Nguồn: Shutterstock
Công ty bảo mật chuỗi khối chứng chỉ đã tiết lộ một lỗ hổng trong thế giới giao thức cho phép truy cập trái phép đối với người vận hành Orb.
Trong một chủ đề Twitter gần đây, CertiK giải thích rằng lỗ hổng cho phép bất kỳ ai bỏ qua các yêu cầu xác minh để trở thành nhà điều hành Orb mà không đáp ứng các tiêu chí cần thiết, chẳng hạn như là một công ty hợp pháp hoặc vượt qua cuộc phỏng vấn kiểm tra.
Công ty viết: “Thông qua lỗ hổng bảo mật này, kẻ tấn công độc hại có thể bỏ qua quá trình xác minh và tiêu chí tham gia nghiêm ngặt của quy trình chấp nhận Nhà điều hành Worldcoin”.
Quy trình thông thường chỉ cho phép các doanh nghiệp hợp pháp vượt qua quy trình xác minh nhận dạng nghiêm ngặt để chạy hoạt động Orb, thu thập thông tin mống mắt của người dùng.
CertiK cho biết họ đã báo cáo vấn đề với Worldcoin thông qua quy trình tiết lộ mũ trắng và nhóm bảo mật của dự án đã nhanh chóng khắc phục lỗ hổng bằng một bản sửa lỗi.
“CertiK đã xác minh và xác nhận rằng bản sửa lỗi đã giảm thiểu mối đe dọa”, công ty viết.
Đáng chú ý, tiết lộ của CertiK được đưa ra chỉ một tuần sau khi Worldcoin công bố báo cáo về kiểm toán bảo mật do Nethermind và Least Authority thực hiện.
Các cuộc kiểm toán bao gồm nhiều lĩnh vực khác nhau, bao gồm các lỗ hổng trong mã có thể dẫn đến các hành động đối nghịch và các cuộc tấn công khác, cũng như bảo vệ chống lại các phương pháp khai thác và tấn công độc hại.
Quá trình kiểm tra của Nethermind đã xác định được 26 mục trong quá trình đánh giá bảo mật, trong đó 24 mục đã được khắc phục sau giai đoạn xác minh, một mục đã được giảm nhẹ và một mục đã được xác nhận.
Mặt khác, Least Authority đã phát hiện ra ba vấn đề trong giao thức và đưa ra sáu đề xuất, tất cả đều đã được giải quyết hoặc đã có kế hoạch giải quyết, theo Worldcoin.
Worldcoin phải đối mặt với nhiều vấn đề hơn trong bối cảnh Kenya bị đình chỉ
Tuần trước, Bộ Nội vụ Kenya đã ban hành nghị định đình chỉ đăng ký Worldcoin, với lý do lo ngại về tính xác thực, tính hợp pháp, an ninh, dịch vụ tài chính và bảo vệ dữ liệu của các hoạt động này.
Trong một thông báo chính thức, Bộ cho biết các cơ quan liên quan đã bắt đầu điều tra dự án.
Bộ trưởng Nội vụ Kithure Kindiki cho biết: “Các cơ quan an ninh, dịch vụ tài chính và bảo vệ dữ liệu có liên quan đã bắt đầu điều tra và xác minh tính xác thực và hợp pháp của các hoạt động nói trên”.
Worldcoin, được đồng sáng lập bởi Giám đốc điều hành OpenAI Sam Altman và được định giá hơn 2 tỷ đô la, nhằm mục đích tạo ra một mạng lưới “bằng chứng về tính cá nhân” bằng cách đăng ký người đã được xác minh thông qua quét nhãn cầu.
Dự án đã nhận được những lời chỉ trích đáng chú ý kể từ khi ra mắt.
Vì Worldcoin quét mống mắt và mắt của mọi người để đảm bảo rằng tiền điện tử được phân phối công bằng nên một số người đã bày tỏ lo ngại về quyền riêng tư và bảo mật.
Việc thu thập dữ liệu sinh trắc học cũng đặt ra câu hỏi về cách thức lưu trữ, bảo vệ và sử dụng thông tin nhạy cảm này.
Hơn nữa, một số người đã đặt câu hỏi về các phương pháp lấy sự đồng ý của Worldcoin.
một năm 2022 điều tra của MIT Review phát hiện ra rằng Worldcoin đã sử dụng các hoạt động tiếp thị lừa đảo, thu thập nhiều dữ liệu cá nhân hơn mức tiết lộ và không đạt được sự đồng ý có ý nghĩa.
Mới đây, nó đã được tiết lộ rằng Châu Âu cơ quan quản lý, bao gồm cả các Ủy ban Quốc gia Pháp về Tin học và Tự do (CNIL) và Chính quyền bang Bavaria ở Đứcđang hợp tác với một cuộc điều tra về dự án.
Discussion about this post