Worldcoin opublikował wyniki niezależnego audytu przeprowadzonego przez Trail of Bits, skupiającego się na technologii Orb skanującej tęczówkę.
Według niedawnego raportu Tools for Humanity (TFH), Worldcoin Foundation zleciły Trail of Bits przeprowadzenie szczegółowego audytu oprogramowania Orb. Audyt ten wykraczał poza standardowe kontrole bezpieczeństwa i obejmował ocenę konkretnych aspektów prywatności i funkcjonalności Orb.
W ramach audytu zbadano urządzenia Orb firmy Worldcoin, koncentrując się na sposobie, w jaki obsługują i zabezpieczają dane użytkowników. Ustalenia wykazały, że urządzenia nie przechowują danych osobowych z wyjątkiem kodów tęczówki, które są szyfrowane i przesyłane w celach weryfikacji.
Kontrola prywatności Worldcoin Orb
TFH przedstawiła kilka zastrzeżeń technicznych, które miały pomóc w audycie, koncentrując się na oprogramowaniu Orb w wersji z 8 lipca 2023 r. Podczas domyślnego procesu rejestracji rezygnacji Orb zbiera tylko kod tęczówki użytkownika i nie przekazuje żadnych innych informacji umożliwiających identyfikację.
Celem jest zapewnienie, że żadne dane umożliwiające identyfikację nie zostaną przesłane ani zapisane w trwałej pamięci Kuli, oprócz kodu tęczówki. W przypadku, gdy użytkownik zarejestruje więcej danych, wszystkie dane zapisane na dysku SSD urządzenia będą szyfrowane asymetrycznie, co oznacza, że urządzenie nie może ich odszyfrować. Ponadto badanie potwierdziło, że Orb nie pobiera wrażliwych danych z urządzenia użytkownika.
Potwierdzono, że kod tęczówki nie jest przechowywany na Orbie przez cały czas; jest wysyłany do backendu w ramach jednego żądania i tylko do serwerów, które zostały wcześniej zatwierdzone i są chronione kompleksowym szyfrowaniem.
Wnioski wyciągnięte przez Trail of Bits
Według Trail of Bits analiza „nie odkryła luk w kodzie Orba, które można bezpośrednio wykorzystać w odniesieniu do opisanych celów projektu”.
„Chociaż przegląd Trail of Bits wykazał pewne niepotwierdzone obawy, które teoretycznie mogłyby mieć wpływ na cele projektu, w związku z czym kod, którego to dotyczy, został zaktualizowany” – czytamy w raporcie. „Kontrola nie wykazała żadnych przypadków, w których cele projektu byłyby bezpośrednio zagrożone”.