- Сообщения
- 442
- Реакции
- 485
Интернет-магазины постоянно сливают данные о ваших покупках. По словам специалистов по кибербезопасности, это облегчает задачу привязки покупателей к их Биткойн-покупкам.
Всё больше интернет-магазинов в качестве способа оплаты предлагают воспользоваться Биткойном. Одна из важнейших особенностей этой технологии — это анонимность: хоть транзакции записываются и публично доступны, связаны они лишь с электронным адресом (прим.ред.: а в случае использования
Кому-то этого хватит, но
Для людей, желающих использовать Биткойн для совершения анонимных покупок, это важный вопрос: насколько легко провести параллели между ними и их Биткойн-транзакциями?
Благодаря работе Стивена Голдфедера (Steven Goldfeder) из Принстонского университета и его коллег, у нас наконец появился ответ. По их словам, даже с дополнительной защитой приватности вроде CoinJoin, сливы информации во время покупок сильно упрощают установление связей между покупателями и совершаемыми ими Биткойн-транзакциями.
Винить нужно веб-трекеры и куки — небольшие куски кода, специально встраиваемые в веб-страницы для отправки информации о действиях пользователей третьим лицам. Распространенные трекеры помогают
В итоге, информация о транзакциях оказывается в сети, а правительства, правоохранительные органы и злоумышленники могут её собирать и анализировать.
Голдфедер и Ко задались вопросом, насколько легко эту информацию использовать для нахождения людей по их транзакциям в сети Биткойн. Сам процесс требует прослушки, чтобы узнать персонально идентифицируемую информацию — имя и почту, к примеру — и связать её с конкретным Биткойн-адресом.
Команда начала с составления списка крупных компаний, работающих с Биткойн-транзакциями. В него вошли 130 компаний, включая Microsoft, NewEgg и Overstock.
После чего они изучили, как веб-трекеры по ходу покупки сливают информацию с сайта каждой компании.
Как сказал Голдфегер,
«Мы нашли, что по меньшей мере 53 магазина из 130 передают информацию о платеже как минимум 40 третьим сторонам, чаще всего со страниц «Моя корзина».
Большая часть этого слива намеренная и служит аналитическим и рекламным целям. Но исследователи утверждают, что отсылаются и кое-какие дополнительные данные.
По их словам,
«Мы нашли, что многие сайты сливают (скорее всего, ненамеренно) десяткам трекеров куда более серьезную информацию — конкретную транзакцию в блокчейне.»
Для тех, кто надеется на анонимность своих Биткойн-покупок, это плохие новости. Но даже если конкретная транзакция не обнародована, установить связь можно, используя переданные объём и время покупки.
В этом случае, перехватчику нужно конвертировать сумму покупки в биткойны по курсу на момент покупки, и найти транзакцию с этой суммой и на этот момент. Так и раскрывается пользовательский адрес. Любые другие покупки, совершенные с помощью этого адреса, будет проследить очень легко.
Есть и пара дополнительных факторов, усложняющих этот процесс. В случае, когда веб-трекер может передать только стоимость товара без доставки, полная сумма в биткойнах может быть не очевидна.
Также, возможно, что между просмотром страницы, с которой утекла информация, и собственно покупкой, пройдёт какое-то время. Учитывая, что покупки (транзакции) имеют временные отметки, их сложнее отследить, если неизвестно точное время.
Сумма покупки же обычно дается в местной валюте вроде долларов или фунтов, и конвертируется в биткойны в сам момент покупки. Из-за значительной неустойчивости обменных курсов биткойна, без достоверной информации о времени покупки может быть нелегко узнать её точную стоимость.
Все эти факторы усложняют привязку отдельных лиц к их транзакциям, но это ни в коем случае не исключено.
Как сказали исследователи,
«Мы обнаружили, что образование уникальной связи возможно в 60% случаев в случае выставления реалистичных значений этих параметров».
Есть способы спрятать Биткойн-транзакции получше. Из наиболее известных — CoinJoin, сервис, который объединяет пользователей, желающих совершить схожие покупки, и позволяет им платить вместе. При таком подходе биткойны смешиваются, что усложняет их идентификацию.
Но Голдфедер и Ко указывают, что если кто-то использует
«Если жертва использует 3 раунда CoinJoin и злоумышленник увидел 2 платежа, он может связать их с кошельком жертвы с точностью до 98%, несмотря на
Есть несколько способов
По словам Голдфедера и Ко,
«Такая защита может быть довольно эффективной, но она далека от идеала».
Всё это — довольно печальные новости для людей, надеющихся остаться инкогнито в сети. Но в то же время, это музыка для ушей правоохранительных органов, стремящихся отслеживать злостные нарушения закона.
Голдфедер и Ко признают:
«Как практически все деанонимизирующие атаки на криптовалюты, наши методы могут быть использованы для разработки криминалистических инструментов для нужд государственных внутренних органов».
Как и все деанонимизирующие методы, этот имеет как достоинства, так и недостатки.
Всё больше интернет-магазинов в качестве способа оплаты предлагают воспользоваться Биткойном. Одна из важнейших особенностей этой технологии — это анонимность: хоть транзакции записываются и публично доступны, связаны они лишь с электронным адресом (прим.ред.: а в случае использования
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
, а не веб-кошелька в духе blockchain.info, транзакции не связаны даже и с емэйлом пользователя). Таким образом, что бы вы не покупали, покупку нельзя проследить прямо до вас.Кому-то этого хватит, но
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
ни в коем случае не идеальна. Эксперты называют это
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
— как у писателей с выдуманным именем. Вы можете оставаться в тени лишь до тех пор, пока ваш литературный псевдоним с вами не связан. Но как только кто-то обнаружит, что именно вы написали всего одну из всех ваших книг, ваша хитрость перестанет работать. Вся ваша писанина под псевдонимом станет известна. Аналогично, как только ваш адрес в сети Биткойн свяжут с вашими личными данными, ваша история покупок будет раскрыта.Для людей, желающих использовать Биткойн для совершения анонимных покупок, это важный вопрос: насколько легко провести параллели между ними и их Биткойн-транзакциями?
Благодаря работе Стивена Голдфедера (Steven Goldfeder) из Принстонского университета и его коллег, у нас наконец появился ответ. По их словам, даже с дополнительной защитой приватности вроде CoinJoin, сливы информации во время покупок сильно упрощают установление связей между покупателями и совершаемыми ими Биткойн-транзакциями.
Винить нужно веб-трекеры и куки — небольшие куски кода, специально встраиваемые в веб-страницы для отправки информации о действиях пользователей третьим лицам. Распространенные трекеры помогают
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
,
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
и др. отслеживать навигацию по сайту, количество покупок, привычки серфинга и тому подобные вещи. Некоторые трекеры даже отсылают личные данные вроде вашего имени, местоположения и электронной почты.В итоге, информация о транзакциях оказывается в сети, а правительства, правоохранительные органы и злоумышленники могут её собирать и анализировать.
Голдфедер и Ко задались вопросом, насколько легко эту информацию использовать для нахождения людей по их транзакциям в сети Биткойн. Сам процесс требует прослушки, чтобы узнать персонально идентифицируемую информацию — имя и почту, к примеру — и связать её с конкретным Биткойн-адресом.
Команда начала с составления списка крупных компаний, работающих с Биткойн-транзакциями. В него вошли 130 компаний, включая Microsoft, NewEgg и Overstock.
После чего они изучили, как веб-трекеры по ходу покупки сливают информацию с сайта каждой компании.
Как сказал Голдфегер,
«Мы нашли, что по меньшей мере 53 магазина из 130 передают информацию о платеже как минимум 40 третьим сторонам, чаще всего со страниц «Моя корзина».
Большая часть этого слива намеренная и служит аналитическим и рекламным целям. Но исследователи утверждают, что отсылаются и кое-какие дополнительные данные.
По их словам,
«Мы нашли, что многие сайты сливают (скорее всего, ненамеренно) десяткам трекеров куда более серьезную информацию — конкретную транзакцию в блокчейне.»
Для тех, кто надеется на анонимность своих Биткойн-покупок, это плохие новости. Но даже если конкретная транзакция не обнародована, установить связь можно, используя переданные объём и время покупки.
В этом случае, перехватчику нужно конвертировать сумму покупки в биткойны по курсу на момент покупки, и найти транзакцию с этой суммой и на этот момент. Так и раскрывается пользовательский адрес. Любые другие покупки, совершенные с помощью этого адреса, будет проследить очень легко.
Есть и пара дополнительных факторов, усложняющих этот процесс. В случае, когда веб-трекер может передать только стоимость товара без доставки, полная сумма в биткойнах может быть не очевидна.
Также, возможно, что между просмотром страницы, с которой утекла информация, и собственно покупкой, пройдёт какое-то время. Учитывая, что покупки (транзакции) имеют временные отметки, их сложнее отследить, если неизвестно точное время.
Сумма покупки же обычно дается в местной валюте вроде долларов или фунтов, и конвертируется в биткойны в сам момент покупки. Из-за значительной неустойчивости обменных курсов биткойна, без достоверной информации о времени покупки может быть нелегко узнать её точную стоимость.
Все эти факторы усложняют привязку отдельных лиц к их транзакциям, но это ни в коем случае не исключено.
Как сказали исследователи,
«Мы обнаружили, что образование уникальной связи возможно в 60% случаев в случае выставления реалистичных значений этих параметров».
Есть способы спрятать Биткойн-транзакции получше. Из наиболее известных — CoinJoin, сервис, который объединяет пользователей, желающих совершить схожие покупки, и позволяет им платить вместе. При таком подходе биткойны смешиваются, что усложняет их идентификацию.
Но Голдфедер и Ко указывают, что если кто-то использует
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
, чтобы сделать таким образом несколько покупок, их можно легко отследить:«Если жертва использует 3 раунда CoinJoin и злоумышленник увидел 2 платежа, он может связать их с кошельком жертвы с точностью до 98%, несмотря на
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
«.Есть несколько способов
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
инструментами вроде Ghostery, AdBlock Plus, или uBlock Origin. Они полезны, но иногда упускают трекеры, а в других случаях не дают совершить покупку вообще.По словам Голдфедера и Ко,
«Такая защита может быть довольно эффективной, но она далека от идеала».
Всё это — довольно печальные новости для людей, надеющихся остаться инкогнито в сети. Но в то же время, это музыка для ушей правоохранительных органов, стремящихся отслеживать злостные нарушения закона.
Голдфедер и Ко признают:
«Как практически все деанонимизирующие атаки на криптовалюты, наши методы могут быть использованы для разработки криминалистических инструментов для нужд государственных внутренних органов».
Как и все деанонимизирующие методы, этот имеет как достоинства, так и недостатки.
