Утечка данных Discord, в результате которой были раскрыты изображения удостоверений личности, вызвала усиленное внимание к централизованным системам верификации, и некоторые эксперты отрасли указывают на доказательства с нулевым разглашением (ZKP) как жизнеспособную альтернативу хранению конфиденциальных данных.
Как сообщает The Guardian, компания подтвердила, что несанкционированный пользователь получил доступ к системам стороннего поставщика услуг поддержки клиентов, что привело к раскрытию данных ограниченного числа пользователей.
Среди скомпрометированной информации были имена пользователей, электронная почта, платежные данные, IP-адреса и, в некоторых случаях, изображения государственных удостоверений личности, такие как паспорта и водительские права, представленные для подтверждения возраста.
Discord заявила, что аннулировала доступ поставщика и обратилась в правоохранительные органы после инцидента.
Представители отрасли утверждают, что утечка выявляет более широкую проблему в том, как онлайн-платформы обрабатывают проверку идентификации, которая коренится в практике сбора и хранения личных документов.
В разговоре с Yellow.com Варун Кабра, главный директор по развитию Concordium, отметил, что такие риски можно значительно снизить, если платформы вообще не хранят конфиденциальную информацию.
Он пояснил, что системы доказательств с нулевым разглашением позволяют проверить атрибуты пользователя, такие как возраст или юрисдикция, без необходимости доступа к идентификационным документам платформы или их хранения.
«Пользователи хранят зашифрованные учетные данные в своих локальных кошельках, в то время как сертифицированные поставщики удостоверений хранят защищенные копии для соблюдения требований», — сказал Кабра. «Если бы Discord использовал ZK-учетные данные для проверки возраста вместо хранения сканов удостоверений, в недавней утечке не было бы раскрыто никаких личных данных».
Артур Фирстов, главный директор по бизнесу в Mercuryo, заявил, что случай с Discord иллюстрирует, как центральные базы данных продолжают представлять собой привлекательные цели для атакующих.
«Как только конфиденциальная информация оказывается в базе данных, она становится целью», — сказал он, добавив, что ZKPs предлагают путь к предотвращению этого, позволяя верификацию без сбора личных данных.
«С помощью ZKPs платформа могла бы подтвердить, что кто-то соответствует определенным требованиям, но реальные данные никогда не покидают контроль пользователя. Это значит, что в первую очередь нечего красть».
Для многих защитников конфиденциальности и специалистов по безопасности утечка также усиливает необходимость восстановления доверия к цифровым системам через системы верификации, ориентированные на конфиденциальность.
Фирстов добавил, что более широкое использование технологий доказательств с нулевым разглашением может помочь в этом.
«Конфиденциальность дает людям и бизнесу уверенность в взаимодействии в Интернете, и технология с нулевым разглашением позволяет это, демонстрируя доверие без раскрытия информации», — сказал он.
Уэс Каплан, генеральный директор G-Knot, заявил, что утечка демонстрирует предсказуемую слабость в области цифровой идентификации.
«Сбор централизованных, конфиденциальных данных является риском», — сказал он.
Каплан отметил, что если бы процесс верификации возраста Discord основывался на криптографических свидетельствах, а не на загрузке документов, не было бы уязвимой базы данных с личными удостоверениями.
«Для широко используемых платформ переход на проверку идентификаций с поддержкой ZK больше не является теоретическим; он становится необходимым», — добавил он. «В мире, где утечки данных неизбежны, единственной реальной защитой является сделать идентификацию не поддающейся краже».
Discord, у которого более 200 миллионов активных пользователей в месяц, использует технологии проверки возраста по лицу на таких рынках, как Великобритания и Австралия.
Согласно предстоящим правилам социальных сетей для подростков младше 16 лет в Австралии, платформам предлагается предлагать несколько вариантов проверки возра""stretched" и апелляционные процессы.
Но эксперты говорят, что если отрасль полностью не откажется от систем верификации на основе документов, утечки такого рода продолжат подвергать пользователей ненужному риску.