A violação de dados do Discord que expôs imagens de documentos de identidade governamentais gerou um novo escrutínio dos sistemas de verificação centralizados, com vários especialistas do setor apontando as provas de conhecimento zero (ZKPs) como uma alternativa viável para armazenar dados de identidade sensíveis.
A empresa confirmou que um ator não autorizado obteve acesso aos sistemas de um provedor de serviços de atendimento ao cliente de terceiros, expondo dados de um número limitado de usuários, relatou o The Guardian.
Entre as informações comprometidas estavam nomes de usuário, e-mails, detalhes de faturamento, endereços IP e, em alguns casos, imagens de documentos de identidade governamentais, como passaportes e carteiras de motorista, submetidos para verificação de idade.
O Discord afirmou que revogou o acesso do provedor e envolveu a aplicação da lei após o incidente.
Representantes do setor dizem que a violação revela um problema mais amplo em como as plataformas online lidam com a verificação de identidade, enraizado na prática de coletar e armazenar documentos pessoais.
Falando com o Yellow.com, Varun Kabra, Diretor de Crescimento da Concordium, observou que esses riscos podem ser significativamente reduzidos quando as plataformas evitam armazenar informações sensíveis.
Ele explicou que sistemas de prova de conhecimento zero permitem a verificação de atributos do usuário, como idade ou jurisdição, sem exigir que as plataformas acessem ou retenham documentos de identificação.
“Os usuários mantêm credenciais criptografadas em suas carteiras locais, enquanto fornecedores de identidade certificados mantêm cópias seguras para conformidade", disse Kabra. "Se o Discord tivesse usado credenciais ZK para verificação de idade, em vez de armazenar scans de ID, a violação recente não teria exposto dados pessoais de identificação.”
Arthur Firstov, Diretor Comercial da Mercuryo, disse que o caso do Discord ilustra como bancos de dados centralizados continuam a ser alvos atraentes para atacantes.
“Uma vez que informações sensíveis são mantidas em um banco de dados, ele se torna um alvo”, ele disse, acrescentando que as ZKPs oferecem um caminho para evitar isso, permitindo a verificação sem coleta de detalhes pessoais.
“Com ZKPs, uma plataforma poderia confirmar que alguém atende a certos requisitos, mas os dados reais nunca saem do controle do usuário. Isso significa que não há nada valioso para roubar em primeiro lugar.”
Para muitos defensores da privacidade e profissionais de segurança, a violação também reforça a necessidade de reconstruir a confiança digital por meio de sistemas de verificação que priorizam a privacidade.
Firstov acrescentou que o uso mais amplo da tecnologia de conhecimento zero poderia ajudar a alcançar isso.
“A privacidade é o que dá às pessoas e empresas confiança para interagir online, e a tecnologia de conhecimento zero permite isso ao provar confiança sem revelar informações", ele disse.
Wes Kaplan, CEO da G-Knot, disse que a violação exemplifica uma fraqueza previsível no cenário da identidade digital.
“Coletar dados sensíveis centralizados é uma responsabilidade”, ele disse.
Kaplan observou que se o processo de verificação de idade do Discord tivesse se baseado em atestações criptográficas em vez de uploads de documentos, não haveria um banco de dados explorável de IDs pessoais.
“Para plataformas amplamente usadas, a transição para verificação de identidade habilitada para ZK não é mais teórica; está se tornando necessária”, ele acrescentou. “Em um mundo onde violações de dados são inevitáveis, a única defesa real é tornar a identidade inrastreável.”
O Discord, que tem mais de 200 milhões de usuários ativos mensais, tem utilizado ferramentas de garantia de idade facial em mercados como o Reino Unido e a Austrália.
Sob os regulamentos australianos futuros para mídias sociais de menores de 16 anos, espera-se que as plataformas ofereçam várias opções de verificação de idade e processos de apelação.
Mas especialistas dizem que, a menos que o setor se afaste completamente dos sistemas de verificação baseados em documentos, violações desse tipo continuarão a expor usuários a riscos desnecessários.