Фирмата за криптографска сигурност CertiK разкри, че наскоро е открила уязвимост в протокола на Worldcoin, която е позволила на нападател да заобиколи процеса на проверка, за да стане оператор на Orb.
Според CertiK тази уязвимост според съобщенията би позволила на всеки да заобиколи изискванията за проверка, за да стане оператор на Worldcoin Orb. Лицето нямаше да бъде задължено например да бъде легитимна компания, да се подложи на подходяща проверка на самоличността или да премине през интервю за проверка.
„В нормален случай само легитимни фирми, които преминават строгия процес на проверка на самоличността на Worldcoin, могат да управляват операция Orb, която събира информация за ириса на очите на потребителя“, се казва в нишката на CertiK.
Фирмата за сигурност заяви, че е докладвала за проблема на Worldcoin чрез „стандартна процедура за разкриване на информация“, след което екипът по сигурността на проекта е потвърдил уязвимостта и „незабавно е издал поправка“.
1/ На 29 май CertiK съобщи на екипа по сигурността на WorldCoin за уязвимост в сигурността, която потенциално може да позволи на нападател да стане оператор на Orb, като заобиколи процеса на проверка.
– CertiK (@CertiK) August 3, 2023
CertiK на свой ред съобщи, че е проверила и потвърдила, че поправката е намалила заплахата. Компанията за сигурност добави, че ще оповести подробности за откритието и начина, по който уязвимостта е била намалена, „в някакъв момент в бъдеще“.
„На 29 май екипът по сигурността на CertiK докладва на Worldcoin за бъг, който може да позволи на нападател да създаде неактивен акаунт на оператор“, заяви говорител на Worldcoin пред TCN. „Грешката не позволяваше на никого да заобиколи ръчния преглед за създаване на акаунт на Оператор и в нито един момент чрез нея не беше разрешен достъп до Орби или данни. Екипът по сигурността на Worldcoin призна и отстрани проблема в рамките на 24 часа от получаването на информацията от CertiK и потвърди, че с него не е било злоупотребено.“
Струва си да се отбележи, че разкритието на CertiK е само седмица след като Worldcoin публикува доклад за одитите на сигурността на протокола Worldcoin, извършени от одиторските фирми Nethermind и Least Authority.
Тези одити обхванаха обширен брой области, включително уязвимости в кода, водещи до недобросъвестни действия и други атаки, както и защита срещу злонамерени атаки и други методи за експлоатация.
Одитът на Nethermind отбеляза 26 елемента по време на своята оценка на сигурността, от които 24 бяха определени като отстранени след етапа на проверка, докато един беше смекчен, а останалият беше признат.
Least Authority идентифицира три проблема в протокола и предложи шест предложения, като всички те са или решени, или имат планирани решения, според Worldcoin.
Съмнения около Worldcoin
Стартирал по-рано това лято, Worldcoin е криптопроект, насочен към създаването на нова глобална идентичност и финансова мрежа, съсредоточена върху сканирането на ириса на очите.
Компанията твърди, че тези World IDs ще бъдат от решаващо значение, тъй като изкуственият интелект става все по-влиятелен, позволявайки на хората да докажат, че не са роботи.
За да участват в тази мрежа, от лицата се изисква да сканират ирисите си с помощта на устройство, известно като Orb. Като стимул, потребителите се възнаграждават с местния токен WLD на проекта в замяна на сканирането на ириса им.
Проектът предизвика няколко опасения относно поверителността и сигурността на данните. Критиците, сред които известният информатор Едуард Сноудън и съоснователят на Етериум Виталик Бутерин, твърдят, че Worldcoin може да събира прекалено много лични данни, които потенциално могат да бъдат използвани за злонамерени цели.
Съществуват и опасения относно сигурността на ириса – както посочи Бутерин в неотдавнашната си публикация в блога си, Orbs са хардуерни устройства, в които могат да бъдат инсталирани задни вратички в системата, позволяващи на злонамерени производители да създават множество фалшиви човешки самоличности.
MIT Technology Review също така обвини Worldcoin, че се занимава с измамни маркетингови практики и събира по-голямо количество лични данни от първоначално разкритите.
В отговор на тези опасения Worldcoin потвърди ангажимента си за защита на личните данни на потребителите.
На уебсайта на компанията се посочва, че проектът „напълно отговаря на всички закони и разпоредби, регулиращи събирането и предаването на биометрични данни, включително на Общия регламент за защита на данните („GDPR“) на Европа“.
Фирмата добавя, че „Worldcoin Foundation и нейният сътрудник Tools for Humanity никога не са продавали и няма да продават никакви лични данни.“
