniškim podatkom in jih pošilja zunanji službi za zbiranje podatkov. Te trditve so prišle na dan v družbenih medijih, kjer je uporabnik “rektbuildr” opisal zaskrbljujoča odkritja.

Po preiskavi omrežne dejavnosti aplikacije Ledger Live je rektbuildr trdil:
“Storitev Ledger Live telefonsko pošilja podatke o sredstvih, ki jih imate v svoji strojni denarnici, takoj ko dostopate do storitve Ledger Live. Prav tako pošilja na tone drugih informacij o vašem računalniku in napravi.”

Zdi se, da aplikacija pošilja podatke zunanji končni točki na naslovu “https://api.segment.io/v1/t”, ki je opredeljen kot zunanja storitev zbiranja podatkov.

Izpostavljeni koristni tovor naj bi vseboval edinstven ID uporabnika in ključ za zapisovanje, kar bi lahko omogočilo identifikacijo uporabnikovih naprav. Poleg tega preneseni podatki vključujejo podrobnosti o napravi, uporabo pomnilnika, različico operacijskega sistema in drugo. Rektbuildr trdi, da sledilna koda podjetja Ledger Live presega standardno analitiko in spremlja skoraj vsak klik. Omenili so:

“Koda za sledenje je preveč strukturna, da bi lahko samo štela uporabnike in prenose, kot to počnejo običajne aplikacije. Ledger Live izvaja analitiko vsega, od ogledov zaslona do klikov na gumbe, dogodkov napak, namestitev, odstranitev itd. V bistvu sledi vsemu. Spremlja se vse, kar počnete v tej aplikaciji.”

Uporabnik X trdi, da “vsaka posamezna datoteka” v Ledger Live vsebuje sledilnike uporabnikov. Po navedbah prijavitelja je program Ledger Live začel “intenzivno” kampanjo sledenja uporabnikom z izdajo različice v1.2.0 23. decembra 2019. Zlasti v tej izdaji je podjetje za nove namestitve privzeto preklopilo sledenje uporabnikom z opt-in na opt-out.

Poleg tega sama politika zasebnosti aplikacije Ledger Live razkriva, da zbira in hrani različne podatke o uporabnikih, vključno z identifikatorji seje naprave, naslovi IP (ki se prenašajo, vendar se ne shranjujejo, kot navaja Ledger), podrobnostmi o transakcijah in drugimi podatki.

Glede na “ne tako zasebno” politiko zasebnosti se zbrani podatki delijo s ponudniki tehničnih storitev, podružnicami, partnerji in morda tudi z drugimi podjetji v prihodnosti. V njej je navedeno: “V skladu s tem pravilnikom je treba zagotoviti, da bodo podatki o zasebnosti v skladu z zakonodajo, ki ureja zasebnost, dostopni tudi drugim podjetjem:
“Vaše podatke delimo z našimi ponudniki tehničnih storitev, hčerinskimi družbami, partnerji in drugimi podjetji, katerim bi lahko prodali ali dodelili vse ali del naših dejavnosti. Upravnim ali pravnim organom ali kateri koli drugi pooblaščeni tretji osebi, kadar je ta izmenjava podatkov določena z zakonom.”

Polemika sproža vprašanja o dejanski anonimnosti zbranih podatkov, zlasti glede na širok nabor subjektov, s katerimi Ledger deli podatke o uporabnikih. Kljub Ledgerjevi trditvi, da se naslovi IP ne shranjujejo, se še vedno pojavljajo pomisleki glede morebitne določljivosti posredovanih podatkov.

Uporabniki storitve Ledger Live od podjetja trenutno zahtevajo pojasnila glede praks zbiranja podatkov in razlogov za izmenjavo informacij z zunanjimi subjekti. Obtožbe bi lahko imele pomembne posledice za ugled podjetja Ledger in zaupanje uporabnikov ter poudarjajo nujnost večje preglednosti in etičnih podatkovnih praks v sektorju digitalnega premoženja.