Geliştirme ekibinin 14 Mart tarihli bir rapor taslağına göre insan kimliği projesi Worldcoin, Orb yazılımının üçüncü taraf denetimini aldı. Denetim, açıklanan proje hedefleri ile ilgili olarak doğrudan hack saldırısına maruz kalacak hiçbir güvenlik açığı bulamadığını iddia eden Trail of Bits tarafından gerçekleştirildi. Worldcoin’den e-postayla yapılan bir açıklamaya göre Trail of Bits raporunun tamamının 14 Mart’ta yayınlanması bekleniyor.
Worldcoin’den Güvenlik Raporu
Worldcoin, insanların bir telefon numarası veya e-posta adresi ile kayıt yaptırarak veya bir Orb cihazı tarafından irislerinin taranmasını sağlayarak kimlik doğrulamalarına olanak tanıyor. Bir kullanıcı bu kaydı gerçekleştirdiğinde gerçek bir insan olduğunu kanıtlamak için kullanılabilecek bir World ID elde eder. Proje, ChatGPT geliştiricisi OpenAI’nin de kurucularından olan Sam Altman tarafından oluşturuldu. Altman, yapay zeka botlarının yakında etkili bir şekilde insan gibi davranabileceği korkusuyla Worldcoin’in ele alınmasında yardımcı olduğunu iddia etti.
Gizlilik savunucuları Worldcoin’i kullanıcıların iris taramalarını bilgisayar korsanlarına veya hükümetlere sızdırma riski taşıdığı gerekçesiyle eleştirdi. Bu iris taramaları, bir kişinin World ID’si ile gerçekleştirdiği tüm faaliyetleri ortaya çıkarmak için potansiyel olarak kullanılabilir. Worldcoin’in raporuna göre Trail of Bits değerlendirmesine 14 Ağustos 2023 tarihinde başladı. Güvenlik firmasına 8 Temmuz 2023’te değerlendirme amacıyla dondurulan”3.1.10 sürümü verildi. Raporda mevcut sürümün 4.0.34 olduğu belirtildi.
Denetçilerin kodu olası güvenlik açıklarına karşı incelemek için altı hafta harcadıkları bildirildi. Bir bilgisayar korsanının bir kullanıcının iris taramasını elde etmek için kullanabileceği çeşitli saldırı vektörlerini değerlendirdiler ancak sonuçta analizin Orb’un kodunda açıklandığı gibi proje hedefleri ile ilgili olarak doğrudan saldıraya uğrayabilecek güvenlik açıklarını ortaya çıkarmadı sonucuna vardılar. Konuya ilişkin şu açıklama yapıldı:
“İris kodunun Orb üzerindeki kalıcı depolama alanına yazılmadığına ve sadece Orb’un arka ucuna yapılan tek bir talebe dahil edildiğine inanıyoruz. Her ne kadar bu yapılandırma daha güvenli hale getirilebilirse de (TOB-ORB-10), tipik saldırganların iris kodunu Orb’un ağ trafiğinden çıkarması mümkün değil ve saldırganın güvenilir sertifikalardan birinin kontrolünde olması gerekir.”
Dikkat Çeken Detaylar
Rapora göre denetçiler Orb’un güvenliğini artırmak için iki tavsiyede bulundu. Bunlardan ilki, gelecekteki değişikliklerin güvenlik sorunlarına yol açmamasını sağlamak için kayıt akışının yapılandırmasını güçlendirmek. İkincisi ise kayıt sırasında QR kodlarını taramak için kullanılan ZBar kütüphanesinin saf bir Rust versiyonu ile değiştirilmesiydi. Denetçiler bu değişiklik yapılmazsa ZBar’ın kullanıcının veri saklama seçimi gibi yapılandırma verilerini sızdırabilecek bellek güvenliği sorunlarına sahip olabileceğini iddia etti. Raporda, Worldcoin ekibinin önerilen değişikliklerin her ikisini de uyguladığı belirtildi.
Worldcoin’in gizlilik uygulamalarına ilişkin tartışmalar bir süre daha devam edebilir. 6 Mart’ta İspanya Veri Koruma Ajansı, Worldcoin’in veri koruma yasalarını ihlal ettiği iddialarını araştırmak için zamana ihtiyaç duyduğunu iddia ederek projeye karşı bir tedbir kararı çıkardı. Buna karşılık Worldcoin, bu yasaları ihlal etmediğini ve İspanyol hükümetinin ihtiyati tedbir kararı çıkararak AB yasalarını dolanmakta olduğunu iddia etti.
