Duas das carteiras de criptomoedas mais usadas do mundo, o Ledger Live e a MetaMask, estão sendo acusadas de coletar diversos dados de seus usuários, incluindo cliques, transações e os próprios ativos de seus portfólios.
Outra carteira menos popular que também estaria coletando dados seria a carteira da Avalanche que assim como a MetaMask funciona como uma extensão de navegador.
Nos comentários, alguns usuários destacaram que essa coleta de dados não é nenhuma novidade e que ambas empresas são transparentes sobre isso. No entanto, alguns foram pegos de surpresa com as informações e podem querer tomar medidas para melhorar sua privacidade.
Coleta de dados pela carteira da Ledger é mais que preocupante, afirma pesquisador
A primeira carteira analisada por RektBuilder foi a Ledger, uma das carteiras de hardware mais utilizadas do mundo. Sendo mais claro, a investigação foi voltada para o Ledger Live, aplicativo comumente utilizado por quem compra uma Ledger.
“O Ledger Live envia [informações de] saldos de contas e NFTs que você mantém no dispositivo para um serviço chamado segment.io”, escreveu RektBuilder. “Ele também envia um ID de usuário e outros dados pessoais. Basicamente, a Ledger conhece todos os ativos mantidos em todos os dispositivos existentes.”
“A coleta de dados do Ledger Live é mais do que preocupante.”
Ledger Live sends out account balances and NFTs you hold in the device to a service called segment . io
It also sends a userId and other personal data.
Basically Ledger knows every asset held on every device out there
Why is this OK?https://t.co/mw1EW9c9l5
— REKTBuildr 🔺🔺🔺 (@rektbuildr) December 6, 2023
As informações não são tão surpreendentes. Afinal, Pascal Gauthier, CEO da Ledger, revelou em outubro que suas carteiras eram responsáveis pela segurança de 20% de todas as criptomoedas do mundo. Em outros números, as carteiras da Ledger armazenam cerca de R$ 1,55 trilhão em criptomoedas.
Os saldos, no entanto, não são os únicos dados coletados pela carteira da Ledger, que se estende para funções mais invasivas como cada clique que você dá em seu mouse.
“O código de rastreamento é muito estrutural para contar apenas usuários e downloads, como fazem os aplicativos normais”, escreveu RektBuilder em seu site. “O LL [Ledger Live] está fazendo análises de tudo, desde visualizações de tela até cliques em botões, eventos de erro, instalações, desinstalações, etc. Tudo o que você faz nesse aplicativo é rastreado.”
“Eles parecem estar no negócio de coleta de dados de usuários. Vender hardware é apenas onboarding.”
Felizmente os usuários das carteiras Ledger possuem algumas opções para mitigar essa coleta de dados. Uma delas é desativar a função “Analytics” na aba de configurações do Ledger Live.
Outra, ainda melhor, é o uso de outro software para conectar sua Ledger, já que a carteira física mantém sua segurança mesmo em conexão com outros softwares compatíveis.
MetaMask também está coletando diversos dados dos seus usuários
Enquanto a Ledger é uma das mais famosas carteiras de hardware, a MetaMask é uma das carteiras quentes mais utilizadas do mundo. Famosa por sua praticidade, funciona como uma extensão de navegador e dá acesso a diversas redes como Ethereum, Binance Smart Chain e outras blockchains.
Assim como o Ledger Live, a MetaMask está sendo acusada de coletar diversos dados de seus usuários.
“A Metamask usa o mesmo rastreador que o Ledger Live.”
“A propósito, acabei de notar que a Metamask usa um iframe de 1×1 píxel para análises, risos”, continuou RektBuilder. “Este é um truque da web dos velhos tempos! Usando GIFs invisíveis 1×1 para rastrear carregamentos de páginas e iframes posteriores.”
By the way, just noticed Metamask uses a 1×1 pixel iframe for analytics LOL
This is a web trick from the old days! Using 1×1 invisible GIFs to track page loads, later iframes. pic.twitter.com/lBMD7GKbny
— REKTBuildr 🔺🔺🔺 (@rektbuildr) December 10, 2023
Nos comentários, um seguidor notou que isso também não é novidade. Logo ao instalar a carteira no navegador, a MetaMask pede se o usuário deseja contribuir com dados como “eventos de visualização de páginas e cliques anonimizados”.
Embora seja opcional, RektBuilder nota que nenhuma carteira de criptomoedas deveria ter rastreadores em seu código. Afinal, esses dados são sensíveis já que podem conter informações financeiras de investidores.
Por fim, vale lembrar que a Ledger envolveu-se em duas grandes discussões nos últimos anos. A primeira foi o vazamento de seu banco de dados, contendo diversas informações sobre seus clientes. Mais recentemente, foi criticada por um serviço que armazenaria as chaves privadas da carteira na nuvem, indo contra sua proposta.
Já a MetaMask foi criticada por armazenar IPs de seus usuários, também correndo o risco de vazamentos.
