TechCrunch称,黑客已经在多个Worldcoin Orb操作员的设备上安装了窃取密码的恶意软件,使他们能够完全访问Worldcoin操作员的后台。
据公司网站介绍,由山姆奥特曼(Sam Altman)创立的Worldcoin表示,它正在创建一种“集体拥有的全球货币,将公平地分配给尽可能多的人”。该公司通过赠送代币来做到这一点。那些有兴趣加入金融网络的人必须首先交出他们的生物识别数据以换取这些代币。
根据Worldcoin的说法,Worldcoin Orb可以捕捉一个人的生物特征,这是一种球形的“黑镜”式成像设备,可以捕捉用户的虹膜以及他们身体和面部的高分辨率图像。有兴趣的人必须首先访问Worldcoin招募和签约的“Orb操作员”,每注册一个人就能赚到钱。
这些操作员可以进入一个在线门户网站和一个应用程序,在那里他们可以跟踪信息,如收入、正常运行时间、注册人数、操作员评级和其他指标。
TechCrunch了解到,一些Worldcoin操作员的个人设备受到密码窃取恶意软件(例如RedLine信息窃取程序)的威胁,窃取了浏览器中保存的所有凭据,包括操作员应用程序的登录详细信息。
一位要求匿名的安全研究人员告诉TechCrunch,在过去六个月中,至少有七名Orb操作员的凭据被列在暗网上。其中包括使黑客能够完全访问Worldcoin Orb操作员后台的凭据,TechCrunch了解到,这不需要任何形式的双因素或多因素身份认证。
安全研究人员告诉TechCrunch,操作员不太可能成为专门针对的目标。相反,研究人员说,这很可能是在他们的计算机上下载了不良软件,同时在浏览器中保存了敏感凭证的结果。
根据TechCrunch看到的屏幕截图,Orb操作员的后台仪表板包含的数据包括入职和培训文件,以及其他Orb操作员提交的支持请求,但尚不清楚操作员可以访问用户数据的确切程度。过去的报告发现,操作员收集的信息包括电子邮件地址、电话号码和某些地区的国民身份证扫描件。
Worldcoin发言人Jannick Preiwisch告诉TechCrunch,一项内部调查得出结论,“没有敏感或个人用户数据”被访问或泄露。Preiwisch补充说,Orb操作员从未接触过任何敏感数据,任何生物识别数据的采集在静态和运输过程中都是加密的。
“我们认真对待有关我们系统安全性和完整性的任何和所有索赔,并在收到TechCrunch对此类问题的询问后立即进行调查。”Preiwisch补充说,出于“高度谨慎”,该公司已重置Worldcoin操作员的所有登录信息,并加快了Worldcoin操作员应用程序登录时双因素身份认证(2FA)的推出。
根据该公司提供的数据,Worldcoin已经超过了100万的注册人数,并且在任何给定时间都有100到200个Orbs在运行。