Pārsteidzošā atklājumā digitālās valūtas entuziasti ir pauduši bažas par Ledger Live lietotni, kas ir Ledger aparatūras maku atvērtā koda papildprogrammatūra. Apsūdzības liecina, ka lietotne izseko un nosūta lietotāja informāciju ārējam datu vākšanas dienestam. Šie apgalvojumi nāca gaismā sociālajos tīklos, kur lietotājs “rektbuildr” izklāstīja satraucošos atklājumus.
Izpētījis Ledger Live tīkla darbību, “rektbuildr” apgalvoja:
“Ledger Live telefoniski nosūta datus par jūsu aparatūras makā esošajiem aktīviem, tiklīdz jūs piekļūstat Ledger Live. Tā nosūta arī daudz citas informācijas par jūsu datoru un ierīci.”
Šķiet, ka lietotne nosūta datus uz ārējo galapunktu vietnē “https://api.segment.io/v1/t”, kas tiek identificēta kā ārējs datu vākšanas pakalpojums.
Katra pogas klikšķa izsekošana
Tiek ziņots, ka atklātā ielāde satur unikālu lietotāja ID un rakstīšanas atslēgu, kas, iespējams, identificē lietotāju ierīces. Turklāt pārsūtītie dati ietver informāciju par ierīci, atmiņas izmantošanu, operētājsistēmas versiju un daudz ko citu. Rektbuildr apgalvo, ka Ledger Live izsekošanas kods sniedzas tālāk par standarta analītikas līdzekļiem, uzraugot gandrīz katru klikšķi. Viņi minēja:
“Izsekošanas kods ir pārāk strukturēts, lai tikai skaitītu lietotājus un lejupielādes, kā to dara parastās lietotnes. Ledger Live veic analīzi par visu, sākot no ekrāna skatījumiem līdz pogu klikšķiem, kļūdu notikumiem, instalācijām, atinstalācijām utt. Būtībā tas izseko visu. Tiek izsekots viss, ko jūs darāt šajā lietotnē.”
Lietotājs X apgalvo, ka Ledger Live “katrā atsevišķā failā” ir lietotāja izsekotāji. Saskaņā ar ziņotāja sniegto informāciju Ledger Live uzsāka “intensīvu” lietotāju izsekošanas kampaņu, 2019. gada 23. decembrī izdodot versiju v1.2.0. Zīmīgi, ka šajā laidienā uzņēmums pārslēdza lietotāju izsekošanu no opt-in uz opt-out pēc noklusējuma jaunām instalācijām.
Ledger Live lietotnes datu vākšanas politika
Turklāt pašā Ledger Live privātuma politikā ir atklāts, ka tā apkopo un saglabā dažādus lietotāja datus, tostarp ierīces sesijas identifikatorus, IP adreses (kas tiek pārraidītas, bet netiek saglabātas, kā norāda Ledger), informāciju par darījumiem un citus datus.
Saskaņā ar “ne tik privāto” privātuma politiku savāktā informācija tiek kopīgota ar tehnisko pakalpojumu sniedzējiem, meitasuzņēmumiem, partneriem un, iespējams, citiem uzņēmumiem nākotnē. Tajā teikts:
“Mēs kopīgojam jūsu datus ar mūsu tehnisko pakalpojumu sniedzējiem, meitasuzņēmumiem, partneriem un citiem uzņēmumiem, kuriem mēs varētu pārdot vai nodot visu vai daļu no mūsu darbības. Administratīvajām vai juridiskajām iestādēm vai citām pilnvarotām trešām personām, ja šāda datu koplietošana ir noteikta tiesību aktos.”
Domstarpības rosina uzdot jautājumus par apkopoto datu faktisko anonimitāti, jo īpaši ņemot vērā plašo struktūru loku, ar kurām Ledger dalās ar lietotāju informāciju. Neraugoties uz Ledger apgalvojumu, ka IP adreses netiek saglabātas, joprojām pastāv bažas par pārsūtīto datu iespējamo identificējamību.
Ledger Live lietotāji pašlaik vēlas saņemt no uzņēmuma skaidrojumus par datu vākšanas praksi un pamatojumu informācijas koplietošanai ar ārējām struktūrām. Apsūdzības potenciāli varētu būtiski ietekmēt Ledger reputāciju un lietotāju uzticēšanos, uzsverot, ka digitālo aktīvu nozarē ir steidzami nepieciešama lielāka pārredzamība un ētiska datu apstrādes prakse.