Исследователи установили, как веб-трекеры передают данные о биткоин-транзакциях в Google и Facebook
Сегодня уже стало привычным делом, когда интернет-магазины предлагают покупателям возможность расплатиться за товар биткоином. Однако при покупке часто происходит утечка данных, которая позволяет отследить личность покупателя, сообщает MIT Technology Review.
Одной из часто приписываемых биткоину характеристик является анонимность транзакций. Однако эксперты по безопасности называют это ложной конфиденциальностью, сравнивая ее с написанием книг под псевдонимом. Стоит связать имя с псевдонимом, и вся информация становится общедоступной. То же самое происходит с транзакциями в блокчейне.
Аспирант факультета информатики Принстонского университета Стивеном Голдфедер совместно с коллегами решил выяснить, каким образом можно привязать биткоин-сделки к конкретному человеку. Сделано это было на примере 130 компаний, поддерживающих биткоин, включая Microsoft, Newegg и Overstock.
По его словам, утечка информации при онлайн-покупках позволяет напрямую связать людей с транзакциями в сети биткоина, даже если пользователи прибегают к помощи дополнительных инструментов обеспечения конфиденциальности, например CoinJoin. И хотя большая часть утечки информации происходит в целях рекламы и аналитики, вместе с этим отправляется и некоторая дополнительная информация.
Основными виновниками Голдфедер называет веб-трекеры и куки — небольшие кусочки кода, специально встроенные в веб-сайты, которые передают третьим сторонам информацию о том, как люди используют сайт.
«Мы узнали, что много торговых сайтов имеют намного более серьезные (и вероятно неумышленные) информационные утечки, которые непосредственно раскрывают точную сделку в блокчейне десяткам трекеров», – сказал Голдфедер.
Часто веб-трекеры отправляют информацию в Google, Facebook, чтобы отслеживать использование страниц, количество покупок, привычки просмотра и т. д., однако есть такие трекеры, которые отправляют и персональные данные, включая имя, адрес и адрес электронной почты пользователей. Таким образом, информация о транзакциях попадает в интернет, где правительства, правоохранительные органы, коммерческие компании, или даже мошенники могут легко ее собирать и анализировать.
«По нашим данным, как минимум 53 из 130 мерчанта передают платежную информацию как минимум 40 третьи сторонам, чаще всего это происходит со страниц с корзинами покупателей», – говорит Голдфедер.
Есть, впрочем, дополнительные факторы, которые делают процесс отслеживания транзакций более сложным. Например, трекер может передавать информацию о стоимости продукта, но не видит стоимость доставки, из-за чего общая сумма покупки в биткоинах может отличаться.
Также может быть промежуток между моментом, когда пользователь просматривал страницу, с которой происходит утечка, и фактическим временем совершения покупки, записанным в блокчейн. Кроме того, сумма покупки обычно указана в местной валюте (доллары, фунты и т.д.), и конвертация в биткоин происходит момент ее оформления. Однако из-за сильных расхождений обменных курсов определить точное количество монет также может быть сложно, но, как подчеркивают исследователи, не невозможно.
«Мы пришли к выводу, что установить связь на основе этих параметров возможно более чем в 60% случаев», – добавил Голдфебер.
Способы скрыть биткоин-транзакции есть, но часто они являются неэффективными. Можно назвать сервис микширования CoinJoin, связывающий пользователей, которые хотят сделать подобные платежи. Смешивая адреса биткоин-кошельков, CoinJoin затрудняет идентификацию пользователей.
Исследователи называют и другие инструменты, которыми покупатели могут защитить себя: Ghostery, AdBlock Plus или uBlock Origin.
«Такая защита может быть весьма эффективной, но и она далека от совершенства», – говорят исследователи, отмечая, эти инструменты могут пропускать попытки отслеживания, а иногда полностью блокируют покупки.
Напомним, ранее стало известно, что Налоговая служба США уже на протяжении почти двух лет использует специальное программное обеспечение для отслеживания биткоин-транзакций.