La società di sicurezza crittografica CertiK ha rivelato di aver recentemente scoperto una vulnerabilità nel protocollo Worldcoin che ha permesso a un aggressore di aggirare il processo di verifica per diventare un operatore Orb.
Secondo CertiK, questa vulnerabilità avrebbe permesso a chiunque di aggirare i requisiti di verifica per diventare un operatore Worldcoin Orb. L’individuo non sarebbe obbligato, ad esempio, a essere un’azienda legittima, a sottoporsi a un’adeguata verifica dell’identità o a superare un colloquio di selezione.
“In un caso normale, solo le aziende legittime che superano il rigoroso processo di verifica dell’identificazione di Worldcoin possono eseguire un’operazione Orb, che raccoglie le informazioni sull’iride degli utenti”, si legge nel thread di CertiK.
La società di sicurezza ha dichiarato di aver segnalato il problema a Worldcoin attraverso una procedura “standard di divulgazione whitehat”, dopodiché il team di sicurezza del progetto ha confermato la vulnerabilità e ha “prontamente emesso una correzione”.
1/ Il 29 maggio CertiK ha segnalato al team di sicurezza di WorldCoin una vulnerabilità che potrebbe potenzialmente consentire a un aggressore di diventare un operatore Orb aggirando il processo di verifica.
– CertiK (@CertiK) 3 agosto 2023
CertiK, a sua volta, ha verificato e confermato che la correzione ha mitigato la minaccia. La società di sicurezza ha aggiunto che renderà pubblici i dettagli della scoperta e del modo in cui la vulnerabilità è stata mitigata “a un certo punto in futuro”.
“Il 29 maggio, il team di sicurezza di CertiK ha segnalato a Worldcoin un bug che potrebbe consentire a un aggressore di creare un conto operatore inattivo”, ha dichiarato un portavoce di Worldcoin a TCN. “Il bug non consentiva a nessuno di aggirare la revisione manuale per la creazione di un conto Operatore e in nessun momento l’accesso alle sfere o ai dati è stato abilitato attraverso il bug. Il team di sicurezza di Worldcoin ha riconosciuto e risolto il problema entro 24 ore dalla ricezione delle informazioni da parte di CertiK e ha verificato che non è stato abusato”.
Vale la pena notare che la rivelazione di CertiK avviene appena una settimana dopo che Worldcoin ha pubblicato un rapporto sugli audit di sicurezza del protocollo Worldcoin condotti dalle società di revisione Nethermind e Least Authority.
Questi audit hanno riguardato un ampio numero di aree, tra cui le vulnerabilità nel codice che portano ad azioni avversarie e altri attacchi, così come la protezione contro gli attacchi malevoli e altri metodi di sfruttamento.
L’audit di Nethermind ha evidenziato 26 elementi durante la valutazione della sicurezza, di cui 24 sono stati identificati come corretti dopo la fase di verifica, mentre uno è stato mitigato e il restante è stato riconosciuto.
Least Authority ha identificato tre problemi nel protocollo e ha offerto sei suggerimenti, tutti risolti o pianificati, secondo Worldcoin.
Preoccupazioni intorno a Worldcoin
Lanciato all’inizio dell’estate, Worldcoin è un progetto di criptovaluta che mira a creare una nuova identità globale e una rete finanziaria incentrata sulla scansione dell’iride.
L’azienda sostiene che questi World ID saranno fondamentali man mano che l’intelligenza artificiale diventerà più influente, consentendo agli esseri umani di dimostrare di non essere robot.
Per partecipare a questa rete, gli individui devono sottoporsi alla scansione dell’iride con un dispositivo noto come Orb. Come incentivo, gli utenti vengono ricompensati con il token WLD nativo del progetto in cambio della scansione dell’iride.
Il progetto ha suscitato diverse preoccupazioni per quanto riguarda la privacy e la sicurezza dei dati. I critici, tra cui il famoso whistleblower Edward Snowden e il cofondatore di Ethereum Vitalik Buterin, sostengono che Worldcoin potrebbe raccogliere una quantità eccessiva di dati personali, che potrebbero essere utilizzati per scopi dannosi.
Ci sono anche timori sulla sicurezza dell’iride – come ha sottolineato Buterin nel suo recente post sul blog – gli Orb sono dispositivi hardware in cui potrebbero essere installate backdoor nel sistema, consentendo a produttori malintenzionati di creare molteplici identità umane false.
La MIT Technology Review ha inoltre accusato Worldcoin di aver messo in atto pratiche di marketing ingannevoli e di aver raccolto una quantità di dati personali superiore a quella inizialmente rivelata.
In risposta a queste preoccupazioni, Worldcoin ha affermato il proprio impegno a salvaguardare la privacy degli utenti.
Sul sito web della società si legge che il progetto “è pienamente conforme a tutte le leggi e i regolamenti che disciplinano la raccolta e il trasferimento dei dati biometrici, compreso il Regolamento generale sulla protezione dei dati (‘GDPR’) dell’Europa”.
L’azienda ha aggiunto che “la Worldcoin Foundation e il suo collaboratore Tools for Humanity non hanno mai venduto e non venderanno mai alcun dato personale”.
