Naruszenie danych Discord, w którym ujawniono zdjęcia dokumentów tożsamości, skłoniło do ponownej analizy scentralizowanych systemów weryfikacji, a kilku ekspertów z branży wskazuje na dowody zerowej wiedzy (ZKPs) jako realną alternatywę dla przechowywania wrażliwych danych tożsamości.
Firma potwierdziła, że nieautoryzowana osoba uzyskała dostęp do systemów zewnętrznego dostawcy obsługi klienta, ujawniając dane ograniczonej liczby użytkowników, podał The Guardian.
Wśród skompromitowanych informacji znajdowały się nazwy użytkowników, e-maile, szczegóły dotyczące faktur, adresy IP oraz w niektórych przypadkach obrazy dokumentów tożsamości rządowych, takich jak paszporty i prawa jazdy, przesyłane do weryfikacji wieku.
Discord powiedział, że cofnął dostęp dostawcy i podjął działania z organami ścigania po incydencie.
Przedstawiciele branży twierdzą, że wyciek ujawnia szerszy problem, jak platformy online radzą sobie z weryfikacją tożsamości, zakorzeniony w praktyce zbierania i przechowywania dokumentów osobistych.
Rozmawiając z Yellow.com, Varun Kabra, Chief Growth Officer w Concordium, zauważył, że takie ryzyka można znacznie zredukować, gdy platformy unikają przechowywania wrażliwych informacji w ogóle.
Wyjaśnił, że systemy z dowodami zerowej wiedzy umożliwiają weryfikację atrybutów użytkownika, takich jak wiek czy jurysdykcja, bez wymagania, aby platformy miały dostęp lub przechowywały dokumenty tożsamości.
„Użytkownicy przechowują zaszyfrowane poświadczenia w swoich lokalnych portfelach, podczas gdy certyfikowani dostawcy tożsamości trzymają bezpieczne kopie dla zgodności,” powiedział Kabra. „Gdyby Discord używał poświadczeń ZK do weryfikacji wieku zamiast przechowywać skany dowodów, niedawne naruszenie nie ujawniłoby żadnych danych osobowych.”
Arthur Firstov, Chief Business Officer w Mercuryo, powiedział, że przypadek Discord ilustruje, jak centralne bazy danych nadal są atrakcyjnymi celami dla atakujących.
„Gdy tylko wrażliwe informacje są przechowywane w bazie danych, stają się celem,” powiedział, dodając, że ZKPs oferują drogę do zapobiegania temu, umożliwiając weryfikację bez zbierania danych osobowych.
„Dzięki ZKPs platforma może potwierdzić, że ktoś spełnia określone wymagania, ale rzeczywiste dane nigdy nie opuszczają kontroli użytkownika. To oznacza, że nie ma wartościowych informacji do kradzieży.”
Dla wielu orędowników prywatności i specjalistów ds. bezpieczeństwa, incydent podkreśla potrzebę odbudowy cyfrowego zaufania poprzez systemy weryfikacji skoncentrowane na prywatności.
Firstov dodał, że szersze wykorzystanie technologii zerowej wiedzy może w tym pomóc.
„Prywatność to, co daje ludziom i firmom pewność interakcji online, a technologia zerowej wiedzy to umożliwia, potwierdzając zaufanie bez ujawniania informacji,” powiedział.
Wes Kaplan, CEO G-Knot, powiedział, że wyciek ilustruje przewidywalną słabość w krajobrazie cyfrowej tożsamości.
„Zbieranie scentralizowanych, wrażliwych danych to ryzyko,” powiedział.
Kaplan zauważył, że gdyby proces weryfikacji wieku Discord opierał się na kryptograficznych poświadczeniach zamiast przesyłania dokumentów, nie byłoby bazy danych z osobistymi dowodami, które można by wykorzystać.
„Dla szeroko używanych platform, przejście na weryfikację tożsamości z obsługą ZK nie jest już teoretyczne; staje się koniecznością,” dodał. „W świecie, gdzie wycieki danych są nieuniknione, jedyną prawdziwą obroną jest uczynić tożsamość niekradzioną.”
Discord, który ma ponad 200 milionów aktywnych użytkowników miesięcznie, stosuje narzędzia do potwierdzania wieku twarzą w rynkach takich jak Wielka Brytania i Australia.
Według nowych regulacji mediów społecznościowych w Australii, platformy są zobowiązane do oferowania wielu opcji weryfikacji wieku oraz procesów odwoławczych.
Ale eksperci twierdzą, że dopóki branża nie odejdzie całkowicie od systemów weryfikacji opartych na dokumentach, takie wycieki będą nadal narażać użytkowników na niepotrzebne ryzyko.