Worldcoin risponde alle preoccupazioni sulla privacy con un audit di terze parti
In seguito alle recenti preoccupazioni sollevate da più parti, in merito alla protezione della privacy dei suoi utenti, la fondazione Worldcoin ha richiesto un audit di terze parti sulla sua tecnologia Orb di scansione dell’iride.
L’incarico di eseguire l’audit è stato affidato alla società Trail of Bits, che opera nel settore della sicurezza informatica e di rete. Ora che la società ha portato a termine il suo incarico, Worldcoin ha reso noti i risultati dell’audit.
Worldcoin e i problemi con la privacy
Non è la prima volta che la nuova tecnologia di scansione biometrica attraverso i dispositivi Orb, messa a punto da Worldcoin, deve affrontare problematiche e timori legati alla violazione della privacy.
Le ultime indagini in merito erano state avviate a Hong Kong, dall’autorità che vigila sulla privacy e la protezione dei dati. In precedenza, però, la legittimità dell’operato della compagnia era stata messa in dubbio anche da alcuni Paesi europei, come Francia, Gran Bretagna e Germania, i quali hanno richiesto a loro volta ulteriori indagini volte a identificare eventuali problematiche sul piano legale.
Alcuni Paesi in via di sviluppo invece, come l’India e il Kenya, hanno assunto una posizione più drastica, dichiarandosi palesemente avversi al sistema decentralizzato di verifica dell’identità proposto da Worldcoin.
In particolare, il Kenya ha invitato Alex Blania, co-CEO del progetto Worldcoin, a comparire davanti a una commissione parlamentare al fine di fornire ulteriori spiegazioni circa il funzionamento della tecnologia di scansione biometrica, su come è strutturato il progetto e sulle possibili violazioni della privacy dei cittadini kenyoti che vi hanno preso parte.
TFH has paused World ID verifications in Kenya as we continue to work with local regulators to address their questions. We apologize to everyone in Kenya for the delay.
World ID is built for privacy. We look forward to resuming operations, while continuing global rollout.
— Alex Blania (@alexblania) August 2, 2023
La verifica delle funzionalità dell’Orb è andata oltre i controlli standard di sicurezza
Secondo un recente rapporto, Tools for Humanity (TFH) e la Worldcoin Foundation hanno incaricato la società di sicurezza informatica e di rete Trail of Bits di eseguire una verifica dettagliata del software dell’Orb.
In questa occasione, e alla luce delle precedenti problematiche affrontate da Worldcoin, la verifica è andata ben oltre i soliti controlli di sicurezza standard, al fine di valutare aspetti specifici della privacy e della funzionalità del dispositivo Orb.
Read the report from a highly specialized audit of the orb’s software conducted by the security experts at @trailofbits https://t.co/jVNuG20GzM
— Worldcoin (@worldcoin) March 14, 2024
L’audit ha esaminato i dispositivi Orb di Worldcoin, concentrandosi sul modo in cui questi gestiscono e proteggono i dati degli utenti.
I risultati hanno indicato che i dispositivi non memorizzano le informazioni personali ma soltanto i codici dell’iride, i quali vengono crittografati e caricati a scopo di verifica.
L’esame della privacy di Worldcoin Orb
La società TFH ha delineato diverse affermazioni tecniche per guidare l’audit, concentrandosi sul software dell’Orb a partire dalla versione dell’8 luglio 2023.
Durante il processo di iscrizione di default, l’Orb è stato progettato per raccogliere solo il codice dell’iride dell’utente, evitando di memorizzare o trasferire altre informazioni di identificazione personale (PII).
Fatta eccezione per il codice dell’iride, quindi, l’obiettivo principale è garantire che nessuna PII venga scritta nella memoria persistente dell’Orb o caricata dal dispositivo.
Per gli utenti che optano per un flusso di iscrizione più completo di dati, qualsiasi PII salvata sull’unità SSD del dispositivo viene crittografata in modo asimmetrico, rendendola così inaccessibile alla decodifica anche da parte dell’Orb stesso.
Inoltre, l’audit ha anche verificato che Orb non estrae informazioni sensibili dal dispositivo dell’utente. Gli unici dati raccolti, cioè quelli relativi alla scansione dell’iride, sono incapsulati in un codice QR che può essere successivamente scansionato dall’Orb per le verifiche.
La gestione del codice dell’iride dell’utente è stata esaminata per verificarne la sicurezza ed è stato confermato che il codice dell’iride non viene memorizzato in modo persistente sull’Orb, ma viene trasmesso in una singola richiesta al backend e può essere inviato solo a server pre-approvati, protetti dalla crittografia end-to-end.
Le conclusioni tratte da Trail of Bits
Secondo il rapporto sull’audit reso noto dalla società Trail of Bits:
“L’analisi non ha rilevato vulnerabilità nel codice dell’Orb che possano essere sfruttate direttamente in relazione agli Obiettivi del Progetto descritti”.
“Sebbene la revisione di Trail of Bits abbia identificato alcuni problemi non confermati che potrebbero teoricamente influenzare gli obiettivi del progetto, e il codice interessato è stato successivamente aggiornato, l’audit non ha identificato alcun caso in cui gli obiettivi del progetto sarebbero stati direttamente compromessi”.
Leggi anche:
- Binance avvia un’indagine interna dopo le segnalazioni di insider trading su BOME
- Esperti finanziari fissano il prezzo di Cardano per la fine del 2024
