به گزارش گرداب،این روزها تعداد فروشگاههای اینترنتی که امکان خرید از طریق بیتکوین را برای کاربرانشان فراهم میکنند، افزایش پیدا کرده است. همانطور که میدانید، یکی از اصلیترین ویژگیهای پرطرفدار بیتکوین این است که هویت فردی که خرید را از طریق بیتکوین انجام میدهد، ناشناس باقی میماند. هرچند تراکنشهای انجامشده توسط بیتکوین بهصورت عمومی در شبکهی بیتکوین پخش میشوند، اما هویت پرداخت و دریافتکنندهی این پول مشخص نمیشود؛ چراکه طرفین یک تراکنش تنها از طریق یک آدرس الکترونیکی به همدیگر متصل میشوند. این قابلیت برای برخی افراد بسیار کاربردی است و متخصصان امنیتی این قابلیت را حریم خصوصی مبتنی بر اسم مستعار میخوانند. برای مثال نویسندگانی که کتاب خود را تحت نام دیگری منتشر میکنند نیز از چنین امکانی سود میبرند؛ اگر شخصی بتواند رابطه بین نویسنده اصلی و نام مستعار را پیدا کند، دیگر خبری از پنهان بودن نخواهد بود. در صورتی که هویت کاربران بیتکوین فاش شود، کل سابقهی خرید آنها نیز آشکار خواهد شد.
حال سؤال اصلی مطرح میشود که یافتن ارتباط افراد با حساب کاربری بیتکوین آنها چه اندازه ساده است؟
پاسخ سؤال فوق با تحقیقات انجامشده توسط استیون گلدفدر از دانشگاه پرینستون مشخص شده است. متخصصان حوزهی امنیتی به رهبری گلدفدر، اعلام کردهاند که افشای اطلاعات در فرایند انجام خریدهای معمولی، کار را برای پیدا کردن هویت افرادی که از تراکنشهای پول رمزنگاریشده استفاده میکنند، راحتتر کرده است. این موضوع حتی در زمان استفاده از راهکارهای حفظ حریم خصوصی بیشتر نظیر CoinJoin نیز ممکن است.
اولین مواردی که به پیدا کردن ردپای کاربران کمک میکنند، ابزارهای موسوم به web Tracker و کوکیها هستند. وبترکر، قطعه کدی است که در داخل کد وبسایت قرار میگیرد و اطلاعاتی در خصوص چگونگی بازدید از وبسایت برای مجریان امر ارسال میکند. وبترکرهای معمولی اطلاعات دریافتی را به گوگل، فیسبوک و سایر وبسایتها و سرویسهایی که به اطلاعات کاربران نیازمندند، ارسال میکنند تا از این طریق سرویسهایی نظیر گوگل بتوانند عادت وبگردی کاربران را دریافت و از آن استفاده کنند. برخی ترکرها حتی اطلاعات شخصیتری نظیر نام، آدرس و ایمیل کاربران را در اختیار سایر سرویسها قرار میدهند.
نکتهای که اهمیت زیادی دارد، روشی است که گلدفدر و دوستانش برای پیدا کردن هویت کاربران در تراکنشها با استفاده از اطلاعات وبترکرها مورد استفاده قرار میدهند. در این فرایند به یک جاسوس نیاز است تا اطلاعاتی نظیر ایمیل و نام افراد را به دست آورد و سپس آن را به یک آدرس تراکنش بیتکوین با توجه به شواهد موجود ارتباط دهد. تیم تحقیقاتی گلفدر بیش از ۱۳۰ وبسایت با قبول بیتکوین برای تراکنشها را مورد بررسی قرار داده است که شامل مایکروسافت، نیواِگ و اوراستاک میشود.
تیم گلدفدر سپس به بررسی وبترکرهایی پرداخته است که اطلاعات این وبسایتها را در جریان فرآیند خرید برای سایر سرویسها ارسال میکنند. گلدفدر در این خصوص چنین اظهار نظر کرده است:
ما پس از تحقیقات فراوان به این نکته پی بردیم که ۵۳ وبسایت از مجموع ۱۳۰ وبسایت موجود، اطلاعات کاربران در فرایند پرداخت را در اختیار بیش از ۴۰ سرویس قرار میدهند.
بخش اعظمی از اطلاعات فاش شده با هدف استفادهی تبلیغاتی و تبلیغات هدفدار در اختیار سرویسها قرار میگیرند. نکتهای که تیم گلدفدر به آن پی برده این است که وبسایتهای مورد نظر، اطلاعاتی بسیار حساستر از پروسهی خرید با استفاده از بیتکوین را فاش میکنند.
این خبر برای افرادی که دوست دارند اطلاعات خود را در رابطه با خریدهای بیتکوین بهصورت سری ذخیره کنند، خبر خوبی نبود. هرچند تراکنش اصلی همچنان قابلیت محرمانگی خود را حفظ میکند؛ اما با استفاده از اطلاعات برگرفته از وبترکرها میتواند از طریق مبلغ و زمان خرید، هویت افراد را مشخص کرد.
جاسوس توسعهیافته میتوان با تبدیل مبلغ مورد نیاز برای خرید به بیت کوین و همچنین زمان خرید انجامشده به جستجوی اطلاعات مورد نظر در بلاکچین بپردازد که اطلاعات آن بهصورت گسترده برای همه کاربران بیت کوین منتشر میشود. با استفاده از این سلسله جستجوها میتوان آدرس کاربر در بیت کوین را یافت و در نتیجه سایر اطلاعات وی را مشاهده کرد. البته باید به این نکته اشاره کرد که شماری از اطلاعات فاش شده میتواند فرایند یافتن هویت فردی که خرید کرده است، سختتر کنند. برای مثال میتوان به تفاوت زمانی ورود به صفحهی خرید و پرداخت اشاره کرد. با توجه به اینکه پرداختها در بیتکوین در ساعت مشخص آن ثبت میشوند، تفاوت زمانی با ساعتی که اطلاعات آن از طریق وبترکرها ثبت شده است، تعقیب و یافتن کاربر مورد نظر را سخت میکند.
همچنین عدم اطلاع از ساعت دقیق انجام تراکنش در کنار تغییرات زیاد ارزش هر بیت کوین، باعث میشود شناسایی هویت پرداختکننده بیش از پیش دشوار شود. البته این موضوع به این معنی نیست که این کار نشدنی است؛ زیرا اطلاعات ارائهشده نشان از این دارد که در بیش از ۶۰ درصد موارد میتوان بهدرستی اقدام به شناسایی کاربر کرد.
در پایان باید به این نکته اشاره کنیم که استفاده از افزونهها و سرویسهایی نظیر ادبلاک پلاس، یوبلاک اوریجین و گاستری میتوان فرایند یافتن هویت کاربران را بیش از پیش سخت کند؛ اما از نظر گلدفدر ایدهآل نیست.
منبع: زومیت