A empresa de segurança de criptografia CertiK revelou que recentemente descobriu uma vulnerabilidade no protocolo Worldcoin que permitiu que um invasor contornasse o processo de verificação para se tornar um operador Orb.
De acordo com a CertiK, esta vulnerabilidade teria permitido a qualquer pessoa contornar os requisitos de verificação para se tornar um operador da Worldcoin Orb. O indivíduo não seria obrigado, por exemplo, a ser uma empresa legítima, passar por uma verificação de identidade adequada ou passar por uma entrevista de verificação.
“Em um caso normal, apenas empresas legítimas que passam pelo processo de verificação de identificação estrita do Worldcoin podem executar uma operação Orb, que coleta informações da íris do usuário “, diz o tópico da CertiK.
A empresa de segurança afirmou que comunicou o problema à Worldcoin através de “um procedimento padrão de divulgação de whitehat”, após o qual a equipa de segurança do projeto confirmou a vulnerabilidade e “emitiu prontamente uma correção”.
1/ A 29 de maio, a CertiK comunicou uma vulnerabilidade de segurança à equipa de segurança da WorldCoin que poderia potencialmente permitir que um atacante se tornasse um operador Orb, contornando o processo de verificação.
– CertiK (@CertiK) 3 de agosto de 2023
A
CertiK, por sua vez, verificou e confirmou que a correção mitigou a ameaça. A empresa de segurança acrescentou que tornará públicos os detalhes da descoberta e como a vulnerabilidade foi mitigada “em algum momento no futuro”.
“Em 29 de maio, a equipe de segurança da CertiK relatou um bug ao Worldcoin que poderia permitir que um invasor criasse uma conta de operador inativa”, disse um porta-voz do Worldcoin ao TCN. “O bug não permitiu que ninguém contornasse a revisão manual para estabelecer uma conta de Operador e em nenhum momento o acesso a Orbs ou dados foi habilitado por meio do bug. A equipe de segurança da Worldcoin reconheceu e corrigiu o problema dentro de 24 horas após o recebimento das informações da CertiK e verificou que não houve abuso.
Vale a pena notar que a revelação da CertiK apenas uma semana depois que a Worldcoin divulgou um relatório sobre auditorias de segurança do protocolo Worldcoin conduzido pelas empresas de auditoria Nethermind e Least Authority.
Essas auditorias cobriram um grande número de áreas, incluindo vulnerabilidades no código que levam a ações adversárias e outros ataques, bem como proteção contra ataques maliciosos e outros métodos de exploração.
A auditoria Nethermind assinalou 26 itens durante a sua avaliação de segurança, dos quais 24 foram identificados como corrigidos após a fase de verificação, enquanto um foi atenuado e o restante foi reconhecido.
A Least Authority identificou três problemas no protocolo e ofereceu seis sugestões, todas elas já resolvidas ou com resoluções planeadas, de acordo com a Worldcoin.
Preocupações em torno da Worldcoin
Há também apreensões sobre a segurança da íris – como Buterin apontou em seu recente post no blog, Orbs são dispositivos de hardware onde backdoors podem ser instalados no sistema, permitindo que fabricantes maliciosos criem múltiplas identidades humanas falsas.
A MIT Technology Review também acusou a Worldcoin de se envolver em práticas de marketing enganosas e de recolher uma quantidade maior de dados pessoais do que a inicialmente divulgada.
Em resposta a estas preocupações, a Worldcoin afirmou o seu empenho em salvaguardar a privacidade dos utilizadores.
O site da empresa afirma que o projeto “está em total conformidade com todas as leis e regulamentos que regem a coleta e transferência de dados biométricos, incluindo o Regulamento Geral de Proteção de Dados da Europa (‘GDPR’)”.
A empresa acrescentou que “a Fundação Worldcoin e seu colaborador Tools for Humanity nunca venderam e nunca venderão quaisquer dados pessoais”.
