Devlet kimlik görüntülerini ifşa eden Discord veri ihlali, merkezi doğrulama sistemlerini yeniden incelemeye neden oldu ve birkaç sektör uzmanı, hassas kimlik verilerini depolamanın yerine geçebilecek sıfır bilgi kanıtlarını (ZKP'ler) işaret etti.
Şirket, yetkisiz bir kişinin, The Guardian'ın bildirdiğine göre, üçüncü taraf bir müşteri hizmetleri sağlayıcısının sistemine erişim sağladığını ve sınırlı sayıda kullanıcının bilgilerini ifşa ettiğini doğruladı.
Tehlikeye atılan bilgiler arasında kullanıcı adları, e-postalar, fatura detayları, IP adresleri ve bazı durumlarda yaş doğrulaması için gönderilen pasaport ve ehliyet gibi devlet kimlik görüntüleri vardı.
Discord, olayın ardından sağlayıcının erişimini iptal edip kolluk kuvvetlerini devreye soktuğunu belirtti.
Sektör yetkilileri, ihlalin çevrimiçi platformların kimlik doğrulama süreçlerini ele alış biçiminde daha geniş bir sorunu ortaya çıkardığını, bunun kişisel belgelerin toplanması ve saklanmasına dayandığını söylüyor.
Yellow.com ile konuşan Concordium'un Büyüme Sorumlusu Varun Kabra, platformların hassas bilgileri hiç saklamadığında bu risklerin önemli ölçüde azaltılabileceğine dikkat çekti.
Kabra, sıfır bilgi kanıt sistemlerinin yaş veya yetki alanı gibi kullanıcı özelliklerini doğrulamasını, platformların kimlik belgelerine erişim sağlamasına veya bunları elde tutmasına gerek kalmadan mümkün kıldığını açıkladı.
"Kullanıcılar, yerel cüzdanlarında şifreli kimlik bilgilerini saklarken, belgelenmiş kimlik sağlayıcılar uyum için güvenli kopyalar tutar," dedi Kabra. "Eğer Discord, yaş doğrulaması için kimlik taramalarını saklamak yerine ZK kimlik bilgilerini kullanmış olsaydı, son ihlal, kişisel tanımlayıcı hiçbir veriyi ifşa etmezdi."
Mercuryo'nun baş iş sorumlusu Arthur Firstov, Discord örneğinin merkezi veritabanlarının saldırganlar için nasıl cazip hedefler olmayı sürdürdüğünü gösterdiğini söyledi.
"Bir kez hassas bilgiler bir veritabanında tutulduğunda, bir hedef haline gelir," dedi ve ZKP'lerin kişisel detayların toplanmamasını sağlayarak bunu önlemek için bir yol sunduğunu ekledi.
"ZKP'lerle, bir platform birinin belirli gereksinimleri karşıladığını onaylayabilir ama asıl veri hiçbir zaman kullanıcının kontrolünden çıkmaz. Bu, baştan çalınacak değerli bir şey olmadığı anlamına gelir."
Birçok gizlilik savunucusu ve güvenlik uzmanı için, ihlal ayrıca gizlilik odaklı doğrulama sistemleri aracılığıyla dijital güveni yeniden inşa etme ihtiyacını pekiştiriyor.
Firstov, sıfır bilgi teknolojisinin yaygın kullanımının bunu başarmaya yardımcı olabileceğini ekledi.
"Gizlilik, insanların ve işletmelerin çevrimiçi etkileşime girmelerine güven verir ve sıfır bilgi teknolojisi, bilgiyi açıklamadan güveni ispatlayarak bunu sağlar," dedi.
G-Knot'un CEO'su Wes Kaplan, ihlal, dijital kimlik alanındaki öngörülebilir bir zayıflığın örneğini sunduğunu söyledi.
"Merkezi, hassas verilerin toplanması bir yükümlülüktür," dedi.
Kaplan, Discord'un yaş doğrulama süreci belgelerin yüklenmesi yerine kriptografik onaylara dayansaydı, yararlanılabilecek kişisel kimlik veritabanının olmayacağını belirtti.
"Geniş çapta kullanılan platformlar için, ZK özellikli kimlik doğrulama geçişi artık teorik değil; zorunlu hale geliyor," diye ekledi. "Veri ihlallerinin kaçınılmaz olduğu bir dünyada, tek gerçek savunma, kimliği çalınamaz kılmaktır."
Discord, İngiltere ve Avustralya gibi pazarlarda yüz tanıma esaslı yaş doğrulama araçları kullanıyor ve aylık 200 milyondan fazla aktif kullanıcıya sahip.
Avustralya'nın yaklaşmakta olan 16 yaş altı sosyal medya düzenlemeleri kapsamında, platformların birden fazla yaş doğrulama seçeneği ve temyiz süreçleri sunması bekleniyor.
Ancak uzmanlar, sektör belgeler üzerinden doğrulama sistemlerinden tamamen vazgeçmedikçe bu tür ihlallerin kullanıcılara gereksiz riskler oluşturmayı sürdüreceğini söylüyor.