Titres Titres
Cette semaine, Celsius Network a publié un gros document contenant tous les soldes des comptes de ses clients.
Cette décision fait partie du processus de restructuration en cours de la société à la suite de son dépôt de bilan en vertu du chapitre 11 du début de cette année. Le document reflète les soldes des utilisateurs au 13 juillet 2022, lorsque la restructuration de l’entreprise a commencé, et les transactions des clients qui ont eu lieu dans les 90 jours précédant le dépôt du chapitre 11, selon la FAQ de l’entreprise.
Sans surprise, la publication de données aussi détaillées sur les clients, qui comprennent les soldes, les transactions et les noms, a provoqué une tumulte sur Twitter. Ces informations peuvent non seulement éclairer les informations financières de chaque utilisateur, mais également permettre aux observateurs d’analyser la blockchain et de désanonymiser les adresses en chaîne, puisque les montants et la date des transactions sont détaillés dans le document.
En mettant tout cela ensemble, il devient clair que la vie privée des utilisateurs a été envahie et leur sécurité compromise. Mais ne vous inquiétez pas (encore); cet article explique pourquoi cela s’est produit et ce qui peut être fait pour atténuer certaines menaces si vous faites partie des utilisateurs doxxés.
Pourquoi Celsius a-t-il rendu ce document public ?
Comme mentionné précédemment, ce document fait partie du processus de restructuration de Celsius. Celsius a été obligé de divulguer les informations de ses clients dans le cadre de son processus de restructuration, compte tenu de la nécessaire transparence exigée par la loi américaine. Bien que cela ne s’applique généralement qu’aux actifs de l’entreprise, étant donné que Celsius détenait les actifs des clients, ils ont également été affectés.
Selon un document judiciaire, Celsius a soumis une demande de réduction de la publication des informations personnellement identifiables (PII) du client par le biais d’un processus de rédaction avant de les rendre publiques. Le prêteur a présenté trois arguments.
Tout d’abord, Celsius a fait valoir qu’une si grande base de données d’informations sur les consommateurs était trop précieuse pour que l’entreprise soit rendue publique. Cela «diminuerait considérablement la valeur de la liste de clients en tant qu’actif dans toute future vente potentielle d’actifs», a affirmé la société.
(Capture d’écran/Document du tribunal de restructuration de Celsius)
Deuxièmement, Celsius a avancé l’argument selon lequel, si les PII des clients étaient révélés, ils pourraient devenir la cible de « l’usurpation d’identité, le chantage, le harcèlement, le harcèlement et le doxing », selon le document du tribunal.
(Capture d’écran/Document du tribunal de restructuration de Celsius)
Enfin, le prêteur de crypto-monnaie a fait valoir que, puisque bon nombre de ses clients résident dans différentes juridictions du monde entier, la divulgation de leurs PII pourrait « exposer [Celsius] à une responsabilité civile potentielle et à des sanctions financières importantes. Le document mentionne spécifiquement le règlement général sur la protection des données du Royaume-Uni (UK GDPR) et le GDPR de l’Union européenne.
Le syndic américain, d’autre part, a fait valoir que Celsius « n’invoque pas et ne peut invoquer aucune exception à la règle générale selon laquelle les procédures de faillite doivent être ouvertes, publiques et transparentes » et n’a offert « rien de plus que de vagues déclarations à l’appui de sa demande » à expurger les informations confidentielles.
Ils ont également fait valoir que les PII que Celsius cherchait à expurger « ne sont ni des informations confidentielles ni commerciales ».
« Le fiduciaire américain soutient que [Celsius’] propres politiques de confidentialité soutiennent l’argument selon lequel les informations des clients ne sont pas confidentielles car elles permettent de partager les noms et les coordonnées des clients avec des « partenaires commerciaux » tiers et, par conséquent, ne sont pas confidentielles », selon le document judiciaire.
En outre, le «syndic américain soutient que les informations ne sont pas véritablement de nature commerciale car les débiteurs ne cherchent pas à supprimer tous les noms et informations d’identification des créanciers et demandent plutôt que les informations d’identification ne soient supprimées que pour certains créanciers», mais les informations concernant à un autre groupe seront entièrement divulgués en raison du lieu de résidence de ces créanciers. »
Sur le plan du droit international, le syndic américain a également estimé qu’en vertu de la loi américaine sur la faillite, les procédures de faillite devraient être publiques et qu’elles devraient prévaloir sur le RGPD britannique et le RGPD européen.
Enfin, et ce qui est le plus choquant, « l’administrateur américain soutient que [Celsius’] les arguments selon lesquels les créanciers pourraient faire l’objet de violences si leur identité était révélée constituent des preuves anecdotiques, qui n’atteignent pas le niveau de preuve nécessaire pour renverser la présomption de faillite ouverte et publique.
En réponse, Celsius a publié une autre motion, cherchant à mettre en œuvre un processus d’anonymisation complet pour ne pas révéler d’informations détaillées sur les utilisateurs. Cela allait au-delà de la requête initiale soumise, qui demandait la possibilité de supprimer l’adresse personnelle et e-mail des clients américains et le nom, l’adresse personnelle et l’adresse e-mail des clients britanniques et européens.
Le tribunal a rejeté la majorité des demandes de Celsius. Il a rejeté la différenciation entre les clients américains et britanniques/européens sur la base des arguments ci-dessus et a permis à l’entreprise de ne supprimer que les adresses personnelles et e-mail. Il a complètement nié la requête d’anonymisation.
Décision du tribunal. (Capture d’écran/Document du tribunal de restructuration de Celsius)
Voici ce que les utilisateurs de Doxxed peuvent faire
Il existe de nombreuses options que l’on peut prendre s’ils se retrouvent exposés dans les documents Celsius, mais aucune d’entre elles ne pourra effacer le passé. Plus on se rapproche de cela, dans le cas où la publication de ces points de données a le potentiel de nuire de manière tangible à la personne, elle peut légalement changer de nom en tant qu’option (extrême) de dernier recours. On pourrait également déménager à une adresse différente, mais puisque le tribunal a autorisé Celsius à expurger les adresses personnelles, ce n’est peut-être pas un si gros problème à essayer d’atténuer. Il convient de noter, cependant, que les versions non expurgées des documents déposés sont accessibles à « l’administrateur américain et l’avocat du comité, et à toute partie intéressée » qui demande et obtient l’accès ; le cas du déménagement peut encore être fait.
Les utilisateurs peuvent également prendre des mesures pour atténuer certaines des menaces qui pèsent sur le monde numérique. En ce qui concerne les adresses en chaîne que les observateurs peuvent anonymiser en consultant la blockchain et les informations divulguées dans le document, de bons outils axés sur la confidentialité peuvent venir à la rescousse.
L’alternative la plus simple consiste à utiliser les fonds CoinJoin. Même si cela n’effacera pas l’historique des transactions de l’utilisateur, si cela est fait correctement, cela permettra à l’utilisateur de profiter d’une bonne confidentialité prospective. Cela signifie que les dépenses à partir de ce moment ne seront pas clairement identifiées comme une transaction provenant de l’utilisateur doxxé. (Similaire à la façon dont la banque sait quand vous retirez de l’argent à un guichet automatique mais ne peut pas obtenir d’informations détaillées sur ce que vous dépensez par la suite.) L’utilisateur peut se lancer dans d’autres outils de confidentialité, comme PayJoins, qui brisent également l’heuristique que les mauvais acteurs utilisent. pour déduire des informations à partir de données en chaîne.
Mais peut-être que la chose la plus importante que les utilisateurs peuvent faire est d’adopter l’approche à faible préférence temporelle et d’éviter d’utiliser des services centralisés qui collectent les données des utilisateurs. Les sociétés de services financiers du monde entier, dans le domaine de la crypto-monnaie et au-delà, doivent se conformer aux règles de connaissance du client (KYC) et de lutte contre le blanchiment d’argent (AML). Bien que de telles lois soient probablement bien intentionnées, leur efficacité est contestée et les inconvénients sont clairs –– comme dans cette affaire Celsius.
À l’ère de l’information, les données sont la denrée la plus précieuse et, à ce titre, les entreprises qui collectent de grandes quantités de données deviennent des pots de miel, devenant ainsi la cible de cyberattaques alors que les pirates et autres cherchent à monétiser ces informations.
Alors que les gouvernements du monde ne réalisent pas ce problème gigantesque au 21e siècle, les utilisateurs sont incités à faire ce qu’ils peuvent pour s’approprier leurs données et revendiquer leur vie privée. Comme le statu quo pousse les gens à partager autant que possible leur vie, le droit à la vie privée ne doit pas être considéré comme quelque chose dont les citoyens respectueux des lois n’ont pas besoin, mais plutôt comme le droit même qui permet tous les autres.
Source https://bitcoinmagazine.com/business/why-celsius-exposed-users-and-what-you-can-do
