Популярный криптовалютный кошелек MetaMask, представляющий собой расширение для браузера Brave, совместимое с Google, Opera и Chrome, согласно недавно поднятой проблеме на GitHub пользователем под ником projectoblio, транслирует адреса пользователей Ethereum на веб-сайты, которые они посещают.

Предоставление MetaMask возможности сайтам и трекерам отслеживать IP- адрес пользователя и все его действия в виртуальном мире, включая приложения, требующие особой конфиденциальности, противоречит самой философии криптовалют и Dapps на базе Ethereum.

Посещение приложений, где хранятся данные о здоровье пользователя MetaMask, перевод ETH контрагенту или вывод средств на банковский счет и т.д. оставляют для трекеров след, который ведет к учетной записи пользователя MetaMask и может причинить серьезный ущерб его интересам.

Пользователь MetaMask также жертвует конфиденциальностью всех своих контрагентов в системе, так как такие сайты, как Amazon, Google, PayPal и другие, могут связать его транзакции через блокчейн с платежами по кредитным картам, и таким образом идентифицировать  личность отправителя и получателя. Пользователь также может быть идентифицирован через социальные сети при использовании шэринговых функций страниц. Любой рекламодатель или трекер, благодаря «трансляциям сообщений», может обнаруживать адреса пользователей MetaMask и потенциально связывать их с действиями пользователей в Интернете.

Дэниэл Финли, разработчик браузерного сервиса Metamask компании ConsenSys, признал проблему, связанную с отслеживаем действий пользователей услуг Metamask благодаря трансляции сообщений, и посоветовал в ручном режиме активизировать режим конфиденциальности, private mode. Дэниел Финли считает, что включенный по умолчанию режим private mode в целом улучшил бы состояние конфиденциальности браузерного сервиса, однако по умолчанию он отключен, так как иначе прозрачность проекта с открытым исходным кодом была бы нарушена. 

Хакеры уже воспользовались этой уязвимостью, выложив в открытый доступ данные посетителей порно-сайтов.

Leave a comment