Одна из главных особенностей биткоина, по которой он популярен среди торговцев наркотиков и других дельцов, это анонимность. Но в ней есть нюансы. Так, информация о каждой биткоин-транзации доступна всем, хоть личность, стоящую за конкретным кошельком это выявить не позволяет. Теперь исследователи Принстонского университета подробно изучили насколько анонимной является оплата биткоинами в интернете, на обычных ecommerce-площадках. Оказалось, что куки, которые онлайн-магазины собирают о пользователях, могут помочь идентифицировать человека, скрывающегося за безымянным биткоин-кошельком. 

Авторы исследования “Когда куки встречаются с блокчейном: Риски приватности веб-платежей с помощью криптовалют” продемонстрировали два типа дополняющих друг друга атак. Они доказали, что с помощью информации, собираемой рекламными трекерами о пользователе и его покупках, можно идентифицировать как самого человека, так и весь кластер его адресов и транзакций на блокчейне. 

Схема агрегации данных о пользователе с разных площадок с последующим выявлением всей сети его транзакций на блокчейне

Каждый сайт хранит куки на каждого пользователя или делится данными о покупателях с рекламными компаниями. Информация позволяет рекламодателям таргетировать объявления, делать их более эффективными, и повышать прибыль магазинов от рекламы. Данные, которые собирают ecommerce-сайты, может варьироваться от простых куки с информацией о системе пользователя до истории покупок, цен, заброшенных корзин, адресов электронной почты и доставки.

Даже если сайт или рекламный трекер не хранит так много данных, атакующий или государственное агентство могут агрегировать данные нескольких рекламных агентств. Это позволит создать более точные профили пользователей или связать подозрительные биткоин-адреса с реальными личностями, их онлайн-никами, email-адресами и другими данными. Если ecommerce-площадка хранит только базовую информацию о пользователе, но он однажды расплатился биткоинами, а затем вернулся и оплатил покупку кредитной картой, оба случая можно связать с помощью куки, объясняет BleepingComputer. 

Этапы покупки на ecommerce-сайте, на каждом из которых может происходить утечка данных о пользователе

Принстонские исследователи также проанализировали 130 ecommerce-сайтов из 21 страны, которые принимают оплату в биткоинах. Они рассмотрели как каждый из сайтов проводит транзакции и какая информация оказывается публичной во время процесса оплаты. 

  • На 53 из 130 сайтов происходила утечка платежной информации третей стороне, чаще всего со страниц корзины покупок.
  • На 49 из 130 сайтов происходила утечка каких либо персональных данных.
  • На 32 из 130 сайтов происходила утечка информации об email-адресах.
  • На 27 из 130 и 25 из 130 сайтов происходила утечка имени или фамилии пользователя соответственно.
  • На 15 из 130 сайтов происходила утечка имени пользователя.
  • На 13 из 130 сайтов происходила утечка информация об адресе доставки.
  • На 10 из 130 сайтов происходила утечка номера телефона пользователя.
  • На 25 из 130 сайтов утечка данных третьей стороне происходила даже с включенной защитой от трекинга.
  • На 12 из 130 сайтов происходила утечка биткоин-адресов пользователя.
  • На 11 из 130 сайтов происходила утечка цен на купленные продукты в биткоинах.
  • На 28 из 130 сайтов происходила утечка информации о добавлении товаров в корзину.
  • 107 из 130 сайтов предоставляли доступ к информации о транзакциях скриптам третей стороны.
  • 125 из 130 сайтов предоставляли доступ к каким-либо персональным данным скриптам третьей стороны.

Любые из подобных данных могут стать ключом для деанонимизации пользователя, стоящего за биткоин-транзакцией. С одной стороны это может помочь властям находить преступников, скрывающихся в darkweb, с другой – подвергать опасности активистов, пытающихся скрыться от репрессивных режимов.

Напомним, ранее мы писали о том, как авторы NotPetya замели следы, выводя полученные от атаки биткоины.