De Discord-databreach die overheids-ID-beelden aan het licht bracht, heeft geleid tot hernieuwde aandacht voor gecentraliseerde verificatiesystemen, met verschillende experts in de industrie die wijzen op zero-knowledge-bewijzen (ZKPs) als een levensvatbaar alternatief voor het opslaan van gevoelige identiteitsgegevens.
Het bedrijf bevestigde dat een ongeautoriseerde actor toegang heeft gekregen tot de systemen van een derde partij-klantenserviceprovider, waardoor een beperkt aantal gebruikersgegevens werd blootgesteld, meldde The Guardian.
Onder de gecompromitteerde informatie bevonden zich gebruikersnamen, e-mails, factureringsgegevens, IP-adressen en in sommige gevallen overheids-ID-beelden zoals paspoorten en rijbewijzen die waren ingediend voor leeftijdsverificatie.
Discord zei dat ze de toegang van de provider introkken en de wetshandhaving inschakelden na het incident.
Mensen uit de industrie zeggen dat de breach een breder probleem blootlegt in hoe online platforms met identiteitsverificatie omgaan, geworteld in de praktijk van het verzamelen en opslaan van persoonlijke documenten.
In gesprek met Yellow.com merkte Varun Kabra, Chief Growth Officer bij Concordium, op dat dergelijke risico's aanzienlijk kunnen worden verminderd wanneer platforms het opslaan van gevoelige informatie helemaal vermijden.
Hij legde uit dat zero-knowledge-proof-systemen verificatie van gebruikerskenmerken mogelijk maken, zoals leeftijd of jurisdictie, zonder dat platforms toegang nodig hebben tot of opslag van identificatiedocumenten.
"Gebruikers behouden versleutelde referenties in hun lokale wallets, terwijl gecertificeerde identiteitsaanbieders veilige kopieën bewaren voor naleving," zei Kabra. "Als Discord ZK-referenties had gebruikt voor leeftijdsverificatie in plaats van het opslaan van ID-scans, zou de recente breach geen persoonlijke identificatiegegevens hebben blootgelegd."
Arthur Firstov, Chief Business Officer bij Mercuryo, zei dat de Discord-case illustreert hoe centrale databases aantrekkelijke doelen blijven voor aanvallers.
"Zodra gevoelige informatie in een database wordt opgeslagen, wordt het een doelwit," zei hij, toevoegend dat ZKPs een manier bieden om dit te voorkomen door verificatie mogelijk te maken zonder het verzamelen van persoonlijke gegevens.
"Met ZKPs zou een platform kunnen bevestigen dat iemand aan bepaalde eisen voldoet, maar de feitelijke gegevens verlaten nooit de controle van de gebruiker. Dat betekent dat er in eerste instantie niets waardevols is om te stelen."
Voor veel privacyvoorstanders en beveiligingsprofessionals versterkt de breach ook de noodzaak om digitaal vertrouwen te herstellen door privacy-eerste verificatiesystemen.
Firstov voegde toe dat het wijdere gebruik van zero-knowledge-technologie daarbij zou kunnen helpen.
"Privacy is wat mensen en bedrijven vertrouwen geeft om online te communiceren, en zero-knowledge-technologie maakt dat mogelijk door vertrouwen te bewijzen zonder informatie te onthullen," zei hij.
Wes Kaplan, CEO van G-Knot, zei dat de breach een voorspelbare zwakte in het digitale identiteitslandschap laat zien.
"Het verzamelen van gecentraliseerde, gevoelige gegevens is een aansprakelijkheid," zei hij.
Kaplan merkte op dat als het leeftijdsverificatieproces van Discord zou hebben vertrouwd op cryptografische attestaties in plaats van documentuploads, er geen uitlegbare database van persoonlijke ID's zou zijn geweest.
"Voor veelgebruikte platforms is de overgang naar ZK-mogelijke identiteitsverificatie niet langer theoretisch; het wordt noodzakelijk," voegde hij toe. "In een wereld waar datalekken onvermijdelijk zijn, is de enige echte verdediging identiteitsgegevens onverkoopbaar maken."
Discord, met meer dan 200 miljoen maandelijks actieve gebruikers, heeft gezichts- leeftijdsverificatietools gebruikt in markten zoals het VK en Australië.
Onder de komende sociale media-regelgeving voor onder de 16-jarigen in Australië wordt van platforms verwacht dat ze meerdere leeftijdsverificatieopties en beroepprocedures bieden.
Maar experts zeggen dat tenzij de industrie volledig afstapt van documentgebaseerde verificatiesystemen, dergelijke datalekken gebruikers aan onnodige risico's zullen blijven blootstellen.