Wyciek danych na Discordzie ujawnił obrazy dokumentów tożsamości rządowej, co skłoniło do ponownej analizy scentralizowanych systemów weryfikacji. Wielu ekspertów branżowych wskazuje na dowody zerowej wiedzy (ZKP) jako możliwą alternatywę dla przechowywania wrażliwych danych osobowych.
Firma potwierdziła, że nieautoryzowany podmiot uzyskał dostęp do systemów dostawcy usług obsługi klienta, ujawniając dane ograniczonej liczby użytkowników, jak donosi The Guardian.
Wśród naruszonych informacji były nazwy użytkowników, e-maile, dane rozliczeniowe, adresy IP, a w niektórych przypadkach obrazy dokumentów tożsamości rządowej, takich jak paszporty i prawa jazdy, dostarczone do weryfikacji wieku.
Discord oświadczył, że cofnął dostęp dostawcy i zaangażował organy ścigania po incydencie.
Osoby z branży twierdzą, że naruszenie ujawnia szerszy problem, w jaki sposób platformy internetowe radzą sobie z weryfikacją tożsamości, mający korzenie w praktyce zbierania i przechowywania dokumentów osobistych.
W rozmowie z Yellow.com Varun Kabra, Dyrektor Rozwoju w Concordium, zauważył, że takie ryzyko można znacznie zmniejszyć, gdy platformy unikają w ogóle przechowywania wrażliwych informacji.
Wyjaśnił, że systemy dowodów zerowej wiedzy umożliwiają weryfikację atrybutów użytkowników, takich jak wiek czy jurysdykcja, bez konieczności uzyskiwania dostępu do dokumentów identyfikacyjnych przez platformy.
„Użytkownicy przechowują zaszyfrowane poświadczenia w swoich lokalnych portfelach, podczas gdy certyfikowani dostawcy tożsamości przechowują zabezpieczone kopie dla zgodności,” powiedział Kabra. „Gdyby Discord używał poświadczeń ZK do weryfikacji wieku zamiast skanów dokumentów tożsamości, ostatni wyciek nie ujawniłby żadnych danych osobowych.”
Arthur Firstov, Dyrektor ds. Biznesowych w Mercuryo, stwierdził, że przypadek Discorda ilustruje, jak centralne bazy danych pozostają atrakcyjnymi celami dla atakujących.
„Gdy tylko wrażliwe informacje znajdują się w bazie danych, stają się celem,” powiedział, dodając, że ZKP oferują odpowiednią ścieżkę zapobiegawczą, umożliwiając weryfikację bez zbierania danych osobowych.
„Dzięki ZKP platforma może potwierdzić, że ktoś spełnia określone wymagania, ale rzeczywiste dane nigdy nie opuszczają kontroli użytkownika. To oznacza, że w pierwszej kolejności nie ma nic cennego do kradzieży.”
Dla wielu zwolenników prywatności i profesjonalistów ds. bezpieczeństwa, naruszenie również podkreśla potrzebę odbudowy cyfrowego zaufania poprzez systemy weryfikacji z priorytetem na prywatność.
Firstov dodał, że szersze wykorzystanie technologii zerowej wiedzy mogłoby to osiągnąć.
„Prywatność to to, co daje ludziom i firmom zaufanie do interakcji online, a technologia zerowej wiedzy to umożliwia, dowodząc zaufania bez ujawniania informacji,” powiedział.
Wes Kaplan, Dyrektor Generalny G-Knot, stwierdził, że naruszenie uwydatnia przewidywaną słabość w krajobrazie cyfrowej tożsamości.
„Zbieranie scentralizowanych, wrażliwych danych to zobowiązanie,” powiedział.
Kaplan zauważył, że gdyby proces weryfikacji wieku przez Discord opierał się na kryptograficznych atestacjach zamiast wgrywania dokumentów, nie byłoby bazy danych z dokumentami osobowymi do wykorzystania.
„Dla szeroko używanych platform, przejście na weryfikację tożsamości opartą na ZKP nie jest już teoretyczne; staje się konieczne,” dodał. „W świecie, gdzie wycieki danych są nieuniknione, jedyną prawdziwą obroną jest uczynienie tożsamości niekradzioną.”
Discord, który ma ponad 200 milionów aktywnych użytkowników miesięcznie, korzystał z narzędzi do weryfikacji wieku opartej na twarzy na rynkach takich jak Wielka Brytania i Australia.
W ramach nadchodzących przepisów dotyczących mediów społecznościowych dla młodzieży poniżej 16 roku życia w Australii, oczekuje się, że platformy będą oferować wiele opcji weryfikacji wieku i procesów odwoławczych.
Jednak eksperci twierdzą, że dopóki branża w pełni nie odejdzie od systemów weryfikacji opartych na dokumentach, takie naruszenia będą wciąż wystawiać użytkowników na niepotrzebne ryzyko.