TechCrunch آموخته است که هکرها بدافزار سرقت رمز عبور را بر روی دستگاه های چندین اپراتور Worldcoin Orb نصب کرده اند و به آنها دسترسی کامل به داشبورد اپراتور Worldcoin می دهد.
بر اساس وبسایت این شرکت، Worldcoin که توسط سام آلتمن تأسیس شده است، میگوید که در حال ایجاد یک «ارز جهانی با مالکیت جمعی است که بهطور عادلانه بین افراد زیادی که ممکن است توزیع میشود». این شرکت این کار را با دادن توکن انجام می دهد. کسانی که علاقه مند به پیوستن به شبکه مالی هستند باید ابتدا داده های بیومتریک خود را در ازای آن توکن ها تحویل دهند.
بیومتریک یک فرد توسط Worldcoin Orb، یک کروی، ثبت می شود “آینه سیاه”به گزارش ورلد کوین، دستگاه تصویربرداری اسکی که عنبیه و تصاویری با وضوح بالا از بدن و صورت کاربران می گیرد. علاقه مندان باید ابتدا به یک «اپراتور Orb» مراجعه کنند، که توسط Worldcoin استخدام و قرارداد می شود، و برای هر فردی که ثبت نام می کنند، درآمد کسب کنند.
این اپراتورها به یک پورتال آنلاین و یک برنامه دسترسی دارند، جایی که می توانند اطلاعاتی مانند درآمد، زمان آپدیت، ثبت نام، رتبه بندی اپراتور و سایر معیارها را ردیابی کنند.
TechCrunch دریافته است که چندین اپراتور Worldcoin دستگاه های شخصی خود را با بدافزار سرقت رمز عبور، مانند دزد اطلاعات RedLine، برای سرقت تمام اعتبارنامه های ذخیره شده در مرورگر خود – از جمله جزئیات ورود به برنامه اپراتور، در معرض خطر قرار داده اند.
یک محقق امنیتی که خواست نامش فاش نشود، به TechCrunch گفت که اعتبار حداقل هفت اپراتور Orb در شش ماه گذشته در وب تاریک فهرست شده است. اینها شامل اعتبارنامه هایی است که به هکرها دسترسی کامل به داشبورد اپراتور Worldcoin Orb را می دهد، که TechCrunch دریافته است که به هیچ گونه احراز هویت دو مرحله ای یا چند عاملی نیاز ندارد.
این محقق امنیتی به TechCrunch گفت که بعید است که اپراتورها به طور خاص هدف قرار گرفته باشند. محقق گفت، در عوض، احتمالاً نتیجه دانلود نرمافزارهای بد روی رایانههایشان بوده در حالی که اطلاعات کاربری حساس در مرورگرهایشان ذخیره شده است.
داشبوردهای Orb حاوی دادههایی از جمله مدارک نصب و آموزش، و درخواستهای پشتیبانی شده توسط سایر اپراتورهای Orb هستند، با توجه به اسکرینشاتهایی که توسط TechCrunch مشاهده میشود، اگرچه دقیقاً مشخص نیست که اطلاعات کاربر تا چه اندازه توسط اپراتور قابل دسترسی است. گزارش های گذشته نشان داد که اطلاعات جمع آوری شده توسط اپراتورها شامل آدرس ایمیل، شماره تلفن و اسکن کارت های شناسایی ملی در برخی مناطق است.
جانیک پریویش، سخنگوی ورلد کوین، به TechCrunch گفت که یک بررسی داخلی به این نتیجه رسیده است که «هیچ اطلاعات حساس یا شخصی کاربر» مورد دسترسی یا به خطر افتادن قرار نگرفته است. پریویش افزود که هیچ داده حساسی برای اپراتور Orb قابل دسترسی نیست و هر گونه داده بیومتریک هم در حالت استراحت و هم در حین انتقال رمزگذاری می شود.
“ما هر ادعایی در مورد امنیت و یکپارچگی سیستم های خود را جدی می گیریم و بلافاصله پس از دریافت استعلام از TechCrunch در مورد چنین مواردی، تحقیقاتی را انجام دادیم.” پریویش افزود که این شرکت به دلیل “احتیاط فراوان” همه ورود به سیستم اپراتورهای Worldcoin را بازنشانی کرده است و عرضه 2FA را برای برنامه اپراتور Worldcoin تسریع کرده است.
طبق داده های خود، Worldcoin از یک میلیون ثبت نام فراتر رفته و در هر زمان بین 100 تا 200 Orb فعال است.