Проникнення в Discord, що призвело до витоку зображень державних ID, викликало нову увагу до централізованих систем перевірки, і кілька галузевих експертів вказують на докази з нульовим знанням (ZKPs) як на життєздатну альтернативу зберігання конфіденційної особистої інформації.
Компанія підтвердила, що несанкціонована особа отримала доступ до систем постачальника послуг третьої сторони, що розкрило обмежену кількість даних користувачів, повідомляє The Guardian.
Серед скомпрометованої інформації були імена користувачів, електронні адреси, платіжні дані, IP-адреси, а в деяких випадках - зображення державних ID, таких як паспорти та водійські посвідчення, подані для перевірки віку.
Discord повідомила, що анулювала доступ провайдера і залучила правоохоронні органи після інциденту.
Представники галузі кажуть, що витік виявляє ширшу проблему у тому, як онлайн-платформи обробляють перевірку особи, яка корениться у практиці збирання та зберігання особистих документів.
У бесіді з Yellow.com Варун Кабра, керівник відділу розвитку компанії Concordium, зазначив, що такі ризики можна значно зменшити, якщо платформи уникатимуть зберігання конфіденційної інформації.
Він пояснив, що системи з нульовим знанням дозволяють перевіряти атрибути користувача, такі як вік або юрисдикція, не вимагаючи від проєктів доступу або зберігання ідентифікаційних документів.
“Користувачі зберігають зашифровані облікові дані у своїх локальних гаманцях, а атестовані постачальники особистості зберігають безпечні копії для відповідності,” сказав Кабра. “Якби Discord використовував ZK-облікові дані для перевірки віку замість зберігання сканів ID, недавній витік не виявив би жодні особисті дані.”
Артур Фірстов, Директор з питань бізнесу в Mercuryo, сказав, що випадок Discord ілюструє, як центральні бази даних продовжують бути привабливою ціллю для атак.
“Як тільки конфіденційна інформація зберігається в базі даних, вона стає ціллю”, зазначив він, додавши, що ZKPs пропонують шлях до запобігання цим атакам, дозволяючи перевірку без збору особистих даних.
“Завдяки ZKPs, платформа може підтвердити, що користувач виконує певні вимоги, але фактичні дані ніколи не виходять з-під контролю користувача. Це означає, що нема чого красти.”
Для багатьох адвокатів приватності та професіоналів безпеки, витік також підкреслює необхідність відновлення цифрової довіри через системи перевірки з акцентом на приватності.
Фірстов додав, що ширше використання технології з нульовим знанням може допомогти досягти цього.
“Приватність - це те, що додає впевненості людям і бізнесам взаємодіяти в Інтернеті, і технологія з нульовим знанням дозволяє це, підтверджуючи довіру без розкриття інформації,” сказав він.
Вес Каплан, генеральний директор G-Knot, сказав, що витік демонструє передбачувану слабкість у сфері цифрової ідентичності.
"Збір централізованих, конфіденційних даних є ризиком," зазначив він.
Каплан зауважив, що якби процес перевірки віку Discord спирався на криптографічні засвідчення замість завантаження документів, не було б доступної бази даних з особистими ID.
"Для широко використовуваних платформ перехід до ідентифікаційної перевірки з підтримкою ZK вже не є теоретичною; це стає необхідністю," додав він. "У світі, де порушення даних неминучі, єдиний реальний захист полягає у неможливості викрадення ідентифікації."
Discord, яка має понад 200 мільйонів активних користувачів на місяць, використовує інструменти для вікової ідентифікації у таких ринках, як Великобританія та Австралія.
Згідно з майбутніми регламентами соціальних мереж для користувачів молодше 16 років в Австралії, платформи повинні пропонувати кілька варіантів перевірки віку та процедури оскарження.
Але експерти кажуть, що поки галузь не відійде від систем перевірки, заснованих на документах, такі витоки продовжуватимуть піддавати користувачів непотрібному ризику.