La violation de données Discord qui a exposé des images d'identité gouvernementale a incité un nouvel examen des systèmes de vérification centralisés, plusieurs experts de l'industrie pointant du doigt les preuves à divulgation nulle de connaissance (ZKP) comme une alternative viable au stockage des données d'identité sensibles.
La société a confirmé qu'un acteur non autorisé avait accédé aux systèmes d'un prestataire de service client tiers, exposant un nombre limité de données d'utilisateurs, a rapporté The Guardian.
Parmi les informations compromises figuraient des noms d'utilisateur, des emails, des détails de facturation, des adresses IP, et dans certains cas, des images d'identité gouvernementale comme des passeports et des permis de conduire soumis pour la vérification d'âge.
Discord a déclaré avoir révoqué l'accès du prestataire et avoir engagé des actions en justice après l'incident.
Les professionnels de l'industrie disent que la violation révèle un problème plus large dans la manière dont les plateformes en ligne gèrent la vérification de l'identité, ancré dans la pratique de la collecte et du stockage de documents personnels.
En parlant avec Yellow.com, Varun Kabra, Chief Growth Officer chez Concordium, a noté que ces risques peuvent être considérablement réduits lorsque les plateformes évitent de stocker des informations sensibles.
Il a expliqué que les systèmes de preuve à divulgation nulle permettent la vérification des attributs utilisateur, tels que l'âge ou la juridiction, sans nécessiter que les plateformes accèdent ou conservent les documents d'identification.
“Les utilisateurs conservent des identifiants cryptés dans leurs portefeuilles locaux, tandis que les fournisseurs d'identité certifiés conservent des copies sécurisées pour la conformité,” a-t-il dit. “Si Discord avait utilisé des identifiants ZK pour la vérification d'âge au lieu de stocker des scans d'ID, la récente violation n'aurait exposé aucune donnée d'identification personnelle.”
Arthur Firstov, Chief Business Officer chez Mercuryo, a déclaré que le cas Discord illustre comment les bases de données centrales continuent d'être des cibles attractives pour les attaquants.
“Une fois que des informations sensibles sont conservées dans une base de données, cela devient une cible,” a-t-il dit, en ajoutant que les ZKP offrent un moyen de prévenir cela en permettant une vérification sans collecte de détails personnels.
“Avec les ZKP, une plateforme pourrait confirmer qu'une personne satisfait à certaines exigences, mais les données réelles ne quittent jamais le contrôle de l'utilisateur. Cela signifie qu'il n'y a rien de valeur à voler en premier lieu.”
Pour de nombreux défenseurs de la vie privée et professionnels de la sécurité, la violation renforce également le besoin de reconstruire la confiance numérique via des systèmes de vérification axés sur la confidentialité.
Firstov a ajouté que l'utilisation étendue de la technologie à divulgation nulle pourrait aider à atteindre cet objectif.
“La confidentialité est ce qui donne aux personnes et aux entreprises la confiance d'interagir en ligne, et la technologie à divulgation nulle permet cela en prouvant la confiance sans révéler d'information,” a-t-il dit.
Wes Kaplan, CEO de G-Knot, a déclaré que la violation illustre une faiblesse prévisible dans le paysage de l'identité numérique.
“Collecter des données sensibles centralisées est une responsabilité,” a-t-il dit.
Kaplan a noté que si le processus de vérification d'âge de Discord avait reposé sur des attestations cryptographiques plutôt que sur des soumissions de documents, il n'y aurait pas eu de base de données exploitable de données d'identités personnelles.
“Pour les plateformes largement utilisées, la transition vers la vérification d'identité activée par ZK n'est plus théorique; elle devient nécessaire,” a-t-il ajouté. “Dans un monde où les violations de données sont inévitables, la seule réelle défense est de rendre l'identité indétournable.”
Discord, qui compte plus de 200 millions d'utilisateurs actifs mensuels, utilise des outils d'assurance d'âge facial dans des marchés comme le Royaume-Uni et l'Australie.
En vertu des prochaines réglementations australiennes pour les moins de 16 ans sur les réseaux sociaux, les plateformes devraient offrir plusieurs options de vérification d'âge et de processus d'appel.
Mais les experts disent que tant que l'industrie ne s'éloigne pas entièrement des systèmes de vérification basés sur les documents, des violations de ce type continueront à exposer les utilisateurs à des risques inutiles.