En Resumen
- CertiK encontró una vulnerabilidad en Worldcoin que permitía evadir la verificación para ser operador Orb.
- Worldcoin corrigió rápidamente la vulnerabilidad reportada por CertiK.
- Preocupaciones sobre privacidad y seguridad han surgido a nivel global en torno a Worldcoin debido a la recopilación de datos personales y la seguridad de escaneos de iris.
La firma de seguridad en criptomonedas CertiK reveló recientemente una vulnerabilidad en el protocolo de Worldcoin que permitía a un atacante evadir el proceso de verificación para convertirse en un operador Orb.
Según CertiK, esta vulnerabilidad habría permitido a cualquier persona eludir los requisitos de verificación para convertirse en un operador Orb de Worldcoin. La persona no estaría obligada, por ejemplo, a ser una empresa legítima, someterse a una verificación de identidad adecuada o pasar una entrevista de evaluación.
"En un caso normal, solo las empresas legítimas que pasan el estricto proceso de verificación de identificación de Worldcoin pueden llevar a cabo una operación Orb, que recopila información del iris del usuario", dice el hilo de CertiK.
La firma de seguridad informó del problema a Worldcoin a través de "un procedimiento estándar de divulgación de whitehat", después de lo cual el equipo de seguridad del proyecto confirmó la vulnerabilidad y "emitió rápidamente una solución".
1/ On May 29th, CertiK reported a security vulnerability to #WorldCoin’s security team that could potentially allow an attacker to become an Orb operator by bypassing the verification process.
— CertiK (@CertiK) August 3, 2023
CertiK, a su vez, informó y confirmó que la solución mitigó la amenaza. La empresa de seguridad agregó que hará públicos los detalles del hallazgo y cómo se mitigó la vulnerabilidad "en algún momento en el futuro".
Cabe destacar que la revelación de CertiK se produce apenas una semana después de que Worldcoin publicara un informe sobre auditorías de seguridad del protocolo Worldcoin realizadas por las firmas de auditoría Nethermind y Least Authority.
Estas auditorías abarcaron una amplia variedad de áreas, incluyendo vulnerabilidades en el código que podrían llevar a acciones adversas y otros ataques, así como protección contra ataques maliciosos y otros métodos de explotación.
La auditoría de Nethermind identificó 26 elementos durante su evaluación de seguridad, de los cuales 24 fueron corregidos después de la etapa de verificación, mientras que uno fue mitigado y el restante fue reconocido.
Least Authority identificó tres problemas en el protocolo y ofreció seis sugerencias, todas las cuales han sido resueltas o tienen resoluciones planeadas, según Worldcoin.
CertiK y Worldcoin no respondieron de inmediato a las solicitudes de comentarios de Decrypt.
Preocupaciones sobre Worldcoin
Lanzado a principios de este verano, Worldcoin es un proyecto de criptomonedas destinado a establecer una nueva red global de identidad y finanzas centrada en escaneos de iris.
La compañía afirma que estas identificaciones de World serán cruciales a medida que la inteligencia artificial se vuelva más influyente, permitiendo a los humanos demostrar que no son robots.
Para participar en esta red, se requiere que las personas escaneen sus iris utilizando un dispositivo conocido como el Orb. Como incentivo, los usuarios son recompensados con el token nativo del proyecto, WLD, a cambio de su escaneo de iris.
El proyecto ha generado varias preocupaciones en cuanto a la privacidad y seguridad de los datos. Críticos, incluyendo al famoso denunciante Edward Snowden y al co-fundador de Ethereum, Vitalik Buterin, argumentan que Worldcoin podría estar recopilando una cantidad excesiva de datos personales, los cuales podrían ser utilizados de manera maliciosa.
También existen preocupaciones sobre la seguridad del iris, como señaló Buterin en su reciente publicación de blog, los Orbs son dispositivos de hardware donde se podrían instalar puertas traseras en el sistema, permitiendo a fabricantes maliciosos crear múltiples identidades humanas falsas.
MIT Technology Review también ha acusado a Worldcoin de participar en prácticas de marketing engañosas y recopilar una mayor cantidad de datos personales de lo inicialmente revelado.
En respuesta a estas preocupaciones, Worldcoin ha afirmado su compromiso de proteger la privacidad de los usuarios.
El sitio web de la empresa afirma que el proyecto "cumple totalmente con todas las leyes y regulaciones que rigen la recopilación y transferencia de datos biométricos, incluido el Reglamento General de Protección de Datos de Europa ('GDPR')."
La empresa agregó que "la Fundación Worldcoin y su colaborador Tools for Humanity nunca han vendido ni venderán ningún dato personal".