I ett överraskande avslöjande har digitala valutaentusiaster uttryckt oro över Ledger Live-appen, den programvara med öppen källkod som används för Ledgers hårdvaruplånböcker. Anklagelser tyder på att appen spårar och skickar användarinformation till en extern datainsamlingstjänst. Dessa påståenden kom fram på sociala medier, där användaren “rektbuildr” beskrev de oroande upptäckterna.
Efter att ha undersökt Ledger Lives nätverksaktivitet hävdade rektbuildr:
“Ledger Live skickar ut data om tillgångar som du har i din hårdvaruplånbok i det ögonblick du kommer åt Ledger Live. Den skickar också ut massor av annan information om din dator och enhet.”
Appen verkar överföra data till en extern slutpunkt på “https://api.segment.io/v1/t”, som identifieras som en outsourcad datainsamlingstjänst.
Spårar varje knapptryckning
Den exponerade nyttolasten innehåller enligt uppgift ett unikt användar-ID och en skrivnyckel som potentiellt kan identifiera användarnas enheter. Dessutom innehåller de överförda uppgifterna enhetsinformation, lagringsanvändning, operativsystemversion med mera. Rektbuildr hävdar att Ledger Lives spårningskod sträcker sig längre än standardanalys och övervakar nästan varje klick. De nämnde:
“Spårningskoden är för strukturell för att bara räkna användare och nedladdningar som vanliga appar gör. Ledger Live gör analyser av allt från skärmvisningar till knappklick, felhändelser, installationer, avinstallationer osv. Den spårar i princip allt. Allt du gör i den appen spåras.”
Användaren X hävdar att “varenda fil” på Ledger Live innehåller användarspårare. Enligt visselblåsaren inledde Ledger Live en “intensiv” användarspårningskampanj med v1.2.0-versionen den 23 december 2019. I synnerhet i denna version bytte företaget sin användarspårning från opt-in till opt-out som standard för nya installationer.
Ledger Live-appens policy för datainsamling
Dessutom avslöjar Ledger Lives integritetspolicy att de samlar in och lagrar olika användardata, inklusive sessionskoder för enheter, IP-adresser (överförda men inte lagrade, enligt Ledger), transaktionsuppgifter och mer.
Enligt den “inte så privata” sekretesspolicyn delas den insamlade informationen med tekniska tjänsteleverantörer, dotterbolag, partners och eventuellt andra företag i framtiden. I policyn står följande:
“Vi delar dina uppgifter med våra tekniska tjänsteleverantörer, dotterbolag, partner och andra företag till vilka vi kan sälja eller överlåta hela eller delar av vår verksamhet. Administrativa eller rättsliga myndigheter eller annan behörig tredje part där denna datadelning är fastställd i lag.”
Kontroversen ger upphov till frågor om den insamlade datans faktiska anonymitet, särskilt med tanke på det breda spektrum av enheter som Ledger delar användarinformation med. Trots Ledgers försäkran om att IP-adresser inte sparas, finns det kvarstående farhågor om den överförda datans potentiella identifierbarhet.
Användare av Ledger Live söker för närvarande klargöranden från företaget om datainsamlingsmetoder och skälen till att dela information med externa enheter. Anklagelserna kan potentiellt få betydande återverkningar på Ledgers rykte och användarnas förtroende, vilket understryker vikten av ökad transparens och etiska datapraxis inom sektorn för digitala tillgångar.