Zkrachovalá společnost Celsius v rámci procesu restrukturalizace odhalila osobní údaje tisíců uživatelů. Zde se dozvíte, co se stalo a co můžete udělat pro svou ochranu.
Společnost Celsius Network tento týden zveřejnila rozsáhlý dokument obsahující všechny zůstatky na účtech jejích zákazníků.
Tento krok je součástí probíhajícího procesu restrukturalizace společnosti po podání návrhu na vyhlášení konkurzu podle kapitoly 11 z počátku tohoto roku. Dokument odráží zůstatky na účtech uživatelů k 13. červenci 2022, kdy začala restrukturalizace společnosti, a transakce zákazníků, které se uskutečnily během 90 dnů předcházejících podání žádosti o povolení podle kapitoly 11.
Není překvapením, že zveřejnění takto podrobných údajů o zákaznících, které zahrnují zůstatky, transakce a jména, vyvolalo na Twitteru rozruch. Tyto informace mohou nejen vrhnout světlo na finanční informace každého uživatele, ale také umožnit pozorovatelům analyzovat blockchain a deanonymizovat adresy na řetězci, protože v dokumentu jsou podrobně uvedeny částky a data transakcí.“
Když si to všechno dáme dohromady, je jasné, že soukromí uživatelů bylo narušeno a jejich bezpečnost ohrožena. Ale nezoufejte (zatím); tento článek rozebírá, proč k tomu došlo a co lze udělat pro zmírnění některých hrozeb, pokud patříte mezi uživatele, kteří byli doxxed.
Proč společnost Celsius tento dokument zveřejnila?
Jak již bylo zmíněno, tento dokument je součástí restrukturalizačního procesu společnosti Celsius. Společnost Celsius byla povinna zveřejnit informace o zákaznících v rámci procesu restrukturalizace vzhledem k nezbytné transparentnosti, kterou vyžadují americké zákony. Ačkoli se to obvykle týká pouze majetku společnosti, vzhledem k tomu, že společnost Celsius měla v úschově majetek zákazníků, týkalo se to i tohoto majetku.
Podle soudního dokumentu společnost Celsius předložila žádost o omezení zveřejňovaných osobních údajů zákazníků prostřednictvím procesu redigování před jejich zveřejněním. Věřitel předložil tři argumenty:
Zaprvé společnost Celsius tvrdila, že tak rozsáhlá databáze informací o spotřebitelích je pro ni příliš cenná na to, aby byla zveřejněna. Tím by se „výrazně snížila hodnota seznamu zákazníků jako aktiva při případném budoucím prodeji majetku“, tvrdila společnost.
Za druhé, společnost Celsius předložila argument, že v případě odhalení osobních údajů zákazníků by se tito mohli stát terčem „krádeže identity, vydírání, obtěžování, stalkingu a doxingu“, jak uvádí soudní dokument
Nakonec věřitel kryptoměn tvrdil, že vzhledem k tomu, že mnoho jeho zákazníků pobývá v různých jurisdikcích po celém světě, mohlo by zveřejnění jejich osobních údajů „vystavit [Celsius] potenciální občanskoprávní odpovědnosti a značným finančním sankcím“ Dokument konkrétně upozorňuje na obecné nařízení o ochraně osobních údajů Spojeného království (U.K. GDPR) a GDPR Evropské unie.“
Americký správce naopak tvrdil, že společnost Celsius „se nespoléhá a nemůže spoléhat na žádné výjimky z obecného pravidla, že konkurzní řízení by mělo být otevřené, veřejné a transparentní“, a nenabídla „nic víc než vágní prohlášení na podporu své žádosti“ o redigování důvěrných informací.
Rovněž tvrdili, že osobní údaje, které společnost Celsius požadovala redigovat, „nejsou ani důvěrné, ani obchodní informace.“
„Správce tvrdí, že [Celsius’] vlastní zásady ochrany osobních údajů podporují argument, že informace o zákaznících nejsou důvěrné, protože umožňují sdílení jmen a kontaktních informací zákazníků s „obchodními partnery“ třetích stran, a proto nejsou důvěrné,“ podle soudního dokumentu
Kromě toho „U.S. Správce tvrdí, že informace nemají skutečně obchodní povahu, protože dlužníci nežádají o redigování jmen a identifikačních údajů všech věřitelů a místo toho žádají, aby byly identifikační údaje redigovány pouze u některých věřitelů, „ale informace týkající se jiné skupiny budou plně zveřejněny vzhledem k místu, kde tito věřitelé žijí.“
Pokud jde o aspekt mezinárodních zákonů, americký správce rovněž odůvodnil, že podle úpadkového práva Spojených států by úpadkové řízení mělo být veřejné a ty by měly mít přednost před právem USA.K. GDPR a EU GDPR.“
A konečně, což je nejvíce šokující, „správce USA tvrdí, že [Celsius’] argumenty, že by věřitelé mohli být vystaveni násilí, pokud by byla odhalena jejich identita, se rovnají anekdotickým důkazům, které nedosahují úrovně důkazů nezbytných k překonání domněnky otevřeného a veřejného úpadku.“
V reakci na to společnost Celsius zveřejnila další návrh, v němž usiluje o zavedení úplného procesu anonymizace, aby nebyly odhaleny podrobné informace o uživatelích. Ten šel nad rámec původního předloženého návrhu, který požadoval možnost redigovat domovskou a e-mailovou adresu zákazníků z USA a jméno, domovskou a e-mailovou adresu zákazníků z Velké Británie a EU.“
Soud rozhodl proti většině požadavků společnosti Celsius. Na základě výše uvedených argumentů odmítl rozlišování mezi zákazníky z USA a Spojeného království/EU a povolil společnosti redigovat pouze domácí a e-mailovou adresu. Návrh na anonymizaci zamítl úplně.
Zde je návod, co mohou uživatelé, kteří se stali obětí Doxxed, dělat
Existuje mnoho možností, které může člověk využít, pokud se ocitne v dokumentech společnosti Celsius odhalen, ale žádná z nich nedokáže vymazat minulost. V případě, že zveřejnění těchto datových bodů má potenciál dotyčnou osobu citelně poškodit, může se k tomu přiblížit tím, že si jako (krajní) možnost v krajním případě legálně změní jméno. Člověk by se také mohl přestěhovat na jinou adresu, ale vzhledem k tomu, že soud povolil společnosti Celsius redigovat adresy bydliště, nemusel by to být tak velký problém, který by se snažil zmírnit. Stojí však za zmínku, že neredigované verze podání jsou přístupné „americkému správci a právnímu zástupci výboru a kterékoli zúčastněné straně“, která o to požádá a je jí umožněn přístup; případ stěhování domů může být stále aktuální.
Uživatelé mohou také přijmout opatření ke zmírnění některých hrozeb v digitálním světě. Pokud jde o adresy v řetězci, které mohou pozorovatelé deanonymizovat pohledem na blockchain a informace zveřejněné v dokumentu, mohou přijít na pomoc dobré nástroje zaměřené na ochranu soukromí
Jednodušší alternativou je CoinJoin fondů. I když to nevymaže historii transakcí uživatele, pokud se to provede správně, umožní to uživateli užívat si dobré soukromí s výhledem do budoucna. To znamená, že výdaje od tohoto okamžiku nebudou jasně rozpoznatelné jako transakce pocházející od uživatele, který byl doxxován. (Podobně jako banka ví, když si vyberete hotovost v bankomatu, ale nemůže získat podrobné informace o tom, za co jste ji následně utratili) Uživatel se může pustit do dalších nástrojů na ochranu soukromí, jako je PayJoins, které také prolamují heuristiku, kterou zlí hráči používají k odvozování informací z dat na řetězci.“
Ale asi nejdůležitější věc, kterou mohou uživatelé udělat, je zvolit přístup nízkých časových preferencí a vyhnout se používání centralizovaných služeb, které sbírají uživatelská data. Společnosti poskytující finanční služby po celém světě, a to nejen v oblasti kryptoměn, musí dodržovat pravidla know-your-customer (KYC) a pravidla proti praní špinavých peněz (AML). Ačkoli jsou tyto zákony pravděpodobně dobře míněny, jejich účinnost je sporná a jejich stinné stránky jsou zřejmé – jako v tomto případě společnosti Celsius.
V informačním věku jsou data nejcennějším zbožím, a proto se společnosti, které shromažďují obrovské množství dat, stávají „honeypots“ a fakticky se stávají terčem kybernetických útoků, protože hackeři a další osoby se snaží tyto informace zpeněžit.
Zatímco světové vlády si tento gigantický problém v 21. století neuvědomují, uživatelé jsou motivováni udělat vše pro to, aby si svá data přivlastnili a nárokovali si zpět své soukromí. Vzhledem k tomu, že status quo tlačí lidi k tomu, aby o svém životě sdíleli co nejvíce informací, nemělo by být právo na soukromí vnímáno jako něco, co občané dodržující zákony nepotřebují, ale jako právě to právo, které umožňuje všechna ostatní.“
