Компания CertiK, специализирующаяся на криптовалютной безопасности, недавно обнаружила уязвимость в протоколе Worldcoin, которая позволяла злоумышленникам обойти процесс верификации для получения статуса оператора орбиты.
По данным CertiK, эта уязвимость позволяла любому человеку обойти требования верификации, чтобы стать оператором Worldcoin Orb. При этом не требовалось, например, представлять легитимную компанию, проходить проверку личности или собеседование.
«В обычном случае только легальные компании, прошедшие строгую процедуру идентификации в Worldcoin, могут осуществлять операцию Orb, которая собирает информацию о радужной оболочке глаза пользователя», — говорится в сообщении CertiK.
По словам представителей компании, они сообщили о проблеме в Worldcoin, используя «стандартную процедуру раскрытия информации whitehat», после чего команда безопасности проекта подтвердила наличие уязвимости и «незамедлительно выпустила исправление».
1/ 29 мая компания CertiK сообщила команде безопасности проекта WorldCoin об уязвимости, которая потенциально могла позволить злоумышленнику стать оператором Orb в обход процесса верификации.
— CertiK (@CertiK) August 3, 2023
КертиК, в свою очередь, как сообщается, проверила и подтвердила, что исправление устранило угрозу. В компании добавили, что подробности обнаружения и способы устранения уязвимости будут обнародованы «в какой-то момент в будущем».
«29 мая команда безопасности CertiK сообщила Worldcoin об ошибке, которая могла позволить злоумышленнику создать неактивную учетную запись оператора», — сообщил TCN представитель Worldcoin. Ошибка не позволяла обойти ручную проверку для создания учетной записи Оператора, и ни в какой момент времени доступ к орбам или данным не был возможен через эту ошибку». Команда безопасности Worldcoin признала и устранила проблему в течение 24 часов после получения информации от CertiK и убедилась, что злоупотреблений не было».
Стоит отметить, что разоблачение CertiK произошло всего через неделю после того, как Worldcoin опубликовала отчет о проверке безопасности протокола Worldcoin, проведенной аудиторскими компаниями Nethermind и Least Authority.
Аудиторские проверки охватывали широкий спектр областей, включая уязвимости в коде, приводящие к недоброжелательным действиям и другим атакам, а также защиту от вредоносных атак и других методов эксплуатации.
Аудит Nethermind выявил 26 проблем, 24 из которых были устранены на этапе проверки, одна — смягчена, а оставшаяся — признана.
Компания Least Authority выявила три проблемы в протоколе и предложила шесть предложений, все из которых либо уже решены, либо планируются к решению, сообщает Worldcoin.
Конфликты вокруг Worldcoin
Запущенный летом этого года криптовалютный проект Worldcoin направлен на создание новой глобальной идентификационной и финансовой сети, основанной на сканировании радужной оболочки глаза.
Компания утверждает, что эти World ID будут иметь решающее значение по мере роста влияния искусственного интеллекта, позволяя людям доказывать, что они не роботы.
Для участия в этой сети необходимо отсканировать радужную оболочку глаза с помощью устройства, известного как Orb. В качестве поощрения за сканирование радужной оболочки пользователи получают токен WLD, являющийся собственностью проекта.
Проект вызвал ряд опасений относительно конфиденциальности и безопасности данных. Критики, в том числе известный разоблачитель Эдвард Сноуден и соучредитель Ethereum Виталик Бутерин, утверждают, что Worldcoin собирает чрезмерное количество персональных данных, которые потенциально могут быть использованы в злонамеренных целях.
Опасения вызывает и безопасность радужной оболочки глаза — как отметил Бутерин в своей недавней записи в блоге, Orbs являются аппаратными устройствами, в которые могут быть установлены бэкдоры, позволяющие злоумышленникам создавать множество поддельных человеческих личностей.
Издание MIT Technology Review также обвинило компанию Worldcoin в использовании обманных маркетинговых практик и сборе большего объема персональных данных, чем было заявлено изначально.
В ответ на эти обвинения компания Worldcoin заявила о своей приверженности защите персональных данных пользователей.
На сайте компании указано, что проект «полностью соответствует всем законам и нормативным актам, регулирующим сбор и передачу биометрических данных, в том числе Общему европейскому положению о защите данных («GDPR»)».
Компания добавляет, что «Worldcoin Foundation и ее фонд Tools for Humanity никогда не продавали и не будут продавать персональные данные»
