La violazione dei dati di Discord che ha rivelato immagini di documenti di identità governativi ha suscitato un nuovo controllo sui sistemi di verifica centralizzati, con diversi esperti del settore che indicano le prove a conoscenza zero (ZKPs) come un'alternativa valida alla memorizzazione di dati sensibili di identità.
L'azienda ha confermato che un attore non autorizzato ha avuto accesso ai sistemi di un fornitore esterno di servizi clienti, esponendo un numero limitato di dati degli utenti, ha riportato The Guardian.
Tra le informazioni compromesse c'erano nomi utente, email, dettagli di fatturazione, indirizzi IP e, in alcuni casi, immagini di documenti di identità governativi come passaporti e patenti di guida inviate per la verifica dell'età.
Discord ha dichiarato di aver revocato l'accesso del fornitore e coinvolto le forze dell'ordine dopo l'incidente.
Le figure del settore dicono che la violazione rivela un problema più ampio nel modo in cui le piattaforme online gestiscono la verifica dell'identità, una pratica radicata nella raccolta e nella conservazione di documenti personali.
Parlando con Yellow.com, Varun Kabra, Chief Growth Officer di Concordium, ha osservato che tali rischi possono essere significativamente ridotti quando le piattaforme evitano di memorizzare informazioni sensibili.
Ha spiegato che i sistemi di prova a conoscenza zero permettono la verifica di attributi degli utenti, come l'età o la giurisdizione, senza richiedere alle piattaforme di accedere o conservare documenti di identificazione.
“Gli utenti mantengono credenziali criptate nei loro portafogli locali, mentre i fornitori di identità certificata mantengono copie sicure per la conformità,” ha detto Kabra. “Se Discord avesse usato credenziali ZK per la verifica dell'età invece di memorizzare scansioni di ID, la recente violazione non avrebbe esposto dati di identificazione personale.”
Arthur Firstov, Chief Business Officer di Mercuryo, ha detto che il caso Discord illustra come i database centrali continuano a essere obiettivi attraenti per gli attaccanti.
“Una volta che le informazioni sensibili sono conservate in un database, diventano un bersaglio,” ha detto, aggiungendo che i ZKPs offrono un percorso per prevenire ciò permettendo la verifica senza la raccolta di dettagli personali.
“Con i ZKPs, una piattaforma potrebbe confermare che qualcuno soddisfa certi requisiti, ma i dati effettivi non lasciano mai il controllo dell'utente. Ciò significa che non c'è nulla di prezioso da rubare.”
Per molti difensori della privacy e professionisti della sicurezza, la violazione rafforza la necessità di ricostruire la fiducia digitale attraverso sistemi di verifica orientati alla privacy.
Firstov ha aggiunto che l'uso più ampio della tecnologia a conoscenza zero potrebbe aiutare a raggiungere questo obiettivo.
“La privacy è ciò che dà alle persone e alle aziende fiducia a interagire online, e la tecnologia a conoscenza zero lo consente dimostrando fiducia senza rivelare informazioni,” ha detto.
Wes Kaplan, CEO di G-Knot, ha detto che la violazione esemplifica una debolezza prevedibile nel panorama dell'identità digitale.
“Raccogliere dati centralizzati e sensibili è una responsabilità,” ha detto.
Kaplan ha osservato che se il processo di verifica dell'età di Discord si fosse basato su attestazioni crittografiche anziché su upload di documenti, non ci sarebbe stato nessun database sfruttabile di ID personali.
“Per le piattaforme ampiamente utilizzate, la transizione alla verifica dell'identità abilitata con ZK non è più teorica; sta diventando necessaria,” ha aggiunto. “In un mondo in cui le violazioni dei dati sono inevitabili, l'unica vera difesa è rendere l'identità non rubabile.”
Discord, che conta oltre 200 milioni di utenti attivi mensili, ha utilizzato strumenti di assicurazione dell'età facciale in mercati come il Regno Unito e Australia.
Sotto le prossime normative sui social media per minorenni in Australia, ci si aspetta che le piattaforme offrano multipli opzioni di verifica dell'età e processi di ricorso.
Ma gli esperti dicono che a meno che l'industria non si allontani completamente dai sistemi di verifica basati su documenti, violazioni di questo tipo continueranno a esporre gli utenti a rischi inutili.