Der Discord-Datenverstoß, der Bilder von staatlichen Ausweisen enthüllte, hat erneut Aufmerksamkeit auf zentralisierte Verifizierungssysteme gelenkt, wobei mehrere Branchenexperten auf Zero-Knowledge Proofs (ZKPs) als brauchbare Alternative zur Speicherung sensibler Identitätsdaten hinweisen.
Das Unternehmen bestätigte, dass ein unbefugter Akteur Zugang zu den Systemen eines Drittanbieters im Kundenservice erlangte und eine begrenzte Anzahl von Benutzerdaten kompromittierte, berichtete The Guardian.
Zu den kompromittierten Informationen gehörten Benutzernamen, E-Mails, Rechnungsdetails, IP-Adressen und in einigen Fällen Bilder von staatlichen Ausweisen wie Reisepässen und Führerscheinen, die zur Altersverifizierung eingereicht wurden.
Discord sagte, es habe den Zugang des Anbieters widerrufen und die Strafverfolgungsbehörden nach dem Vorfall eingeschaltet.
Branchenvertreter sagen, dass der Verstoß ein größeres Problem im Umgang mit der Identitätsverifizierung auf Online-Plattformen aufzeigt, das in der Praxis des Sammelns und Speicherns von persönlichen Dokumenten verwurzelt ist.
Im Gespräch mit Yellow.com bemerkte Varun Kabra, Chief Growth Officer bei Concordium, dass solche Risiken erheblich reduziert werden können, wenn Plattformen vermeiden, sensible Informationen insgesamt zu speichern.
Er erklärte, dass Zero-Knowledge-Proof-Systeme die Verifizierung von Benutzerattributen wie Alter oder Zuständigkeit ermöglichen, ohne dass Plattformen auf Identifikationsdokumente zugreifen oder diese behalten müssen.
„Nutzer behalten verschlüsselte Zugangsdaten in ihren lokalen Wallets, während zertifizierte Identitätsanbieter sichere Kopien für die Compliance aufbewahren“, sagte Kabra. „Wenn Discord ZK-Anmeldedaten für die Altersverifizierung eingesetzt hätte, anstatt ID-Scans zu speichern, hätte der kürzliche Verstoß keine persönlichen Identifikationsdaten offengelegt.“
Arthur Firstov, Chief Business Officer bei Mercuryo, sagte, dass der Discord-Fall zeigt, wie zentrale Datenbanken weiterhin attraktive Ziele für Angreifer sind.
„Sobald sensible Informationen in einer Datenbank gehalten werden, werden sie zum Ziel“, sagte er und fügte hinzu, dass ZKPs einen Weg bieten, dies zu verhindern, indem sie die Verifizierung ohne Sammlung persönlicher Daten ermöglichen.
„Mit ZKPs könnte eine Plattform bestätigen, dass jemand bestimmte Anforderungen erfüllt, aber die tatsächlichen Daten würden niemals die Kontrolle des Nutzers verlassen. Das bedeutet, dass es erst gar nichts Wertvolles zu stehlen gibt.“
Für viele Datenschutzbefürworter und Sicherheitsexperten verstärkt der Verstoß auch die Notwendigkeit, digitales Vertrauen durch datenschutzorientierte Verifizierungssysteme wiederherzustellen.
Firstov fügte hinzu, dass der verstärkte Einsatz von Zero-Knowledge-Technologie dazu beitragen könnte, dies zu erreichen.
„Privatsphäre ist das, was Menschen und Unternehmen Vertrauen gibt, online zu interagieren, und Zero-Knowledge-Technologie ermöglicht dies, indem Vertrauen bewiesen wird, ohne Informationen offen zu legen“, sagte er.
Wes Kaplan, CEO von G-Knot, sagte, der Verstoß exemplifiziert eine vorhersehbare Schwäche in der digitalen Identitätslandschaft.
„Das Sammeln zentralisierter, sensibler Daten ist ein Haftungsrisiko“, sagte er.
Kaplan bemerkte, dass, wenn der Altersverifizierungsprozess von Discord auf kryptografischen Attesten anstelle von Dokumentenuploads basiert hätte, es keine ausnutzbare Datenbank mit persönlichen IDs gegeben hätte.
„Für weit verbreitete Plattformen ist der Übergang zu ZK-fähiger Identitätsverifizierung nicht mehr theoretisch; er wird notwendig“, fügte er hinzu. „In einer Welt, in der Datenverstöße unvermeidlich sind, ist die einzige echte Verteidigung, Identität nicht stehlbar zu machen.“
Discord, das über 200 Millionen monatlich aktive Nutzer hat, nutzt in Märkten wie dem Vereinigten Königreich und Australien tools zur Gesichtserkennung zur Altersverifizierung.
Nach den neuen sozialen Medienvorschriften für unter 16-Jährige in Australien sollen Plattformen mehrere Altersverifizierungsoptionen und Berufungsprozesse bieten.
Aber Experten sagen, dass, solange die Branche nicht vollständig von dokumentenbasierten Verifizierungssystemen abrückt, Verstöße dieser Art weiterhin Benutzer einem unnötigen Risiko aussetzen werden.