Відповідно до чернетки звіту команди розробників від 14 березня, з яким ознайомився Cointelegraph, проект ідентифікації людини Worldcoin отримав сторонній аудит свого програмного забезпечення Orb. Аудит проводився компанією Trail of Bits, яка стверджувала, що не виявила вразливостей, які «можна безпосередньо використати у зв’язку з цілями проекту, як описано», — йдеться у звіті. Очікується, що повний звіт The Trail of Bits буде опубліковано 14 березня, згідно із заявою Worldcoin, надісланою електронною поштою.
Worldcoin дозволяє людям підтвердити свою людяність, зареєструвавшись за допомогою номера телефону, адреси електронної пошти або просканувавши райдужну оболонку ока за допомогою пристрою під назвою «Куля». Коли користувач виконує таку реєстрацію, він отримує «світовий ідентифікатор», який можна використовувати, щоб підтвердити, що він справжня людина. Співзасновником проекту був Сем Альтман, який також був співзасновником розробника ChatGPT OpenAI. Альтман стверджував, що він допоміг створити Worldcoin через побоювання, що боти зі штучним інтелектом незабаром зможуть видавати себе за людей.
Прихильники конфіденційності критикували Worldcoin на тій підставі, що він ризикує передати сканування райдужної оболонки ока хакерам або урядам. Критики стверджують, що ці скани райдужної оболонки потенційно можуть бути використані для виявлення всіх дій, які людина виконує зі своїм World ID.
За темою: Іспанський суд відхилив запит Worldcoin про судову заборону проти регулятора
Відповідно до звіту Worldcoin, Trail of Bits розпочала свою оцінку 14 серпня 2023 року. Охоронна фірма отримала версію 3.1.10, яку було «заморожено» для цілей оцінки 8 липня 2023 року. Поточна версія — 4.0.34, – йдеться у повідомленні.
Повідомляється, що аудитори витратили шість тижнів, досліджуючи код на наявність потенційних вразливостей. Вони розглянули декілька векторів атак, які хакер міг потенційно використати для отримання сканування райдужної оболонки ока користувача, але врешті-решт дійшли висновку, що «наш аналіз не виявив уразливостей у коді Orb, якими можна було б безпосередньо скористатися у зв’язку з цілями проекту, як описано». Зокрема, аудитори прийшли до висновку, що зловмисник не може отримати код райдужної оболонки користувача, якщо зловмисник не має контролю над одним із довірених сертифікатів, як вони, як повідомляється, заявили:
«Ми вважаємо, що код райдужної оболонки не записується в постійне сховище на Orb і що він включається лише в один запит до серверної частини Orb […] [W]хоча цю конфігурацію можна покращити, щоб зробити її більш безпечною (TOB-ORB-10), для звичайних зловмисників не повинно бути можливості отримати код ірису з мережевого трафіку Orb;зловмисник мав би контролювати один із довірених сертифікатів».
Згідно зі звітом, аудитори зробили дві рекомендації щодо покращення безпеки Orb. Перше полягало в «зміцненні» конфігурації потоку реєстрації, щоб гарантувати, що майбутні зміни не створюватимуть проблем із безпекою. Другий — замінити ZBar Library, який використовується для сканування QR-кодів під час реєстрації, чистою версією Rust. Аудитори стверджували, що ZBar може мати проблеми з «безпекою пам’яті», які можуть призвести до витоку конфігураційних даних, таких як «вибір зберігання даних» користувача, якщо ця зміна не була зроблена. Команда Worldcoin реалізувала обидві запропоновані зміни, йдеться у звіті.
Дебати щодо практики конфіденційності Worldcoin можуть тривати деякий час.6 березня Агентство із захисту даних Іспанії (AEPD) видало судову заборону на проект, стверджуючи, що агентству потрібен час для розслідування заяв про порушення Worldcoin законів про захист даних. У відповідь Worldcoin стверджував, що не порушував ці закони і що уряд Іспанії «обійшов законодавство ЄС», видавши судову заборону.
