أثار اختراق بيانات Discord الذي كشف صور بطاقات الهوية الحكومية تجدد التدقيق في أنظمة التحقق المركزية، حيث يشير العديد من خبراء الصناعة إلى إثباتات عدم المعرفة (ZKPs) كبديل ممكن لتخزين بيانات الهوية الحساسة.
أكدت الشركة أن جهات غير مصرح لها حصلت على الوصول إلى أنظمة موفر خدمة عملاء تابع لجهة ثالثة، مما عرض بيانات عدد محدود من المستخدمين، وفقًا لما أوردته The Guardian.
من بين المعلومات المنتهكة كانت أسماء المستخدمين، والبريد الإلكتروني، وتفاصيل الفواتير، وعناوين IP، وفي بعض الحالات، صور بطاقات الهوية الحكومية كالعمل وجوازات السفر التي تم تقديمها للتحقق من العمر.
قالت Discord إنها ألغت وصول الموفر وشاركت السلطات القانونية بعد الحادث.
يعتقد أهل الصناعة أن هذه الخروقات تكشف مشكلة أوسع في كيفية تعامل المنصات الإلكترونية مع التحقق من الهوية، تي تستند إلى جمع وتخزين المستندات الشخصية.
في حديثه مع Yellow.com، أشار فارون كابرا، مدير النمو في Concordium، إلى أن مثل هذه المخاطر يمكن تقليلها بشكل كبير عندما تتجنب المنصات تخزين المعلومات الحساسة.
وأوضح أن أنظمة إثبات عدم المعرفة تتيح التحقق من صفات المستخدم، مثل العمر أو الاختصاص، دون الحاجة إلى وصول المنصات أو الاحتفاظ بوثائق التعريف.
"يحافظ المستخدمون على أوراق اعتماد مشفرة في محافظهم المحلية، بينما يحتفظ مقدمو الهوية المعتمدون بنسخ آمنة للامتثال،" قال كابرا. "إذا كانت Discord قد استخدمت أوراق اعتماد ZK للتحقق من العمر بدلاً من تخزين المسح الضوئي لهوية الشخصية، لكان هذا الاختراق الأخير لم يكشف عن أي بيانات تعريف شخصية."
قال آرثر فيرستوف، المدير التنفيذي لأعمال مرقورو، إن حالة Discord توضح كيف تظل قواعد البيانات المركزية أهدافًا جذابة للمهاجمين.
"بمجرد حفظ المعلومات الحساسة في قاعدة بيانات، تصبح هدفًا،" وأضاف أن إثباتات عدم المعرفة تقدم طريقًا لمنع ذلك بتسهيل التحقق دون جمع التفاصيل الشخصية.
"مع إثباتات عدم المعرفة، يمكن للمنصة تأكيد متطلبات معينة دون أن تترك البيانات الفعلية سيطرة المستخدم. هذا يعني أنه لا يوجد شيء ذو قيمة لسرقته في الأساس."
للعديد من دعاة الخصوصية والمحترفين الأمنيين، يعزز الاختراق أيضًا الحاجة إلى إعادة الثقة الرقمية من خلال أنظمة تحقق تضع الخصوصية أولًا.
وأضاف فيرستوف أن الاستخدام الأوسع لتكنولوجيا إثبات عدم المعرفة يمكن أن يسهم في تحقيق ذلك.
"الخصوصية هي ما يمنح الأفراد والشركات الثقة للتفاعل عبر الإنترنت، وتتيح تكنولوجيا إثبات عدم المعرفة ذلك عن طريق إثبات الثقة دون كشف المعلومات،" قال.
قال ويس كابلان، الرئيس التنفيذي لشركة G-Knot، إن الاختراق يمثل ضعفًا متوقعًا في مشهد الهوية الرقمية.
"جمع بيانات مركزية حساسة هو مسؤولية،" قال.
أشار كابلان إلى أنه إذا كانت عملية التحقق من العمر لـ Discord قد اعتمدت على البيانات التشفيرية بدلًا من تحميل المستندات، لم تكن هناك قاعدة بيانات عن هويات شخصية قابلة للاستغلال.
"بالنسبة للمنصات المستخدمة على نطاق واسع، الانتقال إلى التحقق من الهوية المدعوم بإثباتات عدم المعرفة لم يعد نظريًا؛ بل أصبح ضرورة،" أضاف. "في عالم تصبح فيه خروقات البيانات أمرًا لا مفر منه، الدفاع الحقيقي الوحيد هو جعل الهوية غير قابلة للسرقة."
Discord، التي يزيد عدد مستخدميها النشطين شهريًا عن 200 مليون، كانت تستخدم أدوات تأكيد العمر الوجهي في أسواق مثل المملكة المتحدة وأستراليا.
بموجب اللوائح الأسترالية القادمة لمواقع التواصل الاجتماعي للأقل من 16 عامًا، يتوقع أن تقدم المنصات خيارات متعددة للتحقق من العمر وعمليات استئناف.
ولكن الخبراء يقولون إنه ما لم تنتقل الصناعة بالكامل من أنظمة التحقق المستندة إلى مستندات، ستستمر مثل هذه الخروقات في تعريض المستخدمين لخطر غير ضروري.