A violação de dados do Discord que expôs imagens de documentos de identidade governamentais gerou um novo escrutínio sobre os sistemas de verificação centralizados, com vários especialistas do setor apontando para as provas de conhecimento zero (ZKPs) como uma alternativa viável ao armazenamento de dados de identidade sensíveis.
A empresa confirmou que um ator não autorizado obteve acesso aos sistemas de um provedor de serviço de atendimento ao cliente terceirizado, expondo dados de um número limitado de usuários, segundo reportado pelo The Guardian.
Entre as informações comprometidas estavam nomes de usuário, e-mails, detalhes de cobrança, endereços de IP e, em alguns casos, imagens de documentos de identidade governamentais, como passaportes e carteiras de motorista, submetidos para verificação de idade.
O Discord disse que revogou o acesso do provedor e envolveu as autoridades policiais após o incidente.
Figuras da indústria afirmam que a violação revela um problema mais amplo em como as plataformas online lidam com a verificação de identidade, enraizado na prática de coletar e armazenar documentos pessoais.
Em entrevista ao Yellow.com, Varun Kabra, Diretor de Crescimento da Concordium, observou que tais riscos podem ser significativamente reduzidos quando as plataformas evitam armazenar informações sensíveis por completo.
Ele explicou que sistemas de prova de conhecimento zero permitem a verificação de atributos dos usuários, como idade ou jurisdição, sem exigir que as plataformas acessem ou retenham documentos de identificação.
“Os usuários mantêm credenciais criptografadas em suas carteiras locais, enquanto provedores de identidade certificados guardam cópias seguras para conformidade”, disse Kabra. “Se o Discord tivesse usado credenciais ZK para verificação de idade em vez de armazenar digitalizações de documentos de identidade, a violação recente não teria exposto dados pessoais.”
Arthur Firstov, Diretor de Negócios da Mercuryo, disse que o caso do Discord ilustra como bancos de dados centrais continuam a ser alvos atraentes para atacantes.
“Uma vez que informações sensíveis são mantidas em um banco de dados, tornam-se um alvo”, acrescentou, destacando que os ZKPs oferecem um caminho para prevenir isso permitindo a verificação sem a coleta de detalhes pessoais.
“Com ZKPs, uma plataforma poderia confirmar que alguém atende a certos requisitos, mas os dados reais nunca saem do controle do usuário. Isso significa que não há nada de valor para roubar desde o início.”
Para muitos defensores da privacidade e profissionais de segurança, a violação também reforça a necessidade de reconstruir a confiança digital através de sistemas de verificação com foco na privacidade.
Firstov adicionou que o uso mais amplo da tecnologia de conhecimento zero pode ajudar a alcançar isso.
“A privacidade é o que dá confiança às pessoas e empresas para interagir online, e a tecnologia de conhecimento zero viabiliza isso ao provar confiança sem revelar informações”, disse ele.
Wes Kaplan, CEO da G-Knot, disse que a violação exemplifica uma fraqueza previsível no panorama da identidade digital.
“Coletar dados sensíveis centralizados é uma responsabilidade”, afirmou.
Kaplan observou que se o processo de verificação de idade do Discord tivesse confiado em atestações criptográficas em vez do upload de documentos, não haveria um banco de dados explorável de IDs pessoais.
“Para plataformas amplamente utilizadas, a transição para verificação de identidade habilitada por ZK não é mais teórica; está se tornando necessária”, acrescentou. “Em um mundo onde violações de dados são inevitáveis, a única defesa real é tornar a identidade inroubável.”
O Discord, que possui mais de 200 milhões de usuários ativos mensais, tem usado ferramentas de garantia de idade facial em mercados como o Reino Unido e a Austrália.
Sob os próximos regulamentos de mídias sociais para menores de 16 anos na Austrália, espera-se que as plataformas ofereçam várias opções de verificação de idade e processos de recurso.
Mas especialistas dizem que, a menos que o setor se afaste completamente de sistemas de verificação baseados em documentos, violações desse tipo continuarão a expor usuários a riscos desnecessários.