Topic: Celsius – Fuga de datos de sus clientes a partir de documentos judiciales (Read 209 times)

Yo creo que es el proceder, con el fin de tener mayor privacidad. Eso no quita que alguien cotilla pueda malinterpretar los datos que está viendo si intenta ver el origen de los fondos, dado que acabará viendo la cadena de procedencia de otro realmente en primera instancia.

Quizás lo que no haría, y no sé si alguien lo hace en el foro, es intentar anonimizar todos los fondos de entrada en un momento dado, sino con cierta antelación a medida que se vayan a gastar. Me parece más seguro en caso de tener que justificar la tenencia.

Al margen de la noticia principal, que es para tirarse de los pelos, retomo este comentario de hace unos pocos meses.

Ya os he comentado que suelo comprar con Bitcoin en una tienda de ultramarinos de mi barrio. Lo hago con parte de lo que gano con las campañas de firmas, pero tiene el riesgo de que, incluso cuando dejaran cambiar fácilmente de dirección, a no ser que se hiciera por mensaje privado al manager, una búsqueda rápida en Google llevaría irremediablemente a relacionarla con nuestros perfiles del foro.

Como soy una persona discreta, y el vendedor tiene muchas virtudes pero es un poco cotilla, paso por un mixer los satoshis antes de pagarle (en realidad las "anonimizo" con la Wasabi Wallet; creo que lo estoy haciendo bien).

Creo que es algo a considerar. También lo contrario: que puede que algunas empresas no acepten pagos en Bitcoin que hayan pasado por mezcladores, como comentabas. Supongo que a medida que avance todo esto, llevar un férreo coin control se irá haciendo cada vez más necesario.

Celsius ha publicado una lista con los nombre de los usuarios y las cantidades de cada tipo de criptomoneda que podrán retirar (94% de ciertas monedas – fees de retiro), sujeto a proporcionar detalles KYC y por lo que parece, información acerca de las direcciones de retiro a utilizar.

No entiendo no obstante por qué no se puede encontrar una solución que tenga presente la privacidad de la gente, dado que toda la lista ha sido publicada nuevamente en un documento judicial de 1419 páginas en formato pdf, con los datos a la vista de todos.

Ver:
https://es.cointelegraph.com/news/celsius-publishes-list-of-users-eligible-to-withdraw-majority-of-assets
https://cases.stretto.com/public/x191/11749/PLEADINGS/1174901312380000000181.pdf

Visto la experiencia de la quiebra de Celsius, y cómo a la postre se hicieron de dominio público datos de clientes que podrían ser identificativos, juntos con tenencia y saldos, un conjunto delimitado de acreedores de FTX están pidiendo que no se haga pública información alguna acerca de ellos.

Por ahora habla de 15 acreedores únicamente, pero podemos imaginarnos el pollo que se puede montar si sucede lo mismo que lo descrito en el OP, pero con los datos de los clientes de FTX.

Veremos ...

Ver: https://decrypt.co/es/118227/clientes-afectados-por-ftx-piden-mantener-sus-nombres-en-secreto

Terriblemente como asumí en su tiempo muchos de los golpeados por la bancarrota de Celsius tenían cifras relativamente modestas, quizá asociadas con ahorros, fondos de retiro u emergencia. Relativamente pocos millonarios.

Tiene lógica luego del vistazo que di a la cuenta en Twitter de Celsius, cientos de personas que se declaraban en problemas debido al congelamiento de sus fondos, declarando que no eran pudientes y de hecho, por eso mismo querían hacer valer más su dinero con el ingreso pasivo que se les ofrecía, asumo. Los millonarios afectados no se pasarán por Twitter al mismo ritmo que el usuario de a pie, después de todo es probable que tengan otro par de millones diversificados en activos de menos riesgo.

He mirado un tanto más datos que he visto sobre la distribución de la BD de Celsius, y aproximadamente esto es lo que contiene en términos de saldos reflejados:
(faltan 23 cuentas para las 603.497 totales – efectos de redondeos al pasar porcentajes a valores absolutos).

A pesar de que lo anterior refleja los saldos a fecha de la foto de los datos, si en la información realmente hay detalle de los movimientos como hemos visto en alguna imagen, la información de tenencia tiene más contenido que el mero saldo (uno podría tener <1 $ de saldo, pero haber movido decenas de miles de dólares).

+1. En mi empresa todos los años nos ofrecen la lotería de navidad, como es tradición, y de un tiempo a esta parte nos mandan a que nos registremos en tulotero, y yo siempre soy la rarita que pregunta en qué administración de lotería lo puedo comprar con efectivo porque paso de registrarme y de meter apps en el móvil, apps que luego resultan tener bicho dentro. (otra historia diferente es que no tengo play store, y meter apps es un dolor de cabeza, pero es que precisamente de eso se trata)


+1. Cuando voy al super y me intentan colar la tarjeta de fidelidad, lo primero que pregunto es si tengo que dar mis datos personales, me dicen que sí, les digo que paso y ya no insisten más. De alguna forma mística entienden que no quiera hacer eso. Si alguien no lo entiende y me pilla con tiempo y buen humor, les hago imaginar una situación en la que el super se entera de que te has llevado 3 botellas de vodka a casa, y así empiezan a ver la historia.

Hace años teníamos el meme este de "bitcoin user unaffected" (https://memegenerator.net/Bitcoin-User). Cuando veo temas como el de este hilo, me gusta transformar ese meme en algo de tipo "not client unaffected". ¿Que se publican datos de celsius? Los no clientes no están afectados. ¿Otro escándalo más de privacidad de facebook? Los no clientes (sic) no están afectados. ¿Que tienes que dar tu móvil para registrarte en twitter y luego inevitablemente acaba filtrándose? Los no clientes no están afectados.

Tal cual. Siempre he sospechado que una manera que tienen las apps de loterías de hacer negocio (Tulotero, por ejemplo) es mediante los datos de los afortunados. Me imagino tocándome el Euromillones, con un boleto comprado en esa app, para a partir del día siguiente empezar a recibir cantidades ingentes de publicidad, hasta el punto de resultar abrumador. Es mera especulación, no tengo el privilegio de conocer a ningún afortunado, y tampoco es plan de sentenciar sin pruebas, pero es lo que mi mente retorcida me lleva a pensar, y puede que no ande desencaminado del todo.

Que los datos valen dinero lo sabemos todos, y que los datos de la gente rica vale mucho más dinero es pura lógica. Ahora para casi todo te piden KYC. Yo, para cuatro duros que tengo, trato de evitar por todos los medios usar servicios a los que tenga que ceder mis datos personales, principalmente por tantas vulnerabilidades que salen a la palestra últimamente; pero, si además fuera rico, como los 339 poseedores de 1M$, sería algo que estaría absolutamente vetado para mí.

Que locura que los datos reales de los usuarios sean expuestos y catalogados de esta manera, no dudo que lo que tienen cifras grandes de dinero se volverán objetivos de estafas. Esto fue como ponerle una diana a los usuarios.

Y es por esto que aveces me aterra el tema del KYC ya que por mas que confiemos en las casas de cambio o en lo casinos, si por algún motivo estos son vulnerados entonces nos volvemos objetivos de los hackers.

Es año bastante malo para los usuarios de Celsius. Justo cuando algunos de ellos se resignan y empieza a ver a futuro sobre el proceso de bancarrota y lo que podrían recuperar luego de que la empresa les reconociese como "unsecured creditors", ahora resulta que tendrá que estar a la expectativa de posibles intromisiones por parte del gobierno y quizá incluso criminales de toda índole.

---

Estoy casi seguro que los clientes Estado Unidenses verán su saldo perdido revisado por IRS, ese es su trabajo, después de todo. Y con esos saldos tan considerables, creo que les interesará saber si todo fue declarado adecuadamente. En cuanto a las cantidades perdidas por clientes, se nota que dentro de Celsius había todo tipo de persona, lo más llamativo siempre son los saldos grandes, pero también se notan perdidas individuales de unos pocos dólares o unos miles.

Siendo que Celsius también tenía clientes fuera de Estados Unidos, tampoco se puede descartar que esos miles de dólares representasen una cantidad significativa para personas de bajos recursos en economías en desarrollo.

Hipotéticamente, podría tener derivadas tributarias, siempre y cuando la autoridad tributaria tuviese la pericia y las ganas de hacerse con el documento, detectar sus conciudadanos, y llamarles para una inspección – siempre y cuando los datos son realmente identificativos de manera taxativa (que no tengo claro que lo sean). Esto diría que es posiblemente el menor de los casos, pero ahí están los Papeles de Panamá que tuvieron su recorrido …

De la misma manera, de enlazarse los nombres con personas físicas, podría haber intentos de robos, chantaje, ingeniería social y demás, en función de los montantes que figurasen en el archivo pdf.

Por cierto, que hay gente que lo ha pasado a formato csv y ya ha montado BDs con los datos por ahí. En una de las BDs cita su autor que hay más de 600.000 cuentas, con 339 cuentas con un saldo superior a 1M $. La mayoría, un 70%, tiene menos de 1.000$ en cripto.

Pensar que la justicia tendria que ser el lugar con menos filtraciones de todos, sin embargo no importa el pais que sea es un colador.

Pobre aquel que ahora quedo pegado.

Lo mas triste es que a llorar a la iglesia como diria el refran X2.

Domado por la quiebra y domado por la filtracion.

Si, tienes razón.
No contaba que la información de los depósitos estuviesen también bajo dominio público también, solo con que el saldo del mismo fuese lo suficientemente específico sería suficiente para una búsqueda iterada, pero si la fecha también se agrega entonces todo lo que has dicho es más que factible para cualquiera que esté interesado en la vida financiera de esa persona. 

¿Que consecuencias crees que tenga esto para lo ya golpeados clientes de Celsius? 

En lo relativo al mezclador, ten en cuenta que hay dos maldades en la fuga de datos:

Por un lado, los datos filtrados en sí, que para cada persona nominal le asocia una serie de datos de fechas, moneda e importes. Esto obviamente es insalvable si se filtra.

Por otro lado, uno puede coger por ejemplo los 2,427 BTC de la imagen del día 17/3/2022 y buscar en la cadena de bloques la TX física por ese importe y fecha. Probablemente dará con ella, y tendrá por tanto una dirección real BTC de Alexander. Teniendo ya una (obviamente pueden haber varias) dirección real, se puede tirar de la cadena de bloques para ver su saldo, relación con otras direcciones, etc. Digamos que estos datos son datos reales de la persona, donde, mezclador o Exchange (que hace de mezclador) mediante, podrían romper la cadena de trazabilidad.

Creo que para el caso de Celsius, un mezclador hubiese sido muy poco efectivo, creo que Celsius durante su vida útil y en sus mejores años, pedía KYC completo a sus usuarios y tratándose de un servicio centralizado, creo que no esta fuga de datos es más culpa del manejo de los documentos judiciales por parte de los abogados de Celsius que culpa de la transparencia de Bitcoin y su blockchain.

Además, obviamente cuando se lidia con servicios centralizados como este, asumo que vinculan los saldos con el nombre de lo documentos que se envían. Si acaso, el mezclado hubiese sido efectivo para el retiro de fondos, rompiendo el enlace de Celsius con la dirección de la wallet receptora, para la desgracia de miles de personas a este día y hora retirar no es una opción

Sobre las campañas, tienes razón que tienen un problema con el incentivar el reúso de direcciones (también que a veces da algo de pereza pedir un cambio), he visto que por lo menos algunas se encargan de recopilar las direcciones de los participantes fuera de la vista pública del foro, no es una práctica generalizada. Quizá en el futuro, mientras las cosas se pongan más difíciles para privacidad veremos como eso cambia un poco.

Uno diría que este es un buen motivo para usar un mezclador, rompiendo la cadena de traza real de uno (aunque verán la de otros en su lugar, para bien o para mal). Claro que en ciertos contextos, las TXs procedentes de mezcladores pueden tener otro tipo de inconvenientes, dado que ciertos negocios no quieren recibir BTCs mezclados según sus TOS. Es cuestión de valorarlo.

Por cierto, que asociado a lo anterior, y en el contexto de este foro, las campañas ya podrían poner su granito de arena y tener un sistema ágil para cambiar fácilmente la dirección de recepción de los pagos. Puedes pedir el cambio, pero dudo que nadie lo haga cada semana.

Esto me hace pensar que cuando se habla de que bitcoin es solo pseudoanónimo, creo que se debería de decir lo contrario, sobre todo de cara a la gente que está aprendiendo sobre este mundo. Algo así como:

"El bitcoin es público. Se creó como un dinero efectivo digital pero es menos anónimo que el dinero en efectivo, pues todas las transacciones que realizas quedan registradas en un libro contable público (la blockchain) y si no quieres que alguien pueda saber el dinero que tienes y todas las transacciones que has hecho tienes que ir con mucho cuidado."

A cabo de ver, incluso parece que alguien se tomó la molestia de hacer un respaldo y leaderboard de aquellos que perdieron dinero con esta plataforma, todo en su respectiva página web.

Parece que por ahora, según estos documentos, el mayor afectado perdió acceso a 40 millones de dólares y hay bastantes que tenían más de 6 millones en Celsius.

Para mi esta triste historia (en desarrollo) solo es un ejemplo de las vueltas que da la vida y como un día puedes estar ganando un buen dinero pasivo mientras el resto del mercado cae, los dueños de la plataforma te aseguran que todo está bien y que el riesgo es nulo, les crees porque nunca habías tenido problemas con una sola solicitud de retiro y de la noche a la mañana: te retiros congelados, bancarrota y la cereza sobre el pastel es que hacen tu nombre y tus pérdidas parte del dominio público.

Me temo que este documento podría ser el desencadenante de más de un divorcio o arresto por parte del departamento de recaudación de impuestos de los EEUU. 

Celsius Network, la plataforma de préstamos con base en las criptomonedas que entró en banca rota el pasado mes de Julio, por un aparente requerimiento judicial, recopiló en un documento los nombres y últimos movimientos de los clientes afectados, detallando fechas, tipo de moneda, y cantidades.


El problema es que dicha información ha encontrado el camino hasta hacerse de dominio público, y aunque se ha retirado ya de algunos sites donde estaba publicada, ya sabemos que esta información, una vez liberada, da vueltas por aquí y por allá.

Es tema adicional es que, al conocerse las fechas e importes de las TXs, uno puede mirar los exploradores de blockchain pertinentes, intentar identificar las TXs, y tirar del hilo de la cadena en cuestión para ver información adicional relativa a la tenencia de los clientes, sus hábitos de uso, etc.

Esta segunda derivada es un poco el gran motivo por el cual, al pagar en un comercio, uno tiene que pensarse bien desde qué dirección está pagando, dado que pone al alcance del cotilla, o de la fuga de datos, la visualización de mayor información que la de la propia TX en sí.

Ver:
https://www.criptonoticias.com/seguridad-bitcoin/fuga-datos-celsius-causa-indignacion-comunidad-bitcoin/