A violação de dados do Discord que expôs imagens de documentos de identidade governamentais suscitou um exame renovado dos sistemas de verificação centralizados, com vários especialistas do setor apontando provas de conhecimento zero (ZKPs) como uma alternativa viável para armazenar dados de identidade sensíveis.
A empresa confirmou que um agente não autorizado teve acesso aos sistemas de um fornecedor terceirizado de serviços ao cliente, expondo dados de um número limitado de usuários, informou o The Guardian.
Entre as informações comprometidas estavam nomes de usuário, e-mails, detalhes de faturamento, endereços IP e, em alguns casos, imagens de documentos de identidade governamentais, como passaportes e carteiras de motorista, submetidos para verificação de idade.
O Discord informou que revogou o acesso do fornecedor e acionou as autoridades após o incidente.
Especialistas do setor dizem que a violação revela um problema mais amplo em como as plataformas online lidam com a verificação de identidade, enraizado na prática de coletar e armazenar documentos pessoais.
Falando ao Yellow.com, Varun Kabra, Chefe de Crescimento da Concordium, observou que tais riscos podem ser significativamente reduzidos quando as plataformas evitam armazenar informações sensíveis por completo.
Ele explicou que os sistemas de prova de conhecimento zero permitem a verificação de atributos do usuário, como idade ou jurisdição, sem exigir que as plataformas acessem ou retenham documentos de identificação.
“Os usuários mantêm credenciais criptografadas em suas carteiras locais, enquanto provedores de identidade certificados mantêm cópias seguras para conformidade,” disse Kabra. “Se o Discord tivesse usado credenciais ZK para verificação de idade em vez de armazenar escaneamentos de ID, a recente violação não teria exposto dados pessoais de identificação."
Arthur Firstov, Diretor Comercial da Mercuryo, disse que o caso do Discord ilustra como os bancos de dados centrais continuam sendo alvos atraentes para atacantes.
“Uma vez que informações sensíveis são mantidas em um banco de dados, se tornam um alvo,” ele disse, acrescentando que as ZKPs oferecem um caminho para prevenir isso, permitindo verificação sem coleta de detalhes pessoais.
“Com ZKPs, uma plataforma poderia confirmar que alguém atende a certos requisitos, mas os dados reais nunca saem do controle do usuário. Isso significa que não há nada valioso para roubar em primeiro lugar.”
Para muitos defensores da privacidade e profissionais de segurança, a violação também reforça a necessidade de reconstruir a confiança digital por meio de sistemas de verificação focados na privacidade.
Firstov acrescentou que o uso mais amplo da tecnologia de conhecimento zero poderia ajudar a alcançar isso.
“A privacidade é o que dá confiança às pessoas e empresas para interagir online, e a tecnologia de conhecimento zero permite isso ao provar confiança sem revelar informações,” ele disse.
Wes Kaplan, CEO da G-Knot, disse que a violação exemplifica uma fraqueza previsível no cenário de identidade digital.
“Coletar dados centralizados e sensíveis é uma responsabilidade,” ele disse.
Kaplan observou que se o processo de verificação de idade do Discord tivesse se baseado em atestações criptográficas em vez de uploads de documentos, não haveria um banco de dados explorável de IDs pessoais.
“Para plataformas amplamente utilizadas, a transição para verificação de identidade habilitada por ZK não é mais teórica; está se tornando necessária,” ele acrescentou. “Em um mundo onde as violações de dados são inevitáveis, a única defesa real é tornar a identidade irroubável.”
O Discord, que possui mais de 200 milhões de usuários ativos mensais, tem usado ferramentas de garantia de idade facial em mercados como o Reino Unido e a Austrália.
Segundo os futuros regulamentos de mídia social para menores de 16 anos na Austrália, espera-se que as plataformas ofereçam múltiplas opções de verificação de idade e processos de apelação.
Mas especialistas dizem que, a menos que a indústria abandone completamente os sistemas de verificação baseados em documentos, violações desse tipo continuarão expondo os usuários a riscos desnecessários.