Los piratas informáticos han instalado malware para robar contraseñas en los dispositivos de varios operadores de Worldcoin Orb, según descubrió TechCrunch, dándoles acceso completo al panel del operador de Worldcoin.
Worldcoin, fundada por Sam Altman, dice que está creando una «moneda global de propiedad colectiva que se distribuirá de manera justa a tantas personas como sea posible», según el sitio web de la compañía. La compañía hace esto regalando tokens. Los interesados en unirse a la red financiera primero deben entregar sus datos biométricos a cambio de esos tokens.
La biometría de una persona es capturada por Worldcoin Orb, un dispositivo esférico de imágenes tipo «Black Mirror» que captura los iris de los usuarios e imágenes de alta resolución de sus cuerpos y rostros, según Worldcoin. Los interesados primero deben visitar un «operador de Orb», que son reclutados y contratados por Worldcoin, y ganar dinero por cada persona que registren.
Estos operadores tienen acceso a un portal en línea y una aplicación, donde pueden rastrear información, como ganancias, tiempo de actividad, suscripciones, calificaciones de operadores y otras métricas.
TechCrunch se enteró de que varios operadores de Worldcoin tenían sus dispositivos personales comprometidos por malware que roba contraseñas, como el ladrón de información RedLine, para robar todas las credenciales guardadas en su navegador, incluidos los detalles de inicio de sesión para la aplicación del operador.
Al solicitar el anonimato, un investigador de seguridad le dijo a TechCrunch que las credenciales de al menos siete operadores de Orb se habían incluido en la web oscura en los últimos seis meses. Estos incluyen credenciales que brindan a los piratas informáticos acceso completo al panel del operador de Worldcoin Orb, que TechCrunch ha aprendido que no requiere ninguna forma de autenticación de dos o múltiples factores.
El investigador de seguridad le dijo a TechCrunch que es poco probable que los operadores fueran un objetivo específico. Más bien, dijo el investigador, probablemente fue el resultado de descargar un software malo en sus computadoras mientras tenían credenciales confidenciales guardadas en sus navegadores.
Los paneles de Orb contienen datos que incluyen documentos de incorporación y capacitación, y solicitudes de soporte presentadas por otros operadores de Orb, según las capturas de pantalla vistas por TechCrunch, aunque no está claro exactamente en qué medida el operador puede acceder a los datos del usuario. Informes anteriores encontraron que la información recopilada por los operadores incluye direcciones de correo electrónico, números de teléfono y escaneos de tarjetas de identificación nacionales en algunas regiones.
El portavoz de Worldcoin, Jannick Preiwisch, dijo a TechCrunch que una investigación interna concluyó que «no se accedió ni se comprometió a ningún dato confidencial o personal del usuario». Preiwisch agregó que el operador de Orb nunca tiene acceso a datos confidenciales y que cualquier captura de datos biométricos se cifra tanto en reposo como en tránsito.
«Tomamos en serio todos y cada uno de los reclamos relacionados con la seguridad y la integridad de nuestros sistemas e inmediatamente realizamos una investigación al recibir una consulta de TechCrunch sobre tales asuntos». Preiwisch agregó que la compañía había restablecido todos los inicios de sesión para los operadores de Worldcoin por «mucha precaución» y ha acelerado el lanzamiento de 2FA para la aplicación del operador de Worldcoin.
Según sus propios datos, Worldcoin ha superado el millón de registros y tiene entre 100 y 200 orbes operativos en un momento dado.