De kans is groot dat jij Metamask gebruikt. Dit is namelijk de grootste Ethereum-extensie voor in je browser. Naar verluidt stuurt deze extensie ETH-adressen door naar alle websites die jij bezoekt. Dit is op Github op 20 maart naar buiten gesuggereerd door ene projectoblio.
Metamask extensie
Metamask is een extensie die onder andere aan de Brave browser, Google Chrome, Mozilla Firefox en Opera toegevoegd kan worden. Het is een tooltje dat heel makkelijk te gebruiken is als je wilt communiceren met Ethereum-gebaseerde dApps. Je kunt er betalingen mee doen en je kunt er ook cryptomunten mee opslaan.
Nu schijnt het echter dat Metamask meer doet dan alleen dit. Als je nog in de default settings zit, sluist de extensie de Ethereum adressen van de gebruiker door naar de websites die bezocht worden. Deze adressen staan in de data objects (die uitgaande ‘berichten’ kunnen versturen) en niet enkel in de window objects (die enkel laten zien wat er op de site getoond wordt).
Link naar gevoelige informatie
Volgens het rapport kan dit leiden tot de identificatie van gebruikers. Hierdoor is het dus niet aan te raden om Metamast te gebruiken voor privacygevoelige dApp’s. De Github-post geeft voorbeelden van de recent gehackte porno-dApp Spankchain en een gezondheids-dapps, die eenvoudig naar de identiteit van de gebruikers kunnen leiden.
Daarbovenop zijn het niet enkel en alleen de administratoren van deze websites die de adressen kunnen zien. Ook trackers die op de website aanwezig zijn, krijgen toegang tot deze gegevens. Denk hierbij aan Facebook-like of share-knoppen, de Twitter-retweet plug-ins en vergelijkbare systemen die in de browser actief kunnen zijn. Jouw social media, gekoppeld aan jouw Ethereum adressen: het klinkt niet als een hele fijne combinatie.
Als antwoord op het GitHub-probleem stelde ontwikkelaar Dan Miller voor dat het inschakelen van de privémodus van de browser het probleem oplost. De auteur van het rapport antwoordt echter dat dit helemaal niets uit maakt. ConsenSys-softwareontwikkelaar Daniel Finlay gaf bijval en vermeldde het ermee eens zijn dat beter is om de privacymodus van de browser automatisch in te schakelen. De privacy van de extensie kan uiteraard ook enorm verbeterd worden. De hele discussie onder de originele Github-post is hier te lezen.