การแฮ็กข้อมูลใน Discord ที่เผยแพร่ภาพบัตรประจำตัวของรัฐบาลได้กระตุ้นให้เกิดการตรวจสอบระบบการยืนยันตัวตนที่รวมศูนย์ใหม่ โดยผู้เชี่ยวชาญหลายคนชี้ถึงการพิสูจน์แบบ zero-knowledge (ZKPs) ว่าเป็นทางเลือกที่น่าเชื่อถือกว่าการจัดเก็บข้อมูลอัตลักษณ์ที่อ่อนไหว
บริษัทได้ยืนยันว่าแฮ็กเกอร์ที่ไม่ได้รับอนุญาตได้เข้าถึงระบบของผู้ให้บริการลูกค้าภายนอก เผยแพร่ข้อมูลของผู้ใช้บางราย โดย The Guardian รายงานข่าวนี้
ในบรรดาข้อมูลที่ถูกละเมิดรวมถึงชื่อผู้ใช้ อีเมล รายละเอียดการเรียกเก็บเงิน ที่อยู่ IP และในบางกรณี ภาพบัตรประจำตัวของรัฐบาล เช่น หนังสือเดินทางและใบขับขี่ที่ส่งมาเพื่อยืนยันอายุ
Discord กล่าวว่าบริษัทยกเลิกการเข้าถึงของผู้ให้บริการนั้นและได้ติดต่อกับหน่วยงานบังคับใช้กฎหมายหลังจากเกิดเหตุการณ์นี้
ตัวแทนอุตสาหกรรมระบุว่าการละเมิดนี้เป็นการชี้เห็นปัญหาที่กว้างขึ้นในวิธีที่แพลตฟอร์มออนไลน์จัดการยืนยันตัวตน ซึ่งมีรากฐานมาจากการปฏิบัติในการเก็บและจัดเก็บเอกสารส่วนบุคคล
โดยให้สัมภาษณ์กับ Yellow.com คุณ Varun Kabra, Chief Growth Officer ที่ Concordium กล่าวว่า ความเสี่ยงเช่นนี้สามารถลดลงได้อย่างมากเมื่อแพลตฟอร์มหลีกเลี่ยงการเก็บข้อมูลที่อ่อนไหวอย่างสิ้นเชิง
เขาอธิบายว่าระบบ zero-knowledge proof ช่วยให้การยืนยันคุณลักษณะของผู้ใช้ เช่น อายุ หรือ เขตอำนาจเสร็จสิ้นได้โดยไม่ต้องให้แพลตฟอร์มเข้าถึงหรือคงเอกสารในการยืนยันตัวตนใดๆ
“ผู้ใช้จะเก็บข้อมูลเข้ารหัสไว้ในกระเป๋าเงินท้องถิ่น ในขณะที่ผู้ให้บริการตัวตนที่ได้รับการรับรองจะเก็บสำเนาที่ปลอดภัยไว้เพื่อการปฏิบัติตาม” คุณ Kabra กล่าว “ถ้า Discord ใช้ ZK credentials เพื่อยืนยันอายุแทนการเก็บภาพที่สแกนบัตรประจำตัว เหตุการณ์ละเมิดครั้งล่าสุดนี้คงจะไม่มีการเผยแพร่ข้อมูลการยืนยันตัวบุคคล”
คุณ Arthur Firstov, Chief Business Officer ที่ Mercuryo กล่าวว่ากรณีของ Discord เป็นการแสดงให้เห็นถึงการที่ฐานข้อมูลรวมศูนย์เป็นเป้าหมายที่น่าดึงดูดสำหรับผู้โจมตี
“เมื่อข้อมูลที่อ่อนไหวถูกเก็บไว้ในฐานข้อมูล มันกลายเป็นเป้าหมาย” เขากล่าว พร้อมเสริมว่า ZKPs เป็นเส้นทางหนึ่งที่จะป้องกันสิ่งนี้โดยการให้มีการยืนยันโดยไม่ต้องเก็บรวบรวมรายละเอียดส่วนบุคคล
“ด้วย ZKPs แพลตฟอร์มสามารถยืนยันว่ามีการปฏิบัติตามข้อกำหนดบางอย่าง แต่ข้อมูลจริงจะไม่ออกจากการควบคุมของผู้ใช้ นั่นหมายความว่าไม่มีอะไรมีค่าที่จะขโมยตั้งแต่แรก”
สำหรับผู้ที่สนับสนุนความเป็นส่วนตัวและนักวิชาชีพที่มีความปลอดภัย เหตุการณ์ละเมิดนี้ยังกระตุ้นให้เกิดความจำเป็นในการสร้างความไว้วางใจในข้อมูลทางดิจิทัลผ่านระบบยืนยันตัวตนที่เน้นความเป็นส่วนตัว
คุณ Firstov เสริมว่าการใช้เทคโนโลยี zero-knowledge ในวงกว้างขึ้นสามารถช่วยบรรลุสิ่งนั้นได้
“ความเป็นส่วนตัวคือสิ่งที่ให้ความมั่นใจเพื่อให้ผู้คนและธุรกิจมีปฏิสัมพันธ์ออนไลน์ และเทคโนโลยี zero-knowledge ทำให้เกิดความเชื่อมั่นโดยไม่ต้องเปิดเผยข้อมูล” เขากล่าว
คุณ Wes Kaplan, CEO ที่ G-Knot กล่าวว่าเหตุการณ์ละเมิดนี้เป็นตัวอย่างของจุดอ่อนที่คาดหมายได้ในภูมิทัศน์อัตลักษณ์ดิจิทัล
“การเมกข้อมูลกลางที่อ่อนไหวเป็นภาระ” เขากล่าว
คุณ Kaplan กล่าวว่าถ้ากระบวนการยืนยันอายุของ Discord ใช้การยืนยันจากการเข้ารหัสแทนที่จะอัพโหลดเอกสาร จะไม่มีฐานข้อมูลที่ถูกแสวงหาประโยชน์จากการขโมยบัตรประจำตัวส่วนบุคคล
“สำหรับแพลตฟอร์มที่มีผู้ใช้จำนวนมาก การเปลี่ยนไปใช้การยืนยันตัวตนด้วย ZK ไม่ใช่เรื่องในทางทฤษฎีอีกต่อไป แต่มันกลายเป็นความจำเป็น” เขาเสริม “ในโลกที่การเกิดการละเมิดข้อมูลเป็นสิ่งที่หลีกเลี่ยงไม่ได้ การป้องกันจริงเพียงอย่างเดียวคือทำให้การยืนยันตัวตนเป็นสิ่งที่ไม่สามารถขโมยได้”
Discord ซึ่งมีผู้ใช้งานมากกว่า 200 ล้านคนต่อเดือน ได้ใช้เครื่องมือยืนยันอายุด้วยสแกนใบหน้าในตลาด เช่น สหราชอาณาจักรและออสเตรเลีย
ภายใต้ข้อบังคับสื่อสังคมออนไลน์สำหรับผู้ที่อายุต่ำกว่า 16 ปีของออสเตรเลียที่กำลังจะมาถึง แพลตฟอร์มต่างๆ จะต้องเสนอตัวเลือกการยืนยันอายุหลากหลายแบบและกระบวนการอุทธรณ์
แต่ผู้เชี่ยวชาญกล่าวว่า ถ้าหากอุตสาหกรรมยังไม่เปลี่ยนผ่านจากระบบการยืนยันตัวตนที่พึ่งพาเอกสาร การละเมิดเหล่านี้จะยังคงทำให้ผู้ใช้เสี่ยงโดยไม่จำเป็น