TechCrunchの調査によると、ハッカーたちは複数のWorldcoin Orbオペレーターのデバイスにパスワードを盗むマルウェアをインストールし、Worldcoinオペレーターのダッシュボードへのフルアクセスを与えていた。
サム・アルトマン氏が設立したワールドコインは、同社のウェブサイトによると、「できるだけ多くの人に公平に配布される集団所有の世界通貨」を作成していると述べている。 同社はトークンを配布することでこれを実現しています。 金融ネットワークへの参加に興味のある人は、まずそれらのトークンと引き換えに生体認証データを引き渡す必要があります。
人の生体認証は、球形のワールドコイン オーブによって捕捉されます。 “黒い鏡”– ユーザーの虹彩と体と顔の高解像度画像をキャプチャする風の画像デバイス、 ワールドコインによると。 興味のある人はまず、Worldcoin によって募集および契約されている「Orb オペレーター」を訪問し、サインアップするたびにお金を稼ぐ必要があります。
これらのオペレーターは、オンライン ポータルとアプリにアクセスして、収益、稼働時間、サインアップ、オペレーターの評価、その他の指標などの情報を追跡できます。
TechCrunch は、Worldcoin オペレーター数名が、RedLine 情報スティーラーなどのパスワードを盗むマルウェアによって個人デバイスを侵害され、オペレーター アプリのログイン情報を含む、ブラウザーに保存されているすべての資格情報を盗んでいたことを知りました。
あるセキュリティ研究者は匿名を条件にTechCrunchに対し、過去6カ月間に少なくとも7人のOrbオペレーターの資格情報がダークウェブにリストされていたと語った。 これらには、ハッカーにWorldcoin Orbオペレーターダッシュボードへのフルアクセスを与える資格情報が含まれており、TechCrunchはこれに二要素認証や多要素認証が必要ないことを学んだ。
このセキュリティ研究者はTechCrunchに対し、オペレーターが特別に標的にされた可能性は低いと語った。 むしろ、ブラウザに機密の資格情報が保存されている間に、コンピュータに悪質なソフトウェアをダウンロードした結果である可能性が高いと研究者は述べています。
TechCrunchが確認したスクリーンショットによると、Orbダッシュボードにはオンボーディングやトレーニング文書、他のOrbオペレーターが提出したサポートリクエストなどのデータが含まれているが、オペレーターがユーザーデータにどの程度アクセスできるのかは正確には不明だ。 過去の報告 オペレーターが収集した情報には、電子メール アドレス、電話番号、一部の地域では国民 ID カードのスキャンが含まれていることがわかりました。
Worldcoinの広報担当者Jannick Preiwisch氏はTechCrunchに対し、内部調査の結果「ユーザーの機密データや個人データ」へのアクセスや侵害はなかったと結論づけたと語った。 Preiwisch氏は、Orbのオペレーターが機密データにアクセスすることは決してなく、キャプチャされた生体認証データは保存時と転送中の両方で暗号化されると付け加えた。
「私たちはシステムのセキュリティと完全性に関するあらゆる申し立てを真剣に受け止めており、そのような問題についてTechCrunchから問い合わせを受けてすぐに調査を実施しました。」 Preiwisch氏は、同社が「厳重な警戒」からWorldcoinオペレーターのすべてのログインをリセットし、Worldcoinオペレーターアプリの2FAの展開を加速したと付け加えた。
によると 独自のデータワールドコインは登録者数が100万人を突破しており、常時100個から200個のオーブが稼働しています。