Vụ rò rỉ dữ liệu Discord phơi bày hình ảnh ID của chính phủ đã khiến các hệ thống xác minh tập trung bị soi xét kỹ lưỡng trở lại, với nhiều chuyên gia trong ngành chỉ ra bằng chứng không tiết lộ (ZKPs) như một thay thế khả thi để lưu trữ dữ liệu danh tính nhạy cảm.
Công ty xác nhận rằng một tác nhân không được phép đã truy cập vào hệ thống của một nhà cung cấp dịch vụ khách hàng bên thứ ba, lộ ra dữ liệu của một số lượng hạn chế người dùng, theo báo cáo của The Guardian.
Các thông tin bị xâm phạm bao gồm tên người dùng, email, chi tiết thanh toán, địa chỉ IP và trong một số trường hợp, các hình ảnh ID của chính phủ như hộ chiếu và bằng lái xe được gửi để xác nhận tuổi.
Discord cho biết họ đã thu hồi quyền truy cập của nhà cung cấp này và phối hợp với cơ quan thực thi pháp luật sau sự cố.
Các nhân vật trong ngành cho biết vụ rò rỉ cho thấy một vấn đề rộng lớn hơn trong cách các nền tảng trực tuyến xử lý việc xác minh danh tính, vốn bắt nguồn từ việc thu thập và lưu trữ các tài liệu cá nhân.
Nói chuyện với Yellow.com, Varun Kabra, Giám đốc Tăng trưởng tại Concordium, nhận định rằng những rủi ro này có thể giảm đáng kể khi các nền tảng tránh lưu trữ thông tin nhạy cảm hoàn toàn.
Ông giải thích rằng các hệ thống bằng chứng không tiết lộ cho phép xác minh thuộc tính của người dùng, chẳng hạn như tuổi hoặc thẩm quyền, mà không yêu cầu nền tảng truy cập hoặc giữ lại tài liệu nhận dạng.
"Người dùng giữ thông tin xác thực mã hóa trong các ví địa phương của họ, trong khi các nhà cung cấp danh tính được chứng nhận giữ bản sao an toàn cho sự tuân thủ," Kabra nói. "Nếu Discord đã sử dụng thông tin xác thực không tiết lộ để xác minh tuổi thay vì lưu trữ các bản quét ID, vụ rò rỉ gần đây sẽ không phơi bày dữ liệu nhận dạng cá nhân nào."
Arthur Firstov, Giám đốc Kinh doanh tại Mercuryo, nói rằng vụ việc của Discord cho thấy các cơ sở dữ liệu trung tâm tiếp tục là những mục tiêu hấp dẫn cho kẻ tấn công.
"Một khi thông tin nhạy cảm được giữ trong cơ sở dữ liệu, nó trở thành mục tiêu," ông nói, đồng thời bổ sung rằng ZKPs cung cấp một con đường ngăn chặn điều này bằng cách cho phép xác minh mà không cần thu thập chi tiết cá nhân.
"Với ZKPs, một nền tảng có thể xác nhận rằng ai đó đáp ứng các yêu cầu nhất định, nhưng dữ liệu thực tế không bao giờ rời khỏi sự kiểm soát của người dùng. Điều đó có nghĩa là không có gì để đánh cắp ngay từ đầu."
Đối với nhiều người ủng hộ quyền riêng tư và các chuyên gia bảo mật, vụ rò rỉ này cũng củng cố nhu cầu xây dựng lại niềm tin kỹ thuật số thông qua các hệ thống xác minh ưu tiên quyền riêng tư.
Firstov nói thêm rằng việc sử dụng công nghệ không tiết lộ rộng rãi hơn có thể giúp đạt được điều đó.
"Quyền riêng tư là điều mang lại cho mọi người và doanh nghiệp sự tự tin để tương tác trực tuyến, và công nghệ không tiết lộ cho phép điều đó bằng cách chứng minh sự tin cậy mà không tiết lộ thông tin," ông nói.
Wes Kaplan, CEO của G-Knot, nói rằng vụ rò rỉ này thể hiện một điểm yếu có thể đoán trước được trong bối cảnh danh tính kỹ thuật số.
"Thu thập dữ liệu nhạy cảm tập trung là một trách nhiệm," ông nói.
Kaplan lưu ý rằng nếu quy trình xác minh tuổi của Discord dựa vào xác nhận mã hóa thay vì tải lên tài liệu, thì không có cơ sở dữ liệu ID cá nhân nào có thể bị khai thác.
"Đối với các nền tảng được sử dụng rộng rãi, việc chuyển đổi sang xác minh danh tính hỗ trợ ZK không còn là lý thuyết; nó đang trở thành cần thiết," ông nói thêm. "Trong một thế giới mà các vụ vi phạm dữ liệu là không thể tránh khỏi, phòng thủ thực sự duy nhất là làm cho danh tính không thể bị đánh cắp."
Discord, nền tảng có hơn 200 triệu người dùng hoạt động hàng tháng, đã sử dụng các công cụ xác nhận tuổi qua khuôn mặt ở các thị trường như Anh và Úc.
Theo quy định về mạng xã hội cho trẻ dưới 16 tuổi sắp tới của Úc, các nền tảng được yêu cầu cung cấp nhiều tuỳ chọn xác minh tuổi và quy trình kháng cáo.
Nhưng các chuyên gia cho biết rằng trừ khi ngành công nghiệp hoàn toàn rời khỏi các hệ thống xác minh dựa trên tài liệu, các vụ vi phạm như vậy sẽ tiếp tục khiến người dùng đối diện với rủi ro không cần thiết.