Discord資料外洩事件公開了政府身份證明影像,引發業界對集中式驗證系統的再次審視,多位專家指零知識證明(ZKP)是一種避免儲存敏感身份數據的可行方案。
公司證實,有未經授權人士獲取了一家第三方客服供應商的系統存取權,披露了部份用戶數據,據《衛報》報導。
被洩漏的信息包括用戶名、電郵、帳單資料、IP地址,有個別情況下,連年齡驗證所提交的政府ID影像如護照、駕駛執照亦被曝光。
Discord表示事後已撤銷該供應商存取權並報警追查。
業內人士認為,今次資料外洩反映網上平台在處理身份驗證上存在更廣泛問題,源於收集和儲存個人證件的做法。
Concordium成長總監Varun Kabra向Yellow.com表示,只要平台避免儲存敏感資訊,相關風險就能大大下降。
Kabra解釋,零知識證明系統能驗證用戶屬性(如年齡或司法管轄區),無需平台接收或保留身份證明文件。
「用戶可將加密證明儲存在本地錢包,而經認證的身份供應商則為法規存有安全副本。」Kabra說,「如果Discord用ZK證明來驗證年齡,而非儲存ID掃描檔,今次外洩根本不會有個人身份數據暴露。」
Mercuryo營運總監Arthur Firstov認為Discord事件反映中央資料庫一直是攻擊者覬覦目標。
「一旦敏感信息存在資料庫,就會成為目標,」他說,並補充ZKP可驗證無需收集個人資料。
「有了ZKP,平台只需確認用戶符合某些要求,實際數據始終屬於用戶個人,不會離開用戶。換言之,根本沒有值錢的東西可被盜。」
很多私隱支持者和資安專家認為,這宗外洩事件加強了必須以私隱為先的驗證系統重建數碼信任的迫切性。
Firstov補充,推廣零知識技術應用有助實現這個目標。
「私隱讓人和企業放心進行網上互動,而零知識技術則實現了毋須公開資訊也能證明可信,」他說。
G-Knot行政總裁Wes Kaplan認為,這次外洩正是數碼身份領域預計中的弱點寫照。
「集中收集敏感數據本身就是風險,」他說。
Kaplan指出,若Discord的年齡驗證改用加密認證,而非上載文件,便根本不會誕生可以被利用的個人ID資料庫。
「對於普及平台來說,ZK啟用的身份驗證轉型早已不再是理論問題,而是成為必要,」他補充。「在數據外洩幾可預期的大環境下,唯一真正的防禦就是令身分變得不可被盜。」
Discord現時全球每月活躍用戶逾2億,已在英國、澳洲等地市場引入面部年齡驗證工具。
隨着澳洲即將推行16歲以下社交媒體規管,平台需提供多元年齡驗證選項及上訴程序。
不過,專家強調,只要業界未徹底放棄以證件為本的驗證流程,這類外洩風險始終難以根除。