Het cryptobeveiligingsbedrijf CertiK heeft onlangs een kwetsbaarheid ontdekt in het Worldcoin-protocol waardoor een aanvaller het verificatieproces om een Orb-operator te worden kon omzeilen.
Volgens CertiK zou deze kwetsbaarheid iedereen in staat hebben gesteld om de verificatievereisten te omzeilen om een Worldcoin Orb operator te worden. Het individu zou bijvoorbeeld niet verplicht zijn om een legitiem bedrijf te zijn, de juiste ID-verificatie te ondergaan of door een doorlichtingsgesprek te komen.
“In een normaal geval kunnen alleen legitieme bedrijven die slagen voor het strikte identificatieverificatieproces van Worldcoin een Orb-operatie uitvoeren, waarbij irisinformatie van gebruikers wordt verzameld”, staat in de thread van CertiK.
Het beveiligingsbedrijf verklaarde dat het het probleem aan Worldcoin rapporteerde via een “standaard whitehat disclosure” procedure, waarna het beveiligingsteam van het project de kwetsbaarheid bevestigde en “prompt een fix uitbracht.”
1/ Op 29 mei meldde CertiK een beveiligingslek aan het beveiligingsteam van WorldCoin waardoor een aanvaller mogelijk een Orb-operator kan worden door het verificatieproces te omzeilen.
– CertiK (@CertiK) 3 augustus 2023
CertiK, op zijn beurt, heeft naar verluidt geverifieerd en bevestigd dat de fix de bedreiging heeft afgezwakt. Het beveiligingsbedrijf voegde eraan toe dat het “op een bepaald moment in de toekomst” de details van de ontdekking en de manier waarop de kwetsbaarheid werd verholpen openbaar zal maken.
“Op 29 mei rapporteerde het CertiK Security Team een bug aan Worldcoin waarmee een aanvaller een inactieve Operator account kon creëren,” vertelde een woordvoerder van Worldcoin aan TCN. “De bug stelde niemand in staat om de handmatige controle voor het aanmaken van een Operator account te omzeilen en op geen enkel moment werd toegang tot Orbs of data mogelijk gemaakt door de bug. Het Worldcoin beveiligingsteam erkende en repareerde het probleem binnen 24 uur na ontvangst van informatie van CertiK en verifieerde dat er geen misbruik van is gemaakt.”
Het is vermeldenswaard dat de onthulling van CertiK slechts een week nadat Worldcoin een rapport vrijgaf over beveiligingsaudits van het Worldcoin-protocol, uitgevoerd door auditbedrijven Nethermind en Least Authority.
Deze audits hadden betrekking op een uitgebreid aantal gebieden, waaronder kwetsbaarheden in de code die leiden tot vijandige acties en andere aanvallen, evenals bescherming tegen kwaadwillige aanvallen en andere methoden van uitbuiting.
De Nethermind audit signaleerde 26 items tijdens de beveiligingsbeoordeling, waarvan er 24 werden geïdentificeerd als opgelost na de verificatiefase, terwijl er één werd gemitigeerd en de resterende werd erkend.
Least Authority identificeerde drie problemen in het protocol en deed zes suggesties, die allemaal zijn opgelost of geplande oplossingen hebben, volgens Worldcoin.
Concerns rond Worldcoin
Er zijn ook zorgen over de veiligheid van de iris – zoals Buterin in zijn recente blogpost aangaf, zijn Orbs hardwareapparaten waar backdoors in het systeem kunnen worden geïnstalleerd, waardoor kwaadwillende fabrikanten meerdere valse menselijke identiteiten kunnen creëren.
MIT Technology Review heeft Worldcoin ook beschuldigd van misleidende marketingpraktijken en het verzamelen van een grotere hoeveelheid persoonlijke gegevens dan aanvankelijk bekend werd gemaakt.
In reactie op deze zorgen heeft Worldcoin verklaard dat het de privacy van gebruikers wil waarborgen.
Op de website van het bedrijf staat dat het project “volledig in overeenstemming is met alle wet- en regelgeving op het gebied van biometrische gegevensverzameling en gegevensoverdracht, waaronder Europa’s General Data Protection Regulation (‘GDPR’).”
Het bedrijf voegde eraan toe dat “de Worldcoin Foundation en haar bijdrager Tools for Humanity nooit persoonlijke gegevens hebben verkocht en dat ook nooit zullen doen.”
