Digitaalisen valuutan harrastajat ovat yllättävästi ilmaisseet huolensa Ledger Live -sovelluksesta, joka on avoimen lähdekoodin kumppaniohjelmisto Ledger-laitteistolompakoille. Väitteiden mukaan sovellus seuraa ja lähettää käyttäjätietoja ulkoiselle tiedonkeruupalvelulle. Nämä väitteet tulivat julki sosiaalisessa mediassa, jossa käyttäjä “rektbuildr” kertoi huolestuttavista löydöksistä.
Tutkittuaan Ledger Liven verkkotoimintaa rektbuildr väitti:
“Ledger Live soittaa tietoja laitteistolompakossasi olevista varoista sillä hetkellä, kun käytät Ledger Liveä. Se lähettää myös tonneittain muita tietoja tietokoneestasi ja laitteestasi.”
Sovellus näyttää lähettävän tietoja ulkoiseen päätepisteeseen osoitteessa “https://api.segment.io/v1/t”, joka on tunnistettu ulkoistetuksi tiedonkeruupalveluksi.
Jokaisen painikkeen napsautuksen seuranta
Paljastettu hyötykuorma sisältää tiettävästi yksilöllisen käyttäjätunnuksen ja kirjoitusavaimen, jotka mahdollisesti tunnistavat käyttäjien laitteet. Lisäksi siirrettyihin tietoihin sisältyy muun muassa laitetietoja, tallennustilan käyttöä ja käyttöjärjestelmän versiota. Rektbuildr väittää, että Ledger Liven seurantakoodi ulottuu tavanomaista analytiikkaa pidemmälle ja seuraa lähes jokaista napin painallusta. He mainitsivat:
“Seurantakoodi on liian rakenteellinen laskeakseen vain käyttäjiä ja latauksia, kuten tavalliset sovellukset tekevät. Ledger Live tekee analytiikkaa kaikesta näytön katselusta napin napsautuksiin, virhetapahtumiin, asennuksiin, poistoihin jne. Se seuraa periaatteessa kaikkea. Kaikki, mitä teet sovelluksessa, seurataan.”
Käyttäjä X väittää, että Ledger Liven “jokainen yksittäinen tiedosto” sisältää käyttäjän seurantatunnisteita. Ilmiantajan mukaan Ledger Live aloitti “intensiivisen” käyttäjien seurantakampanjan v1.2.0-julkaisulla 23. joulukuuta 2019. Erityisesti tässä julkaisussa yritys vaihtoi käyttäjien seurannan opt-in-käyttäjistä opt-out-käyttäjiin oletusarvoisesti uusissa asennuksissa.
Ledger Live -sovelluksen tiedonkeruukäytäntö
Lisäksi Ledger Liven tietosuojakäytäntö itsessään paljastaa, että se kerää ja säilyttää erilaisia käyttäjätietoja, mukaan lukien laitteen istuntotunnisteet, IP-osoitteet (jotka lähetetään, mutta joita ei Ledgerin mukaan tallenneta), tapahtumatiedot ja paljon muuta.
“Ei niin yksityisen” tietosuojakäytännön mukaan kerättyjä tietoja jaetaan teknisten palveluntarjoajien, tytäryhtiöiden, yhteistyökumppaneiden ja mahdollisesti muiden yritysten kanssa tulevaisuudessa. Sen mukaan:
“Jaamme tietojasi teknisten palveluntarjoajiemme, tytäryhtiöidemme, kumppaneidemme ja muiden yritysten kanssa, joille voimme myydä tai luovuttaa toimintamme kokonaan tai osittain. Hallinto- tai oikeusviranomaisille tai muille valtuutetuille kolmansille osapuolille, jos tämä tietojen jakaminen on laissa säädetty.”
Kiista herättää tutkimuksia kerättyjen tietojen todellisesta anonymiteetistä, etenkin kun otetaan huomioon laaja joukko tahoja, joiden kanssa Ledger jakaa käyttäjätietoja. Huolimatta Ledgerin vakuutuksesta, jonka mukaan IP-osoitteita ei säilytetä, välitettyjen tietojen mahdollinen tunnistettavuus herättää edelleen huolta.
Ledger Liven käyttäjät pyytävät parhaillaan yritykseltä selvennystä tiedonkeruukäytäntöihin ja siihen, miksi tietoja jaetaan ulkopuolisten tahojen kanssa. Väitteillä voi olla merkittäviä vaikutuksia Ledgerin maineeseen ja käyttäjien luottamukseen, mikä korostaa avoimuuden ja eettisten tietokäytäntöjen lisäämisen tärkeyttä digitaalisen omaisuuden alalla.