Het datalek bij Discord dat afbeeldingen van identiteitsbewijzen blootlegde, heeft geleid tot hernieuwde aandacht voor gecentraliseerde verificatiesystemen, met verscheidene industrie-experts die wijzen naar zero-knowledge proofs (ZKP's) als een levensvatbaar alternatief voor het opslaan van gevoelige identiteitsgegevens.
Het bedrijf bevestigde dat een ongeautoriseerde actor toegang kreeg tot de systemen van een derde partij klantenserviceprovider, waardoor gegevens van een beperkt aantal gebruikers zijn blootgesteld, meldt The Guardian.
Onder de gecompromitteerde informatie bevonden zich gebruikersnamen, e-mails, factuurgegevens, IP-adressen en in sommige gevallen overheids-ID-afbeeldingen zoals paspoorten en rijbewijzen die waren ingediend voor leeftijdsverificatie.
Discord zei dat het de toegang van de provider heeft ingetrokken en de wetshandhaving na het incident heeft ingeschakeld.
Betrokkenen uit de industrie zeggen dat het lek een breder probleem onthult in hoe online platforms omgaan met identiteitsverificatie, geworteld in de praktijk van het verzamelen en opslaan van persoonlijke documenten.
In gesprek met Yellow.com merkte Varun Kabra, Chief Growth Officer bij Concordium, op dat dergelijke risico's aanzienlijk kunnen worden verminderd wanneer platforms het opslaan van gevoelige informatie helemaal vermijden.
Hij legde uit dat zero-knowledge-proofsystemen de verificatie van gebruikersattributen mogelijk maken, zoals leeftijd of rechtsgebied, zonder dat platforms toegang hoeven te hebben tot of identificatiedocumenten moeten bewaren.
“Gebruikers behouden versleutelde inloggegevens in hun lokale wallets, terwijl gecertificeerde identiteitsaanbieders veilige kopieën voor naleving bewaren,” zei Kabra. “Als Discord ZK-credentials voor leeftijdsverificatie had gebruikt in plaats van ID-scans op te slaan, zou het recente lek geen persoonlijke identificatiegegevens hebben blootgelegd.”
Arthur Firstov, Chief Business Officer bij Mercuryo, zei dat de zaak van Discord illustreert hoe centrale databases aantrekkelijke doelwitten blijven voor aanvallers.
“Zodra gevoelige informatie in een database wordt bewaard, wordt het een doelwit,” zei hij, toevoegend dat ZKP's een weg bieden om dit te voorkomen door verificatie mogelijk te maken zonder verzameling van persoonlijke gegevens.
“Met ZKP's kan een platform bevestigen dat iemand aan bepaalde vereisten voldoet, maar de werkelijke gegevens verlaten nooit de controle van de gebruiker. Dat betekent dat er vanaf het begin niets waardevols te stelen is.”
Voor veel privacyvoorvechters en beveiligingsprofessionals versterkt het lek ook de noodzaak om digitaal vertrouwen opnieuw op te bouwen via privacy-eerst verificatiesystemen.
Firstov voegde toe dat het bredere gebruik van zero-knowledge-technologie daarbij kan helpen.
“Privacy is wat mensen en bedrijven het vertrouwen geeft om online te communiceren, en zero-knowledge-technologie maakt dat mogelijk door vertrouwen te tonen zonder informatie te onthullen,” zei hij.
Wes Kaplan, CEO van G-Knot, zei dat het lek een voorspelbare zwakte in het digitale identiteitslandschap aantoont.
“Het verzamelen van gecentraliseerde, gevoelige gegevens is een aansprakelijkheid,” zei hij.
Kaplan merkte op dat als het leeftijdsverificatieproces van Discord had vertrouwd op cryptografische getuigenverklaringen in plaats van documenten te uploaden, er geen exploitabele database van persoonlijke ID's zou zijn geweest.
“Voor veelgebruikte platforms is de overgang naar ZK-ingeschakelde identiteitsverificatie niet langer theoretisch; het wordt noodzakelijk,” voegde hij eraan toe. “In een wereld waarin datalekken onvermijdelijk zijn, is de enige echte verdediging het onsteelbaar maken van identiteit.”
Discord, dat meer dan 200 miljoen maandelijks actieve gebruikers heeft, maakt gebruik van leeftijdsverificatie via gezichtsherkenning in markten zoals het VK en Australië.
Onder de aankomende sociale media-regelgeving voor onder-16-jarigen in Australië, wordt van platforms verwacht dat zij meerdere leeftijdsverificatie-opties en beroepsprocedures aanbieden.
Maar experts zeggen dat tenzij de industrie helemaal afstapt van documentgebaseerde verificatiesystemen, lekken van dit soort zullen blijven voorkomen en gebruikers aan onnodige risico's zullen blootstellen.