A empresa de segurança cibernética Trail of Bits concluiu a auditoria da tecnologia ORB da Worldcoin e descobriu que ela adere a protocolos de privacidade rigorosos, especialmente na forma como processa e armazena informações de identificação pessoal (PII).
O Relatório completo foi lançado em 13 de março e revelou que não há vulnerabilidades no software ORB e validado muitas das reivindicações feitas por Moeda Mundial.
A auditoria foi iniciada em 14 de agosto de 2023, depois que vários reguladores em todo o mundo levantou preocupações sobre a coleta de dados biométricos da Worldcoin, com algumas proibindo suas operações.
A auditoria
A auditoria da Trail of Bits teve como objetivo examinar meticulosamente o software do orb, concentrando-se particularmente no tratamento de informações de identificação pessoal (PII) e no gerenciamento dos códigos de íris dos usuários.
Durante o fluxo de inscrição de desativação padrão, o orbe não coleta nenhuma PII, exceto o código da íris, que não é gravado no armazenamento persistente nem sai do orbe. Em cenários em que os usuários optam por participar, suas PII são criptografadas no SSD do orbe de uma maneira que nem mesmo o próprio orbe consegue descriptografar – apresentando uma abordagem robusta à privacidade de dados.
Além disso, a auditoria verificou que o orb não extrai dados confidenciais adicionais do dispositivo do usuário, sendo a única informação coletada de um código QR. Isso garante uma abordagem mínima de coleta de dados, alinhada às melhores práticas de privacidade.
É importante ressaltar que o código da íris, uma peça crítica dos dados biométricos, é tratado de forma segura durante todo o seu processo de coleta e transmissão, mitigando efetivamente o risco de acesso não autorizado ou interceptação.
Recomendações
A auditoria também destacou áreas para melhoria, recomendando fortalecimento adicional das configurações de software e hardware do orbe para reforçar ainda mais a segurança.
Em resposta, a Worldcoin implementou mudanças, incluindo a substituição de uma biblioteca vulnerável usada para leitura de códigos QR por uma alternativa mais segura.
A auditoria Trail of Bits representa apenas uma parte dos esforços contínuos da Worldcoin para garantir a segurança e a privacidade de sua tecnologia. Com a tecnologia ORB sendo fundamental para a missão do projeto Worldcoin de fornecer uma renda básica universal, essas avaliações rigorosas de segurança são cruciais para manter a confiança do usuário e a integridade do projeto.
Reconhecendo a importância da transparência e do envolvimento da comunidade, a Worldcoin convidou a participação pública no seu programa de recompensas por bugs e planeia partilhar relatórios de auditoria futuros assim que estiverem disponíveis.