Nadšenci digitálnych mien vyjadrili prekvapivé znepokojenie nad aplikáciou Ledger Live, sprievodným softvérom s otvoreným zdrojovým kódom pre hardvérové peňaženky Ledger. Obvinenia naznačujú, že aplikácia sleduje a odosiela informácie o používateľoch externej službe na zber údajov. Tieto tvrdenia vyšli najavo na sociálnych sieťach, kde používateľ “rektbuildr” načrtol znepokojujúce zistenia.
Po preskúmaní aktivity aplikácie Ledger Live v sieti rektbuildr tvrdil: ,,Po preskúmaní aktivity aplikácie Ledger Live v sieti rektbuildr tvrdil, že:
“Služba Ledger Live telefonuje údaje o aktívach, ktoré máte vo svojej hardvérovej peňaženke, v okamihu, keď vstúpite do služby Ledger Live. Odosiela aj množstvo ďalších informácií o vašom počítači a zariadení.”
Zdá sa, že aplikácia odosiela údaje do externého koncového bodu na adrese “https://api.segment.io/v1/t”, ktorý je identifikovaný ako externá služba zberu údajov.
Sledovanie každého kliknutia na tlačidlo
Odhalené užitočné zaťaženie údajne obsahuje jedinečné ID používateľa a zapisovací kľúč, ktoré potenciálne identifikujú zariadenia používateľov. Okrem toho prenášané údaje obsahujú podrobnosti o zariadení, využitie úložiska, verziu operačného systému a ďalšie. Rektbuildr tvrdí, že sledovací kód spoločnosti Ledger Live presahuje štandardnú analytiku a monitoruje takmer každé kliknutie. Spomínajú: “Na základe údajov, ktoré sa nachádzajú v databáze, sa dá zistiť, či je možné, aby sa údaje o službe WebbuckerGovernment nachádzali v databáze:
“Kód sledovania je príliš štruktúrovaný na to, aby len počítal používateľov a stiahnutia, ako to robia bežné aplikácie. Ledger Live vykonáva analýzu všetkého od zobrazení obrazovky až po kliknutia na tlačidlá, chybové udalosti, inštalácie, odinštalovania atď. V podstate sleduje všetko. Sleduje sa všetko, čo v tejto aplikácii robíte.”
Používateľ X tvrdí, že “každý jeden súbor” v aplikácii Ledger Live obsahuje sledovacie údaje používateľa. Podľa oznamovateľa začala spoločnosť Ledger Live “intenzívnu” kampaň sledovania používateľov vydaním verzie v1.2.0 23. decembra 2019. Je pozoruhodné, že v tejto verzii spoločnosť zmenila sledovanie používateľov z opt-in na opt-out v predvolenom nastavení pre nové inštalácie.
Zásady zhromažďovania údajov aplikácie Ledger Live
Okrem toho samotné zásady ochrany osobných údajov aplikácie Ledger Live zverejňujú, že zhromažďuje a uchováva rôzne údaje používateľov vrátane identifikátorov relácie zariadenia, adries IP (podľa spoločnosti Ledger sa prenášajú, ale neukladajú), podrobností o transakciách a ďalších.
Podľa “nie príliš súkromných” zásad ochrany osobných údajov sa zozbierané informácie zdieľajú s poskytovateľmi technických služieb, dcérskymi spoločnosťami, partnermi a v budúcnosti potenciálne aj s inými spoločnosťami. Uvádza sa v nej:
“Vaše údaje zdieľame s našimi poskytovateľmi technických služieb, dcérskymi spoločnosťami, partnermi a ďalšími spoločnosťami, ktorým by sme mohli predať alebo postúpiť všetky naše činnosti alebo ich časť. Správnym alebo súdnym orgánom alebo akejkoľvek inej oprávnenej tretej strane, ak je toto zdieľanie údajov stanovené zákonom.”
Táto polemika podnecuje k otázkam o skutočnej anonymite zhromaždených údajov, najmä vzhľadom na široký okruh subjektov, s ktorými spoločnosť Ledger zdieľa informácie o používateľoch. Napriek tvrdeniu spoločnosti Ledger, že IP adresy sa neuchovávajú, pretrvávajú obavy týkajúce sa možnej identifikovateľnosti prenášaných údajov.
Používatelia služby Ledger Live sa v súčasnosti snažia získať od spoločnosti vysvetlenie týkajúce sa postupov zhromažďovania údajov a dôvodov zdieľania informácií s externými subjektmi. Tieto obvinenia by mohli mať potenciálne významné dôsledky pre povesť spoločnosti Ledger a dôveru používateľov, čo zdôrazňuje naliehavú potrebu zvýšenej transparentnosti a etických postupov v oblasti údajov v sektore digitálnych aktív.