Ende Mai entdeckte CertiK, ein Blockchain-Audit-Unternehmen, eine schwerwiegende Sicherheitslücke im Code von Worldcoin, die es einem nicht autorisierten Benutzer ermöglicht hätte, Zugriff zu erhalten und unter Umgehung des strengen Verifizierungsprozesses ein Orb-Betreiber zu werden.
Mit diesem Fehler, fügt CertiK hinzu, hätte der Eindringling die strengen Onboarding-Kriterien von Worldcoin, um Orb-Betreiber zu werden, leicht umgehen können.
1/ Am 29. Mai meldete CertiK dem Sicherheitsteam von#WorldCoineine Sicherheitslücke, die es einem Angreifer möglicherweise ermöglichen könnte, durch Umgehen des Verifizierungsprozesses zum Orb-Betreiber zu werden.
— CertiK (@CertiK) 3. August 2023
Um Orb-Betreiber zu werden, sind strenge Auflagen zu erfüllen. Dazu gehören eine Identitätsprüfung, Interviews und die Erfüllung bestimmter Unternehmensanforderungen. Ein verifizierter Orb-Betreiber muss beispielsweise ein lizenziertes lokales Unternehmen betreiben und über ein Team verfügen, das Personen, die ihre Iris scannen, in das Worldcoin-Ökosystem einbindet. Orb-Betreiber werden in Stablecoins oder Fiatgeld entlohnt.
Wäre der Fehler unbemerkt geblieben, hätten möglicherweise Personen, die nicht ordnungsgemäß identifiziert oder überprüft wurden, als Orb-Betreiber fungieren und vertrauliche Iris-Informationen von Benutzern sammeln können.
CertiK sagte, das Sicherheitsteam von Worldcoin habe umgehend reagiert, die Schwachstelle bestätigt und einen Fix implementiert, um die Bedrohung zu beseitigen.
Am 28. Juli veröffentlichte Worldcoin einen umfassenden Sicherheitsprüfbericht.
Das Worldcoin-Protokoll wurde von den Cybersicherheitsunternehmen Nethermind und Least Authority einer Prüfung unterzogen, bei der mehrere Schwachstellen festgestellt wurden.
Das könnte Sie auch interessieren: Französische Datenschutzbehörde untersucht Datensammlung von Worldcoin
Sie analysierten gefährdete Bereiche, entwickelten Strategien zum Schutz vor schädlichen Aktionen und Angriffen und empfahlen die Umsetzung von Abwehrmaßnahmen gegen böswillige Aktivitäten und Ausbeutung.
Das Nethermind-Audit beispielsweise ergab 26 Protokollprobleme, von denen die meisten während des Verifizierungsprozesses erfolgreich behoben wurden. Die übrigen wurden erkannt und bearbeitet. Least Authority hingegen hat drei Probleme herausgearbeitet und sechs Lösungen vorgeschlagen.
Worldcoin hat gewissenhaft gehandelt und gemäß seiner Verpflichtung zur Aufrechterhaltung eines sicheren Systems alle festgestellten Probleme gelöst bzw. deren Behebung geplant.
Diese Woche hat Kenia alle Worldcoin-Aktivitäten im Land ausgesetzt. Man möchte die Risiken für die Öffentlichkeit und die mögliche Verwendung der Daten prüfen.
Andererseits teilte Worldcoin mit, dass man seine Dienste in Kenia eingestellt habe, um der hohen Nachfrage gerecht zu werden, man werde aber mit den örtlichen Behörden zusammenarbeiten, um die Datenschutzmaßnahmen zu erläutern.
Trotzdem sagte Ricardo Macieira von Tools for Humanity, der Gruppe hinter Worldcoin, dass sie dort weiter expandieren werden, wo sie willkommen sind.
Deutschland, Frankreich und das Vereinigte Königreich untersuchen Worldcoin und prüfen, ob der Konzern seine Datenschutzvorschriften einhält.
Weiterlesen: Worldcoin erweitert ID-Verifizierungssystem auf Unternehmen und Regierungen
