Утечка данных Discord, раскрывающая изображения удостоверений личности, побуждает к пересмотру централизованных систем верификации, и ряд экспертов индустрии указывают на доказательства с нулевым разглашением (ZKP) как на жизнеспособную альтернативу хранению конфиденциальных данных личности.
Компания подтвердила, что несанкционированный субъект получил доступ к системам стороннего поставщика услуг, что привело к утечке данных ограниченного числа пользователей, сообщил The Guardian.
Среди компрометированных данных были имена пользователей, электронная почта, платежные данные, IP-адреса, а в некоторых случаях — изображения удостоверений личности, таких как паспорта и водительские удостоверения, представленные для проверки возраста.
Discord заявила, что отменила доступ поставщика и привлекла правоохранительные органы после инцидента.
Представители индустрии говорят, что утечка выявляет более широкую проблему в том, как онлайн-платформы обрабатывают верификацию личности, коренящуюся в практике сбора и хранения личных документов.
В интервью Yellow.com Варан Кабра, главный директор по развитию в Concordium, отметил, что такие риски могут быть значительно уменьшены, если платформы будут избегать хранения чувствительной информации вообще.
Он объяснил, что системы доказательств с нулевым разглашением позволяют верифицировать атрибуты пользователей, такие как возраст или юрисдикция, без необходимости для платформ получать или хранить удостоверяющие документы.
"Пользователи хранят зашифрованные учетные данные в своих локальных кошельках, в то время как сертифицированные поставщики удостоверений хранят безопасные копии для соблюдения требований", — сказал Кабра. "Если бы Discord использовала ZK-учетные данные для проверки возраста, а не хранила сканы удостоверений, недавняя утечка не раскрыла бы никаких данных личной идентификации."
Артур Фирстов, главный бизнес-директор в Mercuryo, сказал, что случай с Discord иллюстрирует, как центральные базы данных продолжают быть привлекательной целью для атакующих.
"Как только конфиденциальная информация оказывается в базе данных, она становится мишенью", — сказал он, добавив, что ZKP предлагают путь к предотвращению этого, позволяя верификацию без сбора личных данных.
"С помощью ZKP платформа могла бы подтвердить, что кто-то соответствует определенным требованиям, но фактические данные никогда не покидали бы контроль пользователя. Это значит, что украсть будет нечего."
Для многих защитников конфиденциальности и специалистов по безопасности утечка также подчеркивает необходимость восстановления цифрового доверия через системы верификации, ориентированные на конфиденциальность.
Фирстов добавил, что широкое использование технологии нулевого знания может помочь в этом.
"Конфиденциальность дает людям и бизнесу уверенность в взаимодействии в Интернете, а технологии нулевого знания обеспечивают это, подтверждая доверие без раскрытия информации", — сказал он.
Уэс Каплан, генеральный директор G-Knot, сказал, что утечка является примером предсказуемой слабости в ландшафте цифровой идентификации.
"Сбор централизованных, конфиденциальных данных — это ответственность," — сказал он.
Каплан отметил, что если бы процесс проверки возраста Discord полагался на криптографические подтверждения, а не на загрузку документов, не существовало бы эксплуатируемой базы данных личных удостоверений.
"Для широко используемых платформ переход к проверке идентичности на основе ZK больше не теоретическая концепция; это становится необходимостью," — добавил он. "В мире, где утечки данных неизбежны, единственная реальная защита — это сделать личность несовместимой для кражи."
Discord, у которой более 200 миллионов активных пользователей в месяц, использует инструменты проверки возраста по лицу на рынках таких как Великобритания и Австралия.
Согласно предстоящим социальным медиа-регламентам в Австралии для лиц младше 16 лет, платформы должны предлагать несколько вариантов проверки возраста и процедуры апелляции.
Но эксперты говорят, что пока индустрия полностью не откажется от систем верификации на основе документов, такие утечки продолжат подвергать пользователей ненужному риску.