Kryptografická bezpečnostní firma CertiK odhalila, že nedávno odhalila chybu v protokolu Worldcoin, která umožnila útočníkovi obejít proces ověření a stát se operátorem Orb.
Podle společnosti CertiK by tato zranitelnost údajně umožnila komukoli obejít požadavky na ověření, aby se mohl stát provozovatelem Worldcoin Orb. Tato osoba by například nebyla povinna být legitimní společností, podstoupit řádné ověření totožnosti nebo projít prověřovacím pohovorem.
„V normálním případě mohou provozovat operaci Orb, která shromažďuje informace o duhovce uživatele, pouze legální firmy, které projdou přísným procesem ověřování totožnosti Worldcoin,“ uvádí se ve vlákně společnosti CertiK.
Bezpečnostní firma uvedla, že problém nahlásila společnosti Worldcoin prostřednictvím „standardního postupu whitehat disclosure“, načež bezpečnostní tým projektu zranitelnost potvrdil a „neprodleně vydal opravu.“
1/ 29. května nahlásila společnost CertiK bezpečnostnímu týmu WorldCoin bezpečnostní zranitelnost, která by potenciálně mohla umožnit útočníkovi stát se provozovatelem Orb obejitím ověřovacího procesu.
– CertiK (@CertiK) 3. srpna 2023
CertiK zase údajně ověřil a potvrdil, že oprava hrozbu zmírnila. Bezpečnostní společnost dodala, že podrobnosti o nálezu a způsobu zmírnění zranitelnosti zveřejní „někdy v budoucnu“.
„Dne 29. května bezpečnostní tým společnosti CertiK nahlásil společnosti Worldcoin chybu, která mohla útočníkovi umožnit vytvoření neaktivního účtu Operátora,“ uvedl mluvčí společnosti Worldcoin pro TCN. „Chyba neumožňovala nikomu obejít ruční kontrolu pro založení účtu Operátora a v žádném okamžiku nebyl prostřednictvím chyby umožněn přístup k Orbům nebo datům. Bezpečnostní tým Worldcoinu problém uznal a opravil do 24 hodin od obdržení informace od společnosti CertiK a ověřil, že nebyl zneužit.“
Stojí za zmínku, že odhalení společnosti CertiK přišlo jen týden poté, co Worldcoin zveřejnil zprávu o bezpečnostních auditech protokolu Worldcoin, které provedly auditorské firmy Nethermind a Least Authority.
Tyto audity se týkaly rozsáhlého počtu oblastí, včetně zranitelností v kódu vedoucích k nepřátelským akcím a dalším útokům, jakož i ochrany proti škodlivým útokům a dalším metodám zneužití.
Audit společnosti Nethermind označil při posuzování bezpečnosti 26 položek, z nichž 24 bylo po fázi ověřování označeno jako opravené, jedna byla zmírněna a zbývající jedna byla uznána.
Společnost Least Authority identifikovala tři problémy v protokolu a nabídla šest návrhů, přičemž všechny byly buď vyřešeny, nebo mají plánovaná řešení, uvádí Worldcoin.
Problémy kolem Worldcoinu
Kryptografický projekt Worldcoin, který byl spuštěn letos v létě, má za cíl vytvořit novou globální identifikační a finanční síť soustředěnou na skenování oční duhovky.
Společnost tvrdí, že tyto World ID budou klíčové, protože umělá inteligence bude mít stále větší vliv a umožní lidem prokázat, že nejsou roboti.
Pro účast v této síti je nutné, aby si jednotlivci nechali naskenovat duhovku pomocí zařízení známého jako Orb. Jako pobídku dostanou uživatelé výměnou za sken duhovky nativní token projektu WLD.
Projekt vyvolal několik obav týkajících se soukromí a bezpečnosti údajů. Kritici, včetně známého whistleblowera Edwarda Snowdena a spoluzakladatele Etherea Vitalika Buterina, tvrdí, že Worldcoin může shromažďovat nadměrné množství osobních údajů, které by mohly být potenciálně zneužity ke škodlivým účelům.
Objevují se také obavy ohledně bezpečnosti duhovky – jak Buterin upozornil ve svém nedávném příspěvku na blogu, Orby jsou hardwarová zařízení, do jejichž systému by mohla být nainstalována zadní vrátka, která by umožnila zlomyslným výrobcům vytvořit několik falešných lidských identit.
MIT Technology Review také obvinil Worldcoin z klamavých marketingových praktik a shromažďování většího množství osobních údajů, než bylo původně zveřejněno.
V reakci na tyto obavy společnost Worldcoin ujistila, že je odhodlána chránit soukromí uživatelů.
Na webových stránkách společnosti se uvádí, že projekt „je plně v souladu se všemi zákony a předpisy upravujícími shromažďování a předávání biometrických údajů, včetně evropského obecného nařízení o ochraně osobních údajů („GDPR“)“.
Firma dodala, že „Worldcoin Foundation a její přispěvatel Tools for Humanity nikdy neprodávali a nebudou prodávat žádné osobní údaje.“
