Pelanggaran data Discord yang mengekspos gambar ID pemerintah telah memicu pengawasan baru terhadap sistem verifikasi terpusat, dengan beberapa ahli industri menunjuk zero-knowledge proofs (ZKPs) sebagai alternatif yang layak untuk menyimpan data identitas sensitif.
Perusahaan mengonfirmasi bahwa aktor yang tidak berwenang mendapatkan akses ke sistem penyedia layanan pelanggan pihak ketiga, mengekspos data sejumlah pengguna yang terbatas, lapor The Guardian.
Di antara informasi yang dikompromikan adalah nama pengguna, email, detail penagihan, alamat IP, dan dalam beberapa kasus, gambar ID pemerintah seperti paspor dan SIM yang diajukan untuk verifikasi usia.
Discord mengatakan telah mencabut akses penyedia dan bekerja sama dengan penegak hukum setelah insiden tersebut.
Figur industri mengatakan pelanggaran ini mengungkapkan masalah yang lebih luas dalam cara platform online menangani verifikasi identitas, yang berakar pada praktik mengumpulkan dan menyimpan dokumen pribadi.
Dalam wawancara dengan Yellow.com, Varun Kabra, Chief Growth Officer di Concordium, mencatat bahwa risiko semacam ini dapat dikurangi secara signifikan ketika platform menghindari penyimpanan informasi sensitif sama sekali.
Dia menjelaskan bahwa sistem bukti tanpa pengetahuan memungkinkan verifikasi atribut pengguna, seperti usia atau yurisdiksi, tanpa memerlukan platform untuk mengakses atau menyimpan dokumen identifikasi.
“Pengguna menyimpan kredensial terenkripsi di dompet lokal mereka, sementara penyedia identitas bersertifikat menyimpan salinan aman untuk kepatuhan,” kata Kabra. “Jika Discord menggunakan kredensial ZK untuk verifikasi usia daripada menyimpan pemindaian ID, pelanggaran baru-baru ini tidak akan mengekspos data identifikasi pribadi apa pun.”
Arthur Firstov, Chief Business Officer di Mercuryo, mengatakan kasus Discord menggambarkan bagaimana basis data pusat tetap menjadi target menarik bagi penyerang.
“Setelah informasi sensitif disimpan dalam basis data, ia menjadi target,” katanya, menambahkan bahwa ZKP menawarkan cara untuk mencegah ini dengan memungkinkan verifikasi tanpa pengumpulan detail pribadi.
“Dengan ZKP, sebuah platform dapat mengonfirmasi bahwa seseorang memenuhi persyaratan tertentu, tetapi data sebenarnya tidak pernah meninggalkan kendali pengguna. Itu berarti tidak ada yang berharga untuk dicuri sejak awal.”
Bagi banyak advokat privasi dan profesional keamanan, pelanggaran ini juga memperkuat kebutuhan untuk membangun kembali kepercayaan digital melalui sistem verifikasi yang mengutamakan privasi.
Firstov menambahkan bahwa penggunaan teknologi zero-knowledge secara lebih luas dapat membantu mencapai hal tersebut.
“Privasi adalah apa yang memberikan kepercayaan kepada orang dan bisnis untuk berinteraksi secara online, dan teknologi zero-knowledge memungkinkan hal itu dengan membuktikan kepercayaan tanpa mengungkapkan informasi,” katanya.
Wes Kaplan, CEO G-Knot, mengatakan pelanggaran ini mencontohkan kelemahan yang dapat diprediksi dalam lanskap identitas digital.
“Mengumpulkan data sensitif terpusat adalah sebuah kewajiban,” katanya.
Kaplan mencatat bahwa jika proses verifikasi usia Discord mengandalkan pengesahan kriptografi daripada unggahan dokumen, tidak akan ada basis data ID pribadi yang dapat dieksploitasi.
“Untuk platform yang banyak digunakan, transisi ke verifikasi identitas yang diaktifkan oleh ZK tidak lagi teoretis; ini menjadi perlu,” tambahnya. “Di dunia di mana pelanggaran data tidak terhindarkan, satu-satunya pertahanan nyata adalah membuat identitas tidak dapat dicuri.”
Discord, yang memiliki lebih dari 200 juta pengguna aktif bulanan, telah menggunakan alat verifikasi usia wajah di pasar seperti Inggris dan Australia.
Di bawah peraturan media sosial Australia yang akan datang untuk anak di bawah 16 tahun, platform diharapkan menawarkan beberapa opsi verifikasi usia dan proses banding.
Tetapi para ahli mengatakan bahwa kecuali industri sepenuhnya menjauh dari sistem verifikasi berbasis dokumen, pelanggaran semacam ini akan terus mengekspos pengguna pada risiko yang tidak perlu.