A empresa de segurança cripto CertiK revelou nesta sexta-feira (4) que descobriu uma vulnerabilidade no polêmico projeto de escaneamentos de olhos Worldcoin, que permitia que um invasor ignorasse o processo de verificação para se tornar um operador de um Orb, a máquina que faz o processo de leitura da íris.
Leia também – Worldcoin (WLD): como funciona a criptomoeda promovida pelo criador do ChatGPT
De acordo com a CertiK, usando essa vulnerabilidade um indivíduo não seria obrigado, por exemplo, a ser uma empresa legítima, passar por uma verificação de identidade adequada ou passar por uma entrevista de verificação.
“Em um caso normal, apenas empresas legítimas que passam pelo rigoroso processo de verificação de identificação do Worldcoin podem executar uma operação Orb, que coleta as informações da íris do usuário”, diz o tópico da CertiK.
A empresa de segurança afirmou que relatou o problema à Worldcoin, após o qual a equipe de segurança do projeto confirmou a vulnerabilidade e “emitiu prontamente uma correção”.
1/ On May 29th, CertiK reported a security vulnerability to #WorldCoin’s security team that could potentially allow an attacker to become an Orb operator by bypassing the verification process.
— CertiK (@CertiK) August 3, 2023
A CertiK, por sua vez, diz ter verificado e confirmado que a correção eliminou a ameaça. A empresa de segurança acrescentou que divulgará os detalhes da descoberta e como a vulnerabilidade foi mitigada “em algum momento no futuro”.
Problemas de segurança na Worldcoin
A revelação da CertiK apenas uma semana depois que a Worldcoin divulgou um relatório sobre auditorias de segurança do protocolo, conduzidas pelas empresas de auditoria Nethermind e Least Authority.
Essas auditorias cobriram um grande número de áreas, incluindo vulnerabilidades no código que levam a ações adversárias e outros ataques, bem como proteção contra ataques maliciosos e outros métodos de exploração.
A auditoria da Nethermind sinalizou 26 itens durante sua avaliação de segurança, dos quais 24 foram identificados como corrigidos após a etapa de verificação, enquanto um foi mitigado e o restante foi reconhecido.
A Autoridade Menor identificou três problemas no protocolo e ofereceu seis sugestões, todas resolvidas ou com resoluções planejadas, de acordo com a Worldcoin.
Preocupações sobre Worldcoin
Tendo sua criptomoeda WLD lançada no mês passado, o Worldcoin é um projeto destinado a estabelecer uma nova identidade global e rede financeira centrada em varreduras de íris.
A empresa afirma que esses IDs mundiais serão cruciais à medida que a inteligência artificial se torna mais influente, permitindo que os humanos provem que não são robôs.
Para participar dessa rede, os indivíduos devem ter suas íris digitalizadas usando um dispositivo conhecido como Orb. Como incentivo, os usuários são recompensados com o token WLD nativo do projeto em troca de sua varredura de íris.
O projeto despertou várias preocupações em relação à privacidade e segurança dos dados. Críticos, incluindo o famoso denunciante Edward Snowden e o fundador da Ethereum, Vitalik Buterin, argumentam que a Worldcoin pode estar coletando uma quantidade excessiva de dados pessoais, que podem ser usados indevidamente para fins maliciosos.
Também há apreensões sobre a segurança da íris – como Buterin apontou em sua recente postagem no blog, Orbs são dispositivos de hardware nos quais backdoors podem ser instalados no sistema, permitindo que fabricantes mal-intencionados criem várias identidades humanas falsas.
O MIT Technology Review também acusou a Worldcoin de se envolver em práticas de marketing enganosas e coletar uma quantidade maior de dados pessoais do que inicialmente divulgado.
Em resposta a essas preocupações, a Worldcoin afirmou seu compromisso em proteger a privacidade do usuário.
O site da empresa afirma que o projeto “é totalmente compatível com todas as leis e regulamentos que regem a coleta e transferência de dados biométricos, incluindo o Regulamento Geral de Proteção de Dados da Europa (‘GDPR’)”.
A empresa acrescentou que “a Worldcoin Foundation e seu colaborador Tools for Humanity nunca venderam e nunca venderão dados pessoais”.
- Quer ganhar mais com Ethereum? Abra sua conta no Mercado Bitcoin, a corretora mais segura do Brasil, e comece a fazer staking agora mesmo