A violação de dados do Discord que expôs imagens de ID governamentais renovou o escrutínio sobre sistemas de verificação centralizados, com vários especialistas da indústria apontando para as provas de conhecimento zero (ZKPs) como uma alternativa viável ao armazenamento de dados sensíveis de identidade.
A empresa confirmou que um ator não autorizado teve acesso aos sistemas de um provedor de serviço ao cliente terceirizado, expondo dados de um número limitado de usuários, informou o The Guardian.
Entre as informações comprometidas estavam nomes de usuário, e-mails, detalhes de cobrança, endereços IP e, em alguns casos, imagens de identificação governamental, como passaportes e carteiras de motorista enviadas para verificação de idade.
O Discord disse que revogou o acesso do provedor e acionou as autoridades após o incidente.
Figuras da indústria dizem que a violação revela um problema mais amplo em como as plataformas online lidam com a verificação de identidade, enraizado na prática de coleta e armazenamento de documentos pessoais.
Em conversa com a Yellow.com, Varun Kabra, Diretor de Crescimento da Concordium, destacou que esses riscos podem ser significativamente reduzidos quando as plataformas evitam armazenar informações sensíveis por completo.
Ele explicou que os sistemas de prova de conhecimento zero permitem a verificação de atributos do usuário, como idade ou jurisdição, sem exigir que as plataformas acessem ou retenham documentos de identificação.
“Os usuários mantêm credenciais criptografadas em suas carteiras locais, enquanto os provedores de identidade certificados mantêm cópias seguras para conformidade”, disse Kabra. “Se o Discord tivesse usado credenciais ZK para verificação de idade em vez de armazenar digitalizações de ID, a violação recente não teria exposto dados pessoais de identificação.”
Arthur Firstov, Diretor de Negócios da Mercuryo, disse que o caso do Discord ilustra como bancos de dados centralizados continuam a ser alvos atraentes para atacantes.
“Uma vez que as informações sensíveis estão em um banco de dados, elas se tornam um alvo”, disse ele, acrescentando que os ZKPs oferecem um caminho para prevenir isso, permitindo a verificação sem coleta de detalhes pessoais.
“Com os ZKPs, uma plataforma poderia confirmar que alguém atende a certos requisitos, mas os dados reais nunca saem do controle do usuário. Isso significa que não há nada valioso para roubar em primeiro lugar.”
Para muitos defensores da privacidade e profissionais de segurança, a violação também reforça a necessidade de reconstruir a confiança digital através de sistemas de verificação que priorizem a privacidade.
Firstov acrescentou que o uso mais amplo da tecnologia de conhecimento zero poderia ajudar a alcançar isso.
“Privacidade é o que dá confiança a pessoas e empresas para interagir online, e a tecnologia de conhecimento zero permite isso provando confiança sem revelar informações”, disse ele.
Wes Kaplan, CEO da G-Knot, disse que a violação exemplifica uma fraqueza previsível no cenário da identidade digital.
“Coletar dados centralizados e sensíveis é uma responsabilidade”, disse ele.
Kaplan observou que, se o processo de verificação de idade do Discord tivesse se baseado em atestações criptográficas em vez de upload de documentos, não haveria um banco de dados explorável de IDs pessoais.
“Para plataformas amplamente usadas, a transição para verificação de identidade habilitada por ZK já não é mais teórica; está se tornando necessária”, acrescentou. “Em um mundo onde as violações de dados são inevitáveis, a única defesa real é tornar a identidade inesquecível.”
O Discord, que tem mais de 200 milhões de usuários ativos mensais, tem usado ferramentas de garantia de idade facial em mercados como o Reino Unido e a Austrália.
Sob a próxima regulamentação de mídias sociais para menores de 16 anos na Austrália, espera-se que as plataformas ofereçam múltiplas opções de verificação de idade e processos de recurso.
Mas especialistas dizem que, a menos que a indústria se afaste totalmente dos sistemas de verificação baseados em documentos, violações desse tipo continuarão expondo usuários a riscos desnecessários.