Der Datenverlust bei Discord, der Bilder von amtlichen Ausweisen offengelegt hat, hat die Prüfung zentraler Verifikationssysteme erneut in den Fokus gerückt, wobei mehrere Branchenexperten auf Zero-Knowledge-Beweise (ZKPs) als brauchbare Alternative zur Speicherung sensibler Identitätsdaten hinweisen.
Das Unternehmen bestätigte, dass ein unbefugter Akteur Zugang zu den Systemen eines Drittanbieter-Kundendienstanbieters erlangte und eine begrenzte Anzahl von Benutzerdaten offengelegt wurden, berichtete The Guardian.
Zu den kompromittierten Informationen gehörten Benutzernamen, E-Mails, Abrechnungsdetails, IP-Adressen und in einigen Fällen Bilder von amtlichen Ausweisen wie Pässen und Führerscheinen, die zur Altersverifikation eingereicht wurden.
Discord erklärte, dass es den Zugang des Anbieters widerrufen und nach dem Vorfall die Strafverfolgungsbehörden eingeschaltet habe.
Branchenvertreter sagen, der Vorfall offenbart ein grundlegenderes Problem darin, wie Online-Plattformen die Identitätsverifikation handhaben, das in der Praxis der Sammlung und Speicherung persönlicher Dokumente verwurzelt ist.
Im Gespräch mit Yellow.com erklärte Varun Kabra, Chief Growth Officer bei Concordium, dass solche Risiken erheblich reduziert werden können, wenn Plattformen es vermeiden, sensible Informationen überhaupt zu speichern.
Er erklärte, dass Zero-Knowledge-Proof-Systeme die Überprüfung von Benutzerattributen wie Alter oder Jurisdiktion ermöglichen, ohne dass Plattformen Zugang zu Identifikationsdokumenten haben oder diese aufbewahren müssen.
"Benutzer bewahren verschlüsselte Anmeldeinformationen in ihren lokalen Wallets auf, während zertifizierte Identitätsanbieter sichere Kopien für die Einhaltung aufbewahren", sagte Kabra. "Wenn Discord für die Altersverifikation ZK-Anmeldeinformationen anstelle von Ausweisscans verwendet hätte, hätte der jüngste Vorfall keine persönlichen Identifikationsdaten offengelegt."
Arthur Firstov, Chief Business Officer bei Mercuryo, sagte, der Discord-Fall zeige, wie zentrale Datenbanken weiterhin attraktive Ziele für Angreifer bleiben.
"Sobald sensible Informationen in einer Datenbank gespeichert sind, wird sie zum Ziel", sagte er und fügte hinzu, dass ZKPs einen Weg bieten, dies zu verhindern, indem sie die Verifikation ohne Erhebung persönlicher Angaben ermöglichen.
"Mit ZKPs könnte eine Plattform bestätigen, dass jemand bestimmte Anforderungen erfüllt, aber die tatsächlichen Daten verlassen niemals die Kontrolle des Benutzers. Das bedeutet, dass es erst gar nichts Wertvolles zu stehlen gibt."
Für viele Datenschutzbefürworter und Sicherheitsexperten verstärkt der Vorfall auch die Notwendigkeit, digitales Vertrauen durch datenschutzorientierte Verifikationssysteme wieder aufzubauen.
Firstov fügte hinzu, dass die breitere Verwendung der Zero-Knowledge-Technologie dabei helfen könnte, dies zu erreichen.
"Datenschutz ist das, was Menschen und Unternehmen die Sicherheit gibt, online zu kommunizieren, und die Zero-Knowledge-Technologie ermöglicht dies, indem sie Vertrauen bewiesen, ohne Informationen preiszugeben", sagte er.
Wes Kaplan, CEO von G-Knot, sagte, der Vorfall illustriere eine vorhersehbare Schwäche in der digitalen Identitätslandschaft.
"Zentrale, sensible Daten zu sammeln, ist ein Haftungsproblem", sagte er.
Kaplan bemerkte, dass, wenn Discords Altersverifikationsprozess auf kryptografischen Bescheinigungen anstelle von Dokumentenuploads beruht hätte, es keine ausnutzbare Datenbank mit persönlichen IDs gegeben hätte.
"Für weitgehend genutzte Plattformen ist der Übergang zu ZK-fähiger Identitätsverifikation längst kein theoretischer Gedanke mehr, sondern wird notwendig", fügte er hinzu. "In einer Welt, in der Datenpannen unvermeidlich sind, ist die einzige wirkliche Verteidigung, Identität unstehlbar zu machen."
Discord, das über 200 Millionen monatlich aktive Nutzer hat, nutzt in Märkten wie dem Vereinigten Königreich und Australien Werkzeuge zur Gesichts-Altersverifikation.
Unter Australiens bevorstehender Vorschrift für soziale Medien für unter 16-Jährige wird von Plattformen erwartet, dass sie mehrere Altersverifikationsoptionen und Widerspruchsverfahren anbieten.
Experten sagen jedoch, dass, sofern sich die Branche nicht vollständig von dokumentbasierten Verifikationssystemen entfernt, solche Schwachstellen die Benutzer weiterhin unnötigen Risiken aussetzen werden.