La violazione dei dati di Discord che ha esposto le immagini delle carte d'identità governative ha spinto a un rinnovato esame dei sistemi di verifica centralizzati, con diversi esperti del settore che indicano le prove a conoscenza zero (ZKP) come un'alternativa valida alla memorizzazione dei dati d'identità sensibili.
La società ha confermato che un attore non autorizzato ha avuto accesso ai sistemi di un fornitore di servizi clienti terzo, esponendo i dati di un numero limitato di utenti, ha riportato The Guardian.
Tra le informazioni compromesse c'erano nomi utente, email, dettagli di fatturazione, indirizzi IP, e in alcuni casi, immagini di documenti d'identità governativi come passaporti e patenti di guida presentati per la verifica dell'età.
Discord ha dichiarato di aver revocato l'accesso al fornitore e di aver coinvolto le forze dell'ordine a seguito dell'incidente.
Le figure del settore affermano che la violazione rivela un problema più ampio su come le piattaforme online gestiscono la verifica dell'identità, radicato nella pratica di raccogliere e memorizzare documenti personali.
Parlando con Yellow.com, Varun Kabra, Direttore della Crescita di Concordium, ha notato che tali rischi possono essere significativamente ridotti quando le piattaforme evitano di memorizzare informazioni sensibili del tutto.
Ha spiegato che i sistemi di prova a conoscenza zero permettono la verifica degli attributi degli utenti, come l'età o la giurisdizione, senza richiedere che le piattaforme accedano o conservino documenti di identificazione.
“Gli utenti mantengono credenziali crittografate nei loro portafogli locali, mentre i fornitori di identità certificati conservano copie sicure per la conformità,” ha detto Kabra. “Se Discord avesse utilizzato credenziali ZK per la verifica dell'età invece di memorizzare scansioni ID, la recente violazione non avrebbe esposto dati di identificazione personale.”
Arthur Firstov, Direttore Commerciale di Mercuryo, ha affermato che il caso Discord illustra come i database centrali continuino a essere obiettivi attraenti per gli aggressori.
“Una volta che le informazioni sensibili sono detenute in un database, diventano un obiettivo,” ha detto, aggiungendo che le ZKP offrono un percorso per prevenire ciò consentendo la verifica senza la raccolta di dettagli personali.
“Con le ZKP, una piattaforma potrebbe confermare che qualcuno soddisfa determinati requisiti, ma i dati reali non lasciano mai il controllo dell'utente. Ciò significa che non c'è niente di prezioso da rubare in primo luogo.”
Per molti sostenitori della privacy e professionisti della sicurezza, la violazione rafforza anche la necessità di ricostruire la fiducia digitale attraverso sistemi di verifica centrati sulla privacy.
Firstov ha aggiunto che l'uso più ampio della tecnologia a conoscenza zero potrebbe aiutare a raggiungere ciò.
“La privacy è ciò che dà a persone e aziende la fiducia di interagire online, e la tecnologia a conoscenza zero lo abilita dimostrando fiducia senza rivelare informazioni,” ha detto.
Wes Kaplan, CEO di G-Knot, ha affermato che la violazione esemplifica una debolezza prevedibile nel panorama dell'identità digitale.
“Raccogliere dati sensibili centralizzati è una responsabilità,” ha detto.
Kaplan ha notato che se il processo di verifica dell'età di Discord si fosse basato su attestazioni crittografiche piuttosto che su caricamenti di documenti, non ci sarebbe stato alcun database sfruttabile di ID personali.
“Per le piattaforme ampiamente utilizzate, la transizione alla verifica dell'identità abilitata dalla ZK non è più teorica; sta diventando necessaria,” ha aggiunto. “In un mondo in cui le violazioni dei dati sono inevitabili, l'unica vera difesa è rendere l'identità impossibile da rubare.”
Discord, che ha oltre 200 milioni di utenti attivi mensilmente, ha utilizzato strumenti di verifica dell'età facciale in mercati come il Regno Unito e l'Australia.
Sotto le imminenti normative sui social media per i minori di 16 anni in Australia, ci si aspetta che le piattaforme offrano diverse opzioni di verifica dell'età e processi di appello.
Ma gli esperti affermano che a meno che il settore non si allontani completamente dai sistemi di verifica basati su documenti, violazioni di questo tipo continueranno a esporre gli utenti a rischi inutili.