政府ID画像を含むDiscordのデータ侵害は、中央集権的な認証システムの再評価を促し、多くの業界専門家がセンシティブな身元データを保存する代替案としてゼロ知識証明(ZKP)を指摘しています。
The Guardianによれば、同社は第三者のカスタマーサービスプロバイダーのシステムに未承認の人物がアクセスしたことを確認し、限定的なユーザーデータが露出しました。
漏洩した情報の中には、ユーザー名、メールアドレス、請求情報、IPアドレス、そして場合によっては年齢確認のために提出された政府のID画像(パスポート、運転免許証など)が含まれていました。
Discordは事案後、提供者のアクセスを撤回し、法執行機関と連携を取りました。
業界の識者は、この侵害がオンラインプラットフォームの身元確認の取り扱いにおける広範な問題を露呈しているとし、個人文書の収集と保存に根ざしていると指摘しています。
Concordiumの最高成長責任者であるVarun Kabraは、Yellow.comとの会話の中で、このようなリスクはプラットフォームがセンシティブな情報を一切保管しない場合に大幅に減少できると述べました。
彼は、ゼロ知識証明システムは年齢や管轄などのユーザー属性の検証を可能にし、プラットフォームがID文書にアクセスまたは保存する必要がないことを説明しました。
「ユーザーはローカルウォレットに暗号化された資格情報を保持し、認定されたIDプロバイダーはコンプライアンスのために安全なコピーを保管します」とKabra氏は言いました。「Discordが年齢確認にIDスキャンの代わりにZKクレデンシャルを使用していたとしたら、最近の侵害において個人識別データは露出しなかったでしょう。」
Mercuryoの最高業務責任者であるArthur Firstovは、Discordのケースが、中央データベースが攻撃者にとっていまだに魅力的なターゲットであり続けることを示していると述べました。
「センシティブな情報がデータベースに保持された時点で、ターゲットとなります」と彼は言い、ZKPが個人情報の収集なしに検証を可能にすることでこれを防ぐ道を提供すると付け加えました。
「ZKPでは、プラットフォームは誰かが特定の条件を満たしていることを確認できますが、実際のデータはユーザーの管理を離れることはありません。つまり、最初から盗むに値するものが何もないということです。」
プライバシー擁護者やセキュリティ専門家にとって、多くの人がデジタルトラストをプライバシー優先の検証システムで再構築する必要があると再確認する機会となりました。
Firstov氏は、ゼロ知識技術の幅広い利用がそれを実現するのに役立つ可能性があると付け加えました。
「プライバシーこそが、人々や企業がオンラインでやり取りするための自信を与え、ゼロ知識技術がそれを情報を明かさずに信頼を証明することで可能にする」と彼は述べました。
G-KnotのCEOであるWes Kaplanは、この侵害がデジタルIDの風景における予測可能な脆弱性を示していると述べました。
「中央集権的でセンシティブなデータの収集は賠償責任です」と彼は言いました。
Kaplan氏は、もしDiscordの年齢確認プロセスが文書のアップロードではなく暗号化の証明に依存していたとすれば、個人IDの脆弱なデータベースは存在しなかったであろうと指摘しました。
「広く使用されているプラットフォームにとって、ZK対応のID確認に移行することはもはや理論的なものではなく、実際に必要になっています」と彼は付け加えました。「データ侵害が避けられない世界では、唯一の真の防御は、IDの盗難不可能にすることです。」
Discordは月間2億人以上のアクティブユーザーを持ち、英国やオーストラリアなどの市場で顔認証を利用した年齢確認ツールを使用しています。
オーストラリアの16歳未満のソーシャルメディア規制がまもなく施行される中、プラットフォームは複数の年齢確認オプションとアピールプロセスを提供することが期待されています。
しかし、専門家は業界が文書に基づく確認システムから完全に脱却しない限り、この種の侵害によりユーザーが不必要なリスクにさらされ続けるだろうと言います。