Um passeio por qualquer um dos principais centros comerciais das grandes cidades espanholas tem uma paragem comum: verificar porque é que centenas de pessoas, a maioria muito jovens, fazem fila em frente a bancas onde só existem algumas enigmáticas esferas cromadas. São eles que permitem que a Worldcoin escaneie a sua íris em troca de uma criptomoeda no valor de algumas dezenas de euros.
No auge, há três meses, contava com 10 mil registros semanais. Hoje existem quase 400.000 usuários verificados na Espanha. E com esse boom também veio o de preocupações crescentes sobre suas implicações para nossa privacidade, reclamações à AEPD incluídas.
Portanto, consultamos a política de privacidade e processamento de dados da Worldcoin para descobrir o que exatamente seus usuários aceitam.
De uma imagem para um cerquilha e incógnitas sobre o futuro
Quando um usuário concorda em ter sua íris digitalizada, ele não assina um documento físico, mas dá consentimento digital para que a empresa colete informações biométricas de sua íris. Worldcoin garante que a imagem da íris seja armazenada na memória RAM de cada orbe, portanto ela é imediatamente descartada assim que for convertida para um cerquilha. Isso permite criar um identificador exclusivo para cada pessoa a partir da imagem da íris. Criptografia básica com uma base sólida.
Essa abordagem, baseada no processo que a Worldcoin afirma seguir, evita que um invasor acesse as imagens das íris já cadastradas, mas a dúvida permanece. O que acontece se você assumir o controle dos orbes sem que a empresa detecte? e se isso lhe permitiria coletar as imagens daquele ponto em diante, incluindo as imagens das íris.
Caso ocorra roubo de informações da Worldcoin, o que os atacantes obteriam seria o cerquilhanão uma imagem da íris de cada usuário. Esse cerquilha é uma combinação simples de caracteres (por exemplo, algo como __LKJmneERkYnV-9SddH7XMfsP-EXXK). É assim que o sistema orb, baseado no algoritmo de Daugman, traduz algo identificável, reconhecível e atribuível a um ser humano – a imagem detalhada de sua íris – em algo anônimo. Worldcoin garante que não é possível reverter as informações e converter o cerquilha na íris original.
Contudo, não sabemos o que poderá acontecer a longo prazo e se existe uma forma de verificar, por exemplo, se um cerquilha Corresponde à íris de uma pessoa específica. Nesse caso seria impossível dissociar essa pessoa dessa identidade.
Se alguém roubar uma senha ou o número do nosso cartão de crédito, isso pode causar danos significativos, mas são dados que podemos alterar. O que não podemos mudar é a nossa íris. Esses dados biométricos poderiam ser usados para se passar por uma pessoa em qualquer sistema que use esse método de autenticação? É um risco que existe a longo prazo.
Outra maneira de falsificação. A certa altura, pareceria implausível para nós que uma pessoa pudesse falsificar o número de telefone de onde estava ligando, mas isso se tornou possível para qualquer pessoa com certo conhecimento. E assim tiveram sucesso os golpes telefônicos que acabaram com as economias de uma vida inteira no bolso de outra pessoa.
Quem pode garantir que as informações biométricas da nossa íris não permitam o roubo de identidade em alguns anos caso um invasor consiga acessar o banco de dados ou o próprio orbe que faz a varredura?
Além do mais, Worldcoin combina isso cerquilha com informações pessoais do usuário. Especificamente, o seu número de celular, algo que num país como a Espanha está ligado à identidade do seu proprietário. E a empresa armazena esses dados combinados.
Conseguimos verificar isso graças a uma das pessoas que permitiu que o Worldcoin escaneasse sua íris. Ela fez isso no verão de 2023 e solicitou à empresa as informações que ela armazena sobre ela, uma reclamação que deve ser tratada de acordo com a obrigação do GDPR.
Por último, no seu formulário de consentimento de dados biométricos A Worldcoin diz explicitamente que as informações que fornecemos podem ser compartilhadas com terceiros. Garante que estes terceiros os manterão de forma segura e proibirão outras empresas de os utilizar para os seus próprios fins, bem como garante que serão tratados de uma forma que se enquadre no seu compromisso com a nossa privacidade.
Uma boa vontade acompanhada de algumas medidas como garantias, mas que em última análise adiciona potenciais vetores de ataquepois à confiança que precisamos depositar na Worldcoin para as nossas informações biométricas se soma a confiança que também devemos depositar em outras empresas que nem conhecemos.
A lista de tipos de empresas com as quais a Worldcoin afirma poder compartilhar dados inclui serviços em nuvem, segurança cibernética, desenvolvedores de software ou banco de dados e infraestrutura, entre outros.
Vale comentar também que cerquilha criado a partir de nossa íris, ele não pode ser excluído depois de criado. Podemos cancelar a assinatura do aplicativo, mas esse código permanecerá lá até que a Worldcoin queira.
Além do mais, A Worldcoin está legalmente protegida contra imprecisões em seu sistema e também contra roubo de informações. Por um lado, admite que os orbes podem dar falsos positivos e reconhecer como utilizadores registados aqueles que nunca tiveram a sua íris ali escaneada.
Por outro lado, explica que ambos fichas pois a utilização do serviço pode sofrer ataques e roubos. Esse serviço é onde está localizado o WorldID, seu mecanismo de verificação de identidade por meio de digitalização ocular.
Riscos admitidos, mas não assumidos
A empresa também deixa claro em seu texto de termos e condições que não haverá compensação ou reembolso para os usuários em caso de roubo causado por um bug ou fraqueza do software.
Alguns reguladores em países específicos, como a França, já anunciaram investigações sobre a Worldcoin. Em Espanha, a AEPD confirmou que recebeu algumas reclamações relacionadas com o tratamento de dados e que estão em fase de análise.
Existem outros precedentes delicados. Conforme publicado por Revisão de tecnologia do MIT em 2022, após uma investigação, a empresa utilizou práticas de marketing “enganosas” e coletou mais dados do que admitia. Começar a operar em países em desenvolvimento, onde muitos dos seus habitantes têm necessidades especiais de rendimento, não ajudou a reduzir as suspeitas.
Um desses países foi o Quénia, onde este serviço rapidamente se tornou popular… e onde alguns dos operadores dos orbes tiraram partido de um explorar o que lhes permitiu criar múltiplas identidades para a mesma pessoa. Isso ocorreu antes de o governo do país suspender todas as operações.
A Worldcoin construiu o sistema WorldID e de digitalização de íris de uma forma que maximiza a segurança e cumpre as regulamentações de privacidade, mas Não está isenta dos riscos que a própria empresa admite nos seus textos legais e deles se protege. ignorando as consequências, e caberá a cada usuário avaliar se vale a pena enfrentar esses riscos potenciais em troca do pagamento obtido.
Estes riscos, ao contrário da palavra-passe de um serviço web ou de um número de telefone que pode ser alterado em última análise, são acompanhados de uma prova de identidade baseada em informações biométricas que não podemos modificar ou descartar: a nossa íris.
Imagem em destaque | v2osk no Unsplash
Em Xataka | Eu escaneei minha íris em troca de fichas grátis: Worldcoin aponta o caminho para o que nos espera com identidade digital