Pelanggaran data Discord yang mengungkapkan gambar ID pemerintah telah mendorong pengawasan baru terhadap sistem verifikasi terpusat, dengan beberapa ahli industri menunjuk pada pembuktian tanpa-pengetahuan (ZKPs) sebagai alternatif yang layak untuk menyimpan data identitas sensitif.
Perusahaan mengkonfirmasi bahwa aktor tidak sah mendapatkan akses ke sistem penyedia layanan pelanggan pihak ketiga, mengungkapkan data sejumlah pengguna yang terbatas, lapor The Guardian.
Di antara informasi yang dikompromikan adalah nama pengguna, email, detail penagihan, alamat IP, dan dalam beberapa kasus, gambar ID pemerintah seperti paspor dan izin mengemudi yang diserahkan untuk verifikasi usia.
Discord mengatakan mereka mencabut akses penyedia dan melibatkan penegak hukum setelah insiden tersebut.
Tokoh industri mengatakan pelanggaran tersebut mengungkapkan masalah yang lebih luas dalam bagaimana platform online menangani verifikasi identitas, yang berakar pada praktik mengumpulkan dan menyimpan dokumen pribadi.
Dalam percakapan dengan Yellow.com, Varun Kabra, Chief Growth Officer di Concordium, mencatat bahwa risiko semacam itu dapat dikurangi secara signifikan ketika platform menghindari penyimpanan informasi sensitif sama sekali.
Ia menjelaskan bahwa sistem pembuktian tanpa-pengetahuan memungkinkan verifikasi atribut pengguna, seperti usia atau yurisdiksi, tanpa memerlukan platform untuk mengakses atau menyimpan dokumen identifikasi.
“Pengguna menyimpan kredensial terenkripsi dalam dompet lokal mereka, sementara penyedia identitas bersertifikat menyimpan salinan aman untuk kepatuhan,” kata Kabra. “Jika Discord menggunakan kredensial ZK untuk verifikasi usia alih-alih menyimpan pindai ID, pelanggaran baru-baru ini tidak akan mengungkapkan data identifikasi pribadi apa pun.”
Arthur Firstov, Chief Business Officer di Mercuryo, mengatakan kasus Discord menggambarkan bagaimana basis data pusat terus menjadi target menarik bagi para penyerang.
“Begitu informasi sensitif disimpan dalam database, itu menjadi target,” katanya, menambahkan bahwa ZKP menawarkan jalur untuk mencegah ini dengan memungkinkan verifikasi tanpa pengumpulan detail pribadi.
“Dengan ZKP, platform dapat memastikan bahwa seseorang memenuhi persyaratan tertentu, tetapi data sebenarnya tidak pernah meninggalkan kendali pengguna. Itu berarti tidak ada yang bernilai untuk dicuri sejak awal.”
Bagi banyak advokat privasi dan profesional keamanan, pelanggaran tersebut juga memperkuat kebutuhan untuk membangun kembali kepercayaan digital melalui sistem verifikasi yang mengutamakan privasi.
Firstov menambahkan bahwa penggunaan teknologi tanpa-pengetahuan yang lebih luas dapat membantu mencapai hal itu.
“Privasi adalah apa yang memberikan kepercayaan pada orang dan bisnis untuk berinteraksi secara online, dan teknologi tanpa-pengetahuan memungkinkan hal itu dengan membuktikan kepercayaan tanpa mengungkapkan informasi,” katanya.
Wes Kaplan, CEO G-Knot, mengatakan pelanggaran tersebut memperlihatkan kelemahan yang dapat diprediksi dalam lanskap identitas digital.
“Mengumpulkan data sensitif terpusat adalah kewajiban,” katanya.
Kaplan mencatat bahwa jika proses verifikasi usia Discord mengandalkan atestasi kriptografi daripada pengunggahan dokumen, tidak akan ada basis data ID pribadi yang dapat dieksploitasi.
"Untuk platform yang digunakan secara luas, transisi ke verifikasi identitas yang diaktifkan ZK tidak lagi teoretis; ini menjadi suatu keharusan," tambahnya. “Dalam dunia di mana pelanggaran data tak terelakkan, satu-satunya pertahanan nyata adalah membuat identitas tidak dapat dicuri.”
Discord, yang memiliki lebih dari 200 juta pengguna aktif bulanan, telah menggunakan alat penjaminan usia berbasis wajah di pasar seperti Inggris dan Australia.
Di bawah peraturan media sosial di bawah-16 di Australia yang akan datang, platform diharapkan menawarkan beberapa opsi verifikasi usia dan proses banding.
Namun, para ahli mengatakan bahwa kecuali industri sepenuhnya beralih dari sistem verifikasi berbasis dokumen, pelanggaran semacam ini akan terus mengekspos pengguna pada risiko yang tidak perlu.