Порушення безпеки даних Discord, яке викрило зображення урядових посвідчень, викликало нову увагу до централізованих систем верифікації, і декілька галузевих експертів вказують на докази з нульовими знаннями (ZKPs) як життєздатну альтернативу зберіганню конфіденційних ідентифікаційних даних.
Компанія підтвердила, що несанкціонований актор отримав доступ до систем стороннього постачальника послуг клієнтам, розкривши обмежену кількість даних користувачів, повідомляє The Guardian.
Серед компрометованої інформації були імена користувачів, електронні адреси, платіжні дані, IP-адреси і, в деяких випадках, зображення урядових посвідчень, таких як паспорти та водійські права, надані для перевірки віку.
Discord заявив, що скасував доступ постачальника і залучив правоохоронні органи після інциденту.
Представники галузі кажуть, що порушення виявляє ширшу проблему в тому, як онлайн-платформи здійснюють верифікацію особистості, яка коріниться в практиці збирання та зберігання особистих документів.
Виступаючи з Yellow.com, Варун Кабра, головний директор з розвитку в Concordium, зазначив, що такі ризики можна значно зменшити, коли платформи взагалі уникають зберігання конфіденційної інформації.
Він пояснив, що системи доказів з нульовими знаннями дозволяють верифікувати атрибути користувачів, такі як вік або юрисдикція, без необхідності доступу платформ до документів ідентифікації або їх зберігання.
"Користувачі зберігають зашифровані облікові дані у своїх локальних гаманцях, тоді як сертифіковані постачальники ідентифікації тримають безпечні копії для дотримання вимог," сказав Кабра. "Якби Discord використовував ZK-ідентифікаційні дані для перевірки віку замість зберігання сканів посвідчень, недавнє порушення не викрило б жодних особистих даних."
Артур Фірстов, головний директор з бізнесу в Mercuryo, сказав, що випадок з Discord ілюструє, як центральні бази даних продовжують бути привабливими мішенями для нападників.
"Після зберігання конфіденційної інформації в базі даних вона стає ціллю," сказав він, додаючи, що ZKPs пропонують шлях для запобігання цьому, дозволяючи верифікацію без збору особистих даних.
"З ZKPs платформа могла б підтвердити, що особа відповідає певним вимогам, але фактичні дані ніколи не залишають контроль користувача. Це означає, що немає нічого цінного для крадіжки в першу чергу."
Для багатьох захисників конфіденційності і спеціалістів з безпеки, порушення також підкреслює необхідність відновлення цифрової довіри через системи верифікації, орієнтовані на конфіденційність.
Фірстов додав, що ширше використання технології доказів з нульовими знаннями може допомогти досягти цього.
"Конфіденційність — це те, що дає людям і бізнесу впевненість для взаємодії онлайн, а технологія доказів з нульовими знаннями це забезпечує, доводячи довіру без розкриття інформації," сказав він.
Вес Каплан, генеральний директор G-Knot, сказав, що порушення ілюструє передбачувану слабкість у ландшафті цифрової ідентифікації.
"Збір централізованих, конфіденційних даних — це зобов'язання," сказав він.
Каплан зазначив, що якщо процес перевірки віку Discord спирався на криптографічні свідчення, а не на завантаження документів, не було б жодної вразливої бази даних особистих ідентифікаторів.
"Для широко використовуваних платформ перехід до ідентифікаційної верифікації з ZK-підтвердженням більше не є теоретичним; це стає необхідністю," він додав. "У світі, де порушення даних неминучі, єдиним реальним захистом є зроблення ідентифікації такою, яку не можна вкрасти."
Discord, який має понад 200 мільйонів активних користувачів щомісяця, використовує інструменти для підтвердження віку на основі розпізнавання обличчя на ринках, таких як Велика Британія та Австралія.
Згідно з майбутніми австралійськими регуляціями щодо соціальних медіа для осіб, які не досягли 16 років, платформи повинні пропонувати кілька варіантів перевірки віку та процеси оскарження.
Але експерти кажуть, що поки галузь повністю не відмовиться від систем верифікації на основі документів, такі порушення продовжуватимуть піддавати користувачів зайвим ризикам.