As notícias sobre a Worldcoin são muito positivas em Portugal, desde que o projecto foi anunciado como pioneiro a nível europeu. Foi a altura em que a “Worldcoin oferece criptomoedas a quem aceitar fazer scan aos olhos. Mais de 130 mil pessoas já aderiram“.
A organização que afirmava “ter o objetivo de chegar a mil milhões de pessoas” em 2023, confirma agora no seu site ter apenas 1,3 milhões. Em Portugal, onde está associada à Nova School of Business & Economics, são “mais de 120 mil“, crescendo dos “mais de 50 mil” de Setembro passado, quando o Público actualizou alguns dos problemas da proposta da “misteriosa startup “, na continuidade do que faziam notícias como “Crypto Startup That Wants to Scan Everyone’s Eyeballs Is Having Some Trouble” ou “Deception, exploited workers, and cash handouts: How Worldcoin recruited its first half a million test users“. Até Abril de 2022, “tudo o que se fez foi construir uma base de dados biométricos a partir dos corpos dos pobres”, escreveu a MIT Technology Review.
A investigação da revista “revelou grandes lacunas entre as mensagens públicas da Worldcoin, que se concentraram na protecção da privacidade, e o que os utilizadores experimentaram. Verificámos que os representantes da empresa utilizaram práticas de marketing enganadoras, recolheram mais dados pessoais do que os reconhecidos, e não conseguiram obter um consentimento informado significativo. Estas práticas podem violar o Regulamento Geral de Protecção de Dados (RGPD) da União Europeia – uma probabilidade de a própria política de consentimento de dados da empresa ter reconhecido e pedido aos utilizadores que aceitassem – bem como as leis locais”. A empresa nega estar a agir fora do RGPD.
Um ano depois, Pedro Trincão Marques, responsável na Worldcoin pelo mercado ibérico, explicou “que com o crescimento e popularização de soluções baseadas em IA, incluindo daquelas que são capazes de se fazerem passar por humanos, a identidade online assume um papel cada vez mais relevante”.
A Worldcoin junta setores tecnológicos apelativos como cibersegurança, identificação digital (IDs), criptomoedas e IA, ou inteligência artificial, neste caso apoiando-se num dos seus responsáveis, Sam Altman, também CEO da OpenAI.
Para Pedro Marques, “as empresas que usarem o World ID não ficam com os dados, ou seja, sabem apenas que eu sou um humano, mas não sabem quem eu sou”. No entanto, o responsável assume que a empresa está, “nesta fase do projeto”, a recolher dados para a verificação usando a leitura da íris no seu leitor Orb e associando o número de telefone do utilizador, antecipada por uma leitura facial para validar que os dados vão ser recolhidos de uma pessoa. A leitura da íris parece ser insuficiente.
Os problemas de segurança parecem ser maiores, segundo uma análise recente, onde se questiona como a base de dados cifrados (“hashes”) de íris “pode ser” modificada e, “tecnicamente, a Worldcoin poder acrescentar numerosos ‘hashes’ falsos à base de dados, tornando inútil o objectivo de provar uma correspondência um-a-um entre humanos e IDs. A Orb utiliza a detecção de vivência, mas isto ainda depende da esfera e dos atestados da Worldcoin. (Imagine um governo a imprimir muitas identidades falsas para pessoas inexistentes; confiamos nas identidades porque vêm de um terceiro de confiança (o governo) com medidas anti-falsificação)”.
Assim, “derivar um par de chaves criptográficas usando a biometria é inerentemente inseguro. A ligação de uma chave criptográfica à biometria requer uma terceira parte de confiança”.
Neste cenário, “a Worldcoin não consegue criar um verdadeiro protocolo de prova de personalidade” ao não garantir que pode “prevenir ‘hashes’ fraudulentas da íris na base de dados, pois tem de se confiar em terceiros para adicionar novas ‘hashes’. (Nem a blockchain nem funções reversíveis podem resolver este problema)” e falha também em “ligar com segurança a informação biométrica à identidade, quer confiando num terceiro de confiança para atestar a sua identidade (como uma identificação emitida pelo governo), quer utilizando dados biométricos para gerar um par de chaves (que podem ser roubados através da digitalização dos olhos ou pela cópia do par de chaves antes de deixar a Orb)”.
O documento sintetiza que, com este sistema, além de se “poderem criar ‘hashes’ de íris falsas ilimitadas”, é possível “alguém fazer-se passar por si ao digitalizar a sua íris (à força ou sub-repticiamente) na melhor das hipóteses, e na pior, a própria Worldcoin pode fazer-se passar por si. Não há forma de ligar a biometria a um par de chaves a menos que o par de chaves seja gerado usando a biometria ou se um terceiro de confiança atestar que a sua biometria está ligada ao seu par de chaves”.
act.: Sam Altman’s Eyeball-Scanning Crypto Project Worldcoin Is Having An Identity Crisis: Is it a crypto company? A biometric authentication platform? A “human economic system”? Inside Worldcoin’s struggle to find itself.
The orb has faced other problems. Late last year, Worldcoin discovered an exploit that operators used to fool the device into creating multiple signups for the same person, three people told Forbes. The trick involved waiting until an iris scan was almost complete, and then swapping in a different person to stand in front of the orb as the scan finished. One person told Forbes the practice was frequently used in Kenya for a time. Another claimed a colleague had created around 100 sign-ups for themselves using it.
I Looked Into Sam Altman’s Orb and All I Got Was This Lousy Crypto: Tools for Humanity has an iris-scanning Orb that decides whether you’re human or a robot—and then gives you crypto. But is Worldcoin worth the price?
Don’t Scan Your Eyeballs for Worldcoin’s Magic Beans: The company says it has collected roughly 2.2 million retinal scans to date, though critics have asked why, exactly, anyone would scan their eyeballs and regulators have asked whether Worldcoin is being sufficiently careful with users’ private information. So far, authorities in the UK and Germany have announced investigations. Ditto France. “The legality of this collection seems questionable,” the country’s digital privacy regulator told Reuters, referring to the eyeball scanning. And on Aug. 2, the Kenyan government said it was temporarily banning Worldcoin from operating in the country.
Worldcoin just officially launched. Here’s why it’s already being investigated. The project is backed by some of tech’s biggest stars, but four countries are probing its privacy practices.
What are the major issues with Worldcoin’s construction? There are four major risks that immediately come to mind:
Privacy. The registry of iris scans may reveal information. At the very least, if someone else scans your iris, they can check it against the database to determine whether or not you have a World ID. Potentially, iris scans might reveal more information.
Accessibility. World IDs are not going to be reliably accessible unless there are so many Orbs that anyone in the world can easily get to one.
Centralization. The Orb is a hardware device, and we have no way to verify that it was constructed correctly and does not have backdoors. Hence, even if the software layer is perfect and fully decentralized, the Worldcoin Foundation still has the ability to insert a backdoor into the system, letting it create arbitrarily many fake human identities.
Security. Users’ phones could be hacked, users could be coerced into scanning their irises while showing a public key that belongs to someone else, and there is the possibility of 3D-printing “fake people” that can pass the iris scan and get World IDs.
The Untold Story of Worldcoin’s Launch: Inside the Orb: Is Sam Altman’s UBI startup a smart countermeasure to AI, or a privacy nightmare?
Worldcoin isn’t as bad as it sounds: It’s worse – Worldcoin is no radical new financial system, and certainly not one aimed at equality or fairness
Why are people lining up for Worldcoin eyeball scans? “Easy $50”
Nefarious Data Collection Masking as Public Art? An A.I. Company Has Placed Mirrored Spheres Around the World in a Massive Eye-Scanning Project
Worldcoin: a solution in search of its problem – Worldcoin doesn’t seem to know what problem it’s trying to solve, but they want to scan your eyeballs anyway.
German data watchdog probing Worldcoin crypto project, official says
Worldcoin Launched. Then Came the Backlash: The globe-spanning cryptocurrency and biometric-identity project has agitated regulators
O caso Worldcoin: Vending machine de dados pessoais? A solução para o caso está em demonstrar que nessa operação foi garantida a liberdade da pessoa titular dos dados fazer o que quiser com os seus dados de forma informada e proporcional, com garantias de que, se não correr bem, há salvaguardas.
A compreensão é simples, numa lógica comparada com a liberdade de uma pessoa poder fazer o que quiser com o próprio corpo. Essa liberdade individual não significa que outra pessoa poderia o fazer sem o consentimento do próprio ou uma justificação para uma finalidade legitima, exemplo: cuidados médicos.
Germany vs Google: How Street View Won the Privacy Battle in Europe’s Most Private Country | Customer Data: Designing for Transparency and Trust: Don’t sacrifice long-term goodwill for short-term benefits.
Worldcoin seeks to empower users and eliminates option allowing for storage of personal data: Although Worldcoin has always maintained it is highly protective of peoples’ biometric data when scanning their eyeballs to prove they are human, the project is now implementing a plan designed to build additional trust.
Comissão de Protecção de Dados suspende recolha de dados biométricos: A adoção desta medida provisória urgente surge na sequência de largas dezenas de participações recebidas na CNPD no último mês, dando conta da recolha de dados de menores de idade sem a autorização dos pais
ou outros representantes legais, bem como de deficiências na informação prestada aos titulares, na impossibilidade de apagar os dados ou revogar o consentimento, que tornou imperiosa a necessidade de agir por parte da CNPD.
TICtank 