Devlet kimlik görüntülerinin açığa çıktığı Discord veri ihlali, merkezi doğrulama sistemlerinin yeniden incelenmesine yol açtı ve birçok sektör uzmanı, hassas kimlik verilerini saklamaya alternatif olarak sıfır bilgi ispatlarını (ZKP'ler) işaret ediyor.
Şirket, izinsiz bir kişinin üçüncü parti müşteri hizmetleri sağlayıcısının sistemlerine erişim sağladığını ve The Guardian'a göre sınırlı sayıda kullanıcının verilerini ifşa ettiğini doğruladı.
İhlal edilen bilgiler arasında kullanıcı adları, e-postalar, fatura detayları, IP adresleri ve bazı durumlarda yaş doğrulaması için gönderilen pasaport ve ehliyet gibi devlet kimlik görüntüleri yer aldı.
Discord, olayın ardından sağlayıcının erişimini iptal ettiğini ve kolluk kuvvetlerini devreye soktuğunu söyledi.
Sektör figürleri, ihlalin, çevrimiçi platformların kimlik doğrulamasını nasıl ele aldığı konusunda daha geniş bir sorunu ortaya koyduğunu, bunun kişisel belgelerin toplanması ve saklanmasına dayandığını söylüyor.
Yellow.com ile konuşan Concordium Büyüme Sorumlusu Varun Kabra, platformların hassas bilgileri hiç saklamaktan kaçınmaları durumunda bu tür risklerin önemli ölçüde azaltılabileceğini belirtti.
ZKP sistemlerinin, platformların kimlik belgelerine erişmesine veya saklamasına gerek kalmadan kullanıcı özelliklerinin, örneğin yaş veya yargı alanı, doğrulanmasını sağladığını açıkladı.
“Kullanıcılar şifrelenmiş kimlik bilgilerini yerel cüzdanlarında tutarken, sertifikalı kimlik sağlayıcılar uyum için güvenli kopyalar tutuyor,” dedi Kabra. “Discord yaş doğrulaması için ID taramalarını saklamak yerine ZK kimlik bilgileri kullansaydı, yakın zamanda yapılan ihlal hiçbir kişisel kimlik verisini ifşa etmezdi.”
Mercuryo Ticaret Sorumlusu Arthur Firstov, Discord vakasının iç veritabanlarının saldırganlar için çekici hedefler olmaya devam ettiğini gösterdiğini söyledi.
“Hassas bilgi bir veritabanında tutulduğunda, bir hedef haline gelir,” dedi ve ZKP'lerin kişisel bilgilerin toplanmadan doğrulamasıyla bunu önleme yolunu sunduğunu ekledi.
“ZKP'lerle, bir platform birinin belirli gereklilikleri karşıladığını doğrulayabilir, ancak gerçek veriler asla kullanıcının kontrolünden çıkmaz. Bu da çalınacak değerli bir şey olmadığını gösterir.”
Birçok gizlilik savunucusu ve güvenlik uzmanı için ihlal, gizlilik odaklı doğrulama sistemleri üzerinden dijital güvenin yeniden inşa edilmesi gerekliliğini de pekiştiriyor.
Firstov, sıfır bilgi teknolojisinin daha yaygın kullanımının bunu başarmaya yardımcı olabileceğini ekledi.
“Gizlilik, insanların ve işletmelerin çevrimiçi etkileşimde bulunma güvenini verir ve sıfır bilgi teknolojisi, bilgiyi açıklamadan güveni sağlayarak bunu mümkün kılar,” dedi.
G-Knot CEO'su Wes Kaplan, ihlalin dijital kimlik manzarasında öngörülebilir bir zayıflığı örneklediğini söyledi.
“Merkezi, hassas verilerin toplanması bir yükümlülüktür,” dedi.
Kaplan, Discord'un yaş doğrulama süreci belge yüklemeleri yerine kriptografik beyanlara dayanmış olsaydı, kişisel kimliklerin istismar edilebileceği bir veritabanı olmayacağını belirtti.
“Geniş çapta kullanılan platformlar için ZK özellikli kimlik doğrulama geçişi artık teorik değil; gerekli hale geliyor,” dedi. “Veri ihlallerinin kaçınılmaz olduğu bir dünyada, tek gerçek savunma kimliğin çalınamayacak hale getirilmesidir.”
Aylık 200 milyonun üzerinde aktif kullanıcısı olan Discord, İngiltere ve Avustralya gibi pazarlarda yüz tanıma yaş doğrulama araçları kullanıyor.
Avustralya'nın yürürlükteki 16 yaş altı sosyal medya düzenlemeleri kapsamında, platformların birden fazla yaş doğrulama seçeneği ve itiraz süreçleri sunması bekleniyor.
Ancak uzmanlar, endüstri tamamen belge tabanlı doğrulama
sistemlerinden uzaklaşmadıkça, bu tür ihlallere devam edileceğini,
kullanıcıları gereksiz risklere maruz bırakacağını belirtiyor.