خرق بيانات Discord الذي كشف عن صور هويات حكومية دفع للتدقيق مجددًا في أنظمة التحقق المركزية، حيث أشار عدد من خبراء الصناعة إلى إثباتات المعرفة الصفرية (ZKPs) كبديل لتخزين بيانات الهوية الحساسة.
أكدت الشركة أن جهة غير مصرح لها بالوصول إلى أنظمة موفر خدمة العملاء التابعة لطرف ثالث قد قامت بتعريض بيانات عدد محدود من المستخدمين، حسبما أفاد تقرير The Guardian.
تشمل المعلومات المخترقة أسماء المستخدمين، ورسائل البريد الإلكتروني، وتفاصيل الفوترة، وعناوين IP، وفي بعض الحالات، صور الهويات الحكومية مثل جوازات السفر ورخص القيادة التي قدمت للتحقق من العمر.
قالت Discord إنها ألغت وصول الموفر وشاركت مع جهات إنفاذ القانون بعد الحادث.
يرى شخصيات الصناعة أن هذا الخرق يكشف عن مشكلة أكبر في كيفية تعامل المنصات عبر الإنترنت مع التحقق من الهوية، والتي تأتي من ممارسات جمع وتخزين الوثائق الشخصية.
في حديثه مع Yellow.com، أشار فارون كابرا، رئيس الشؤون النمو في كونكرديوم، إلى أن مثل هذه المخاطر يمكن تقليلها بشكل كبير عندما تتجنب المنصات تخزين المعلومات الحساسة بالكامل.
شرح أن أنظمة إثبات المعرفة الصفرية تمكن من التحقق من سمات المستخدمين، مثل السن أو الاختصاص، دون الحاجة إلى وصول المنصات إلى الوثائق التعريفية أو الاحتفاظ بها.
قال كابرا: "يحافظ المستخدمون على أوراق اعتماد مشفرة في محفظاتهم المحلية، بينما يحتفظ موفرو الهوية المعتمدين بنسخ آمنة للامتثال." وأضاف: "إذا كانت Discord تستخدم أوراق اعتماد ZK للتحقق من العمر بدلاً من عمليات المسح الضوئي للهويات، لما كانت البيانات الشخصية قد تعرضت في الخرق الأخير."
أرتور فيرستوف، مسؤول الشؤون التجارية في ميركيوريو، قال إن حالة Discord توضح كيف تظل قواعد البيانات المركزية أهدافًا جذابة للهجمات.
"بمجرد أن يتم الاحتفاظ بالمعلومات الحساسة في قاعدة بيانات، تصبح هدفًا"، مضيفًا أن إثباتات المعرفة الصفرية تقدم وسيلة لمنع ذلك من خلال السماح بالتحقق بدون جمع التفاصيل الشخصية.
"مع ZKPs، يمكن للمنصة تأكيد أن شخصًا ما يفي بمتطلبات معينة، ولكن البيانات الفعلية لا تغادر سيطرة المستخدم. وهذا يعني أنه لا يوجد شيء ذو قيمة يمكن سرقته في المقام الأول."
بالنسبة لكثير من دعاة الخصوصية والمهنيين في الأمن، يعزز الخرق أيضًا الحاجة إلى إعادة بناء الثقة الرقمية من خلال أنظمة التحقق القائمة على الخصوصية.
أضاف فيرستوف أن الاستخدام الأوسع لتكنولوجيا المعرفة الصفرية يمكن أن يساعد في تحقيق ذلك.
"الخصوصية هي ما يمنح الأشخاص والشركات الثقة للتفاعل عبر الإنترنت، وتكنولوجيا المعرفة الصفرية تمكن من ذلك من خلال إثبات الثقة دون كشف المعلومات" قال.
ويس كابلان، الرئيس التنفيذي لـ G-Knot، قال إن الخرق يجسد ضعفًا متوقعًا في مشهد الهوية الرقمية.
"جمع البيانات الحساسة المركزية هو مسؤولية"، قال.
أشار كابلان إلى أنه إذا كانت عملية التحقق من العمر لدى Discord تعتمد على الإثباتات التشفيرية بدلاً من رفع الوثائق، لما كان هناك قاعدة بيانات قابلة للاستغلال للمعلومات الشخصية.
"بالنسبة للمنصات ذات الاستخدام الواسع، أصبح الانتقال إلى التحقق من الهوية المُمكن عبر المعرفة الصفرية ليس مجرد نظرية؛ إنه يصبح ضرورة" أضاف. "في عالم حيث تعتبر الخروق البيانات حتمية، الدفاع الحقيقي الوحيد هو جعل الهوية غير قابلة للسرقة."
استخدمت Discord، التي تمتلك أكثر من 200 مليون مستخدم نشط شهريًا، أدوات تأكيد العمر بناءً على الوجه في أسواق مثل المملكة المتحدة وأستراليا.
في ظل القوانين الاجتماعية الأسترالية القادمة للأطفال دون 16 عامًا، من المتوقع أن تقدم المنصات خيارات تحقق عمر متعددة وعمليات استئناف.
لكن الخبراء يقولون إنه ما لم تنتقل الصناعة بالكامل بعيدًا عن أنظمة التحقق المستندة إلى الوثائق، ستستمر مثل هذه الخروق في تعريض المستخدمين لمخاطر غير ضرورية.