Výbušná tvrzení: Ledger Live App Harvesting Massive User Data!

Překvapivé odhalení: nadšenci do digitálních měn vyjádřili obavy ohledně aplikace Ledger Live, open-source doprovodného softwaru pro hardwarové peněženky Ledger. Obvinění naznačují, že aplikace sleduje a odesílá informace o uživatelích externí službě pro sběr dat. Tato tvrzení vyšla najevo na sociálních sítích, kde uživatel “rektbuildr” nastínil znepokojivá zjištění.

Rozhraní aplikace Ledger Live
Uživatelské rozhraní aplikace Ledger Live

Po prozkoumání síťové aktivity aplikace Ledger Live rektbuildr tvrdil:
“Služba Ledger Live telefonuje údaje o aktivech, které máte ve své hardwarové peněžence, v okamžiku, kdy přistupujete ke službě Ledger Live. Odesílá také spoustu dalších informací o vašem počítači a zařízení.”

Zdá se, že aplikace odesílá data do externího koncového bodu na adrese “https://api.segment.io/v1/t”, který je identifikován jako externí služba pro sběr dat.

Sledování každého kliknutí na tlačítko

Odhalené užitečné zatížení údajně obsahuje jedinečné ID uživatele a zápisový klíč, což potenciálně umožňuje identifikovat zařízení uživatelů. Kromě toho přenášená data obsahují podrobnosti o zařízení, využití úložiště, verzi operačního systému a další údaje. Rektbuildr tvrdí, že sledovací kód společnosti Ledger Live přesahuje rámec standardní analytiky a sleduje téměř každé kliknutí. Zmínili se o tom:

“Sledovací kód je příliš strukturální na to, aby pouze počítal uživatele a stažení jako běžné aplikace. Ledger Live provádí analýzu všeho od zobrazení obrazovky po kliknutí na tlačítka, chybové události, instalace, odinstalace atd. V podstatě sleduje všechno. Sleduje se cokoli, co v této aplikaci uděláte.”

Analýza síťové aktivity Ledger Live
Zkoumání síťové aktivity služby Ledger Live

Uživatel X tvrdí, že “každý jednotlivý soubor” v aplikaci Ledger Live obsahuje sledovací údaje uživatele. Podle oznamovatele zahájila společnost Ledger Live “intenzivní” kampaň sledování uživatelů vydáním verze 1.2.0 dne 23. prosince 2019. Pozoruhodné je, že v této verzi společnost změnila sledování uživatelů z opt-in na opt-out ve výchozím nastavení pro nové instalace.

Zásady shromažďování údajů aplikace Ledger Live

Samotné zásady ochrany osobních údajů aplikace Ledger Live navíc zveřejňují, že shromažďuje a uchovává různé údaje o uživatelích, včetně identifikátorů relace zařízení, IP adres (podle společnosti Ledger přenášených, ale neukládaných), podrobností o transakcích a dalších údajů.

Podle “nepříliš soukromých” zásad ochrany osobních údajů jsou shromážděné informace sdíleny s poskytovateli technických služeb, dceřinými společnostmi, partnery a případně v budoucnu i s dalšími společnostmi. Uvádí se v ní: “V případě, že se jedná o soukromé údaje, je třeba, aby byly zveřejněny:
“Vaše údaje sdílíme s našimi poskytovateli technických služeb, dceřinými společnostmi, partnery a dalšími společnostmi, kterým bychom mohli prodat nebo postoupit všechny naše činnosti nebo jejich část. Správním nebo soudním orgánům nebo jiným oprávněným třetím stranám, pokud je toto sdílení údajů stanoveno zákonem.”

Tato kontroverze vybízí k dotazům na skutečnou anonymitu shromážděných údajů, zejména s ohledem na širokou škálu subjektů, s nimiž společnost Ledger sdílí informace o uživatelích. Navzdory tvrzení společnosti Ledger, že IP adresy nejsou uchovávány, přetrvávají obavy ohledně možné identifikovatelnosti předávaných údajů.

Uživatelé služby Ledger Live se v současné době snaží získat od společnosti vysvětlení ohledně postupů shromažďování údajů a důvodů sdílení informací s externími subjekty. Tato obvinění by mohla mít potenciálně významné důsledky pro pověst společnosti Ledger a důvěru uživatelů, což podtrhuje naléhavou potřebu větší transparentnosti a etických datových postupů v odvětví digitálních aktiv.