Worldcoin tem falha que pode afetar segurança dos usuários, diz CertiK
A empresa de segurança especializada em blockchain CertiK revelou a descoberta uma vulnerabilidade no protocolo da famosa criptomoeda Worldcoin (WLD). De acordo com a CertiK, a falha permitia que um invasor ignorasse o processo de verificação para se tornar um operador Orb.
Em outras palavras, essa vulnerabilidade permitiria que qualquer pessoa contornasse os requisitos de verificação exigidos pela própria Worldcoin. Por exemplo, os operadores dos Orbs precisam ser uma empresa legítima, passar por uma verificação de identidade (KYC) ou passar por uma entrevista de verificação.
Só que ao burlar essas etapas, qualquer pessoa conseguiria operar os Orbs, equipamentos que leem a íris dos usuários. Dessa forma, um invasor poderia utilizar essa falha como forma de roubar dados sensíveis de identificação.
“Em um caso normal, apenas empresas legítimas que passam pelo rigoroso processo de verificação de identificação do Worldcoin podem executar uma operação Orb, que coleta as informações da íris do usuário”, disse a CertiK.
Worldcoin corrigiu problema
A falha representa uma grave violação de segurança, bem como dos dados dos usuários. Mas a CertiK afirmou que relatou o problema à Worldcoin por meio de um procedimento de “divulgação padrão”. Em seguida, a equipe de segurança da Worldcoin confirmou a vulnerabilidade e “emitiu prontamente uma correção”.
Por sua vez, a CertiK supostamente verificou e confirmou que a correção eliminou os riscos da ameaça. A empresa de segurança acrescentou que divulgará os detalhes da descoberta e também da correção feita pela Worldcoin.
Vale a pena notar que a revelação da CertiK apenas uma semana depois que a Worldcoin divulgou um relatório sobre auditorias de segurança do protocolo. O processo conduzido pelas empresas de auditoria Nethermind e Least Authority cobriram um grande número de áreas, incluindo vulnerabilidades no código.
De acordo com a Nethermind, a Worldcoin possuía 26 itens pendentes de correção durante sua avaliação de segurança. Destes, 24 receberam correções e dois foram mitigados. Já a Least Authority identificou três problemas no protocolo e ofereceu seis sugestões, todas resolvidas ou com resoluções planejadas.
Nova tecnologia desperta preocupações
Lançada no mês passado, a Worldcoin é um projeto destinado a estabelecer uma nova identidade global e rede financeira centrada em varreduras de íris. A empresa afirma que esta é a melhor forma de identificar de fato um ser humano, prevenindo fraudes cometidas com o uso da Inteligência Artificial.
No seu lançamento, a empresa reuniu pessoas em várias cidades ao redor do mundo para fazer a coleta da íris por meio do dispositivo Orb. Em troca, a empresa oferecia tokens WLD como recompensa. Essa ação chegou até no Brasil, onde a Worldcoin ofereceu R$ 300 em WLD para quem fosse aos pontos de escaneamento em São Paulo.
Só que o projeto despertou várias preocupações em relação à privacidade e segurança dos dados. Críticos, incluindo Edward Snowden e o cofundador da Ethereum, Vitalik Buterin, argumentam que a Worldcoin pode estar coletando uma quantidade excessiva de dados pessoais, que podem ser usados indevidamente para fins maliciosos.
Também há apreensões sobre a segurança da íris e dos dados dos Orbs. Nesse sentido, Buterin escreveu um texto alertando que os Orbs são dispositivos de hardware que podem receber backdoors. Esses sistemas maliciosos podem permitir a criação de identidades falsas utilizando os dados das íris.
Em resposta a essas preocupações, a Worldcoin afirmou seu compromisso em proteger a privacidade do usuário. O site da empresa afirma que o projeto “é totalmente compatível com todas as leis e regulamentos que regem a coleta e transferência de dados biométricos, incluindo as Leis Gerais de Proteção de Dados da Europa (‘GDPR’)”.
.
