Worldcoin veröffentlicht Prüfberichte mit behobenen Sicherheitsproblemen

Das Proof of Humanity-Protokoll Worldcoin hat am 28. Juli seine Prüfberichte veröffentlicht, da die Kritik an seinen Datenerfassungspraktiken weiter zunimmt. Die neuen Berichte wurden von den Sicherheitsberatungsfirmen Nethermind und Least Authority erstellt.
Einer begleitenden Ankündigung von Worldcoin zufolge hat Nethermind 26 Sicherheitsprobleme mit dem Protokoll festgestellt, von denen 24 während der Verifizierungsphase „als behoben identifiziert“ wurden, während eines gemildert und ein anderes bestätigt wurde.
Least Authority habe drei Probleme festgestellt und sechs Vorschläge gemacht, die alle „gelöst wurden oder deren Lösung geplant ist“, hieß es in der Ankündigung.
Erfahren Sie mehr über die Ergebnisse von zwei separaten Sicherheitsprüfungen des Worldcoin-Protokolls, die von @NethermindEth und @LeastAuthority durchgeführt wurden.https://t.co/fXa50wNBYE
– Worldcoin (@worldcoin) 28. Juli 2023
Worldcoin erlangte erstmals 2021 Bekanntheit, als es ankündigte, dass es kostenlose Token an alle Benutzer verschenken würde, die ihre menschliche Identität bestätigen, was sie tun konnten, indem sie ihre Iris von einem Gerät namens „Orb“ scannen ließen. Mitbegründer des Projekts war Sam Altman, der Mitbegründer des KI-Entwicklers OpenAI.
Damals argumentierten Altman und andere Teammitglieder, dass KI-Bots im Internet zu einem immer größeren Problem würden, wenn die Menschen keine Möglichkeit fänden, ihre Menschlichkeit zu verifizieren, ohne ihre Privatsphäre aufzugeben. Laut der Dokumentation des Protokolls erstellt The Orb einen Hash des Iris-Scans des Benutzers, speichert jedoch keine Kopie des Iris-Scans.
Prüfbericht zu Netherminds Worldcoin. Quelle: Github
Worldcoin wurde am 25. Juli nach fast zweijähriger Entwicklungs- und Betatestzeit öffentlich vorgestellt. Doch schon bald brach Kritik an dem Projekt los. Das britische Information Commissioner’s Office (ICO) teilte Berichten zufolge mit, dass die Regierungsbehörde überlege, ob das Projekt wegen Verstoßes gegen die Datenschutzgesetze des Landes untersucht werden solle. Auch die französische Datenschutzbehörde CNIL stellte die Rechtmäßigkeit von Worldcoin in Frage.
Die Krypto-Community war über den Start des Projekts gespalten. Einige Teilnehmer sahen darin den Beginn einer dystopischen Zukunft, in der die Privatsphäre abgeschafft würde. Andere hingegen sahen darin einen notwendigen Schritt zum Schutz der Menschen vor bösartigen KIs.
Die neuen Prüfberichte decken eine Vielzahl von Sicherheitsthemen ab, darunter die Widerstandsfähigkeit gegen DDoS-Angriffe, fallspezifische Implementierungsfehler, Schlüsselspeicherung und ordnungsgemäße Verwaltung der Verschlüsselung und Signierung von Schlüsseln, Datenlecks und Informationsintegrität und andere. Einige der festgestellten Probleme waren das Ergebnis von Abhängigkeiten von Semaphore und Ethereum, darunter „Unterstützung für die Vorkompilierung elliptischer Kurven oder Konfiguration der Poseidon-Hash-Funktion“, heißt es in der Ankündigung.
Alle Probleme außer einem wurden behoben, gemildert oder es sind Korrekturen geplant. Das eine Sicherheitsproblem, das zum Zeitpunkt der Überprüfung nicht behoben wurde, hat den Schweregrad „unbestimmt“ und wird als „bestätigt“ aufgeführt.