Sự cố rò rỉ dữ liệu Discord tiết lộ hình ảnh ID chính phủ đã thúc đẩy các hệ thống xác minh tập trung bị xem xét lại, với nhiều chuyên gia trong ngành chỉ ra bằng chứng không tiết lộ (ZKP) như một phương án thay thế khả thi nhằm lưu trữ dữ liệu danh tính nhạy cảm.
Công ty đã xác nhận rằng một tác nhân trái phép đã xâm nhập vào hệ thống của nhà cung cấp dịch vụ khách hàng thứ ba, tiết lộ dữ liệu của một số lượng người dùng hạn chế, theo The Guardian.
Trong số thông tin bị lộ có tên người dùng, email, chi tiết thanh toán, địa chỉ IP, và trong một số trường hợp, hình ảnh ID chính phủ như hộ chiếu và giấy phép lái xe được nộp để xác minh tuổi tác.
Discord cho biết họ đã thu hồi quyền truy cập của nhà cung cấp và liên hệ với cơ quan thực thi pháp luật sau sự cố.
Các nhân vật trong ngành nói rằng sự cố rò rỉ cho thấy vấn đề rộng hơn trong cách các nền tảng trực tuyến xử lý việc xác minh danh tính, gốc rễ từ việc thu thập và lưu trữ tài liệu cá nhân.
Nói chuyện với Yellow.com, Varun Kabra, Giám đốc Phát triển của Concordium, lưu ý rằng rủi ro như vậy có thể giảm đáng kể khi các nền tảng tránh lưu trữ thông tin nhạy cảm hoàn toàn.
Ông giải thích rằng các hệ thống bằng chứng không tiết lộ cho phép xác minh thuộc tính người dùng, chẳng hạn như tuổi hoặc khu vực, mà không cần các nền tảng phải truy cập hoặc lưu trữ tài liệu nhận dạng.
“Người dùng duy trì chứng chỉ được mã hóa trong ví của họ, trong khi các nhà cung cấp danh tính được chứng nhận giữ các bản sao an toàn để tuân thủ,” Kabra nói. “Nếu Discord đã sử dụng chứng chỉ ZK cho xác minh tuổi thay vì lưu trữ các bản quét ID, thì vụ vi phạm gần đây đã không tiết lộ bất kỳ dữ liệu nhận dạng cá nhân nào.”
Arthur Firstov, Giám đốc Kinh doanh của Mercuryo, nói rằng trường hợp Discord minh họa cách cơ sở dữ liệu trung tâm tiếp tục là mục tiêu hấp dẫn cho kẻ tấn công.
“Khi thông tin nhạy cảm được lưu trữ trong cơ sở dữ liệu, nó trở thành mục tiêu,” ông nói, và bổ sung rằng ZKP mang đến con đường ngăn ngừa điều này bằng cách cho phép xác minh mà không cần thu thập thông tin cá nhân.
“Với ZKP, nền tảng có thể xác nhận rằng ai đó đáp ứng các yêu cầu nhất định, nhưng dữ liệu thực sự không bao giờ rời khỏi sự kiểm soát của người dùng. Điều đó có nghĩa là không có gì có giá trị để đánh cắp ngay từ đầu.”
Đối với nhiều nhà bảo vệ quyền riêng tư và chuyên gia an ninh, sự cố rò rỉ cũng củng cố nhu cầu tái xây dựng niềm tin kỹ thuật số thông qua hệ thống xác minh ưu tiên quyền riêng tư.
Firstov bổ sung rằng việc sử dụng rộng rãi công nghệ không tiết lộ có thể giúp đạt được điều đó.
“Quyền riêng tư là điều mang lại cho con người và doanh nghiệp sự tự tin để tương tác trực tuyến, và công nghệ không tiết lộ cho phép điều đó bằng cách chứng minh sự tin tưởng mà không làm lộ thông tin,” ông nói.
Wes Kaplan, Giám đốc điều hành của G-Knot, nói rằng sự cố rò rỉ là ví dụ cho một điểm yếu dễ đoán trong không gian nhận dạng kỹ thuật số.
“Thu thập dữ liệu nhạy cảm trung tâm là một trách nhiệm,” ông nói.
Kaplan lưu ý rằng nếu quy trình xác minh tuổi của Discord dựa vào chứng thực mã hóa hơn là tải lên tài liệu, sẽ không có cơ sở dữ liệu thông tin cá nhân dễ bị khai thác.
“Đối với các nền tảng được sử dụng rộng rãi, chuyển sang xác minh danh tính bằng ZK không còn chỉ là lý thuyết; nó đang trở thành cần thiết,” ông nói thêm. “Trong thế giới mà các sự cố rò rỉ dữ liệu là không thể tránh khỏi, sự phòng vệ thực sự duy nhất là làm cho danh tính không thể bị đánh cắp.”
Discord, có hơn 200 triệu người dùng hoạt động hàng tháng, đã sử dụng công cụ đảm bảo tuổi gương mặt trên các thị trường như UK và Úc.
Theo quy định của Úc sắp tới về mạng xã hội dưới 16 tuổi, các nền tảng được kỳ vọng phải cung cấp nhiều phương án xác minh tuổi và quy trình kháng cáo.
Nhưng các chuyên gia nói rằng trừ khi ngành chuyển hẳn khỏi hệ thống xác minh bằng tài liệu, các sự cố rò rỉ loại này sẽ tiếp tục đặt người dùng vào rủi ro không cần thiết.