Discord 數據外洩事件導致政府證件圖片遭曝,集中式驗證系統因而受到進一步檢視,許多業界專家認為零知識證明(ZKP)可以有效避免儲存敏感身份資料所帶來的風險。
根據《衛報》報導,Discord 證實有未經授權人士入侵了第三方客戶服務供應商的系統,導致部分用戶資料外洩。
遭到洩漏的資訊包括用戶名稱、電子郵件、帳單資料、IP 地址,部分情況還包含了為進行年齡驗證而提交的護照或駕照等政府證件圖片。
Discord 表示已經撤銷該合作廠商的系統權限,並在事件發生後與執法機關合作。
產業專家認為,這起事件反映出線上平台在身份驗證處理方式上的普遍問題,主要在於收集並儲存個人證件的做法。
Concordium 成長長 Varun Kabra 向 Yellow.com 指出,若平台能夠避免存放敏感資訊,就能大幅降低此類風險。
他說明,零知識證明系統允許平台驗證用戶屬性(如年齡、司法管轄)時,並不需存取或保存用戶的證件。
Kabra 表示:「用戶的憑證會加密儲存在本地錢包,而經過認證的身份提供者為法遵需求保存安全副本。如果 Discord 當初用 ZK 憑證驗證年齡而非存證件掃描,本次外洩將不會有任何身份資料被揭露。」
Mercuryo 營運長 Arthur Firstov 稱,Discord 案例顯示,中心化數據庫仍然是攻擊者的首選目標。
他說:「一旦敏感資料被存進資料庫,就成為攻擊目標。」並補充,ZKP 能讓平台不必蒐集個人細節也能達成驗證,防範這類風險。
「ZKP 能讓平台證明某個人符合特定要求,但真正的資料從不離開用戶手中,這意味黑客根本無從下手。」
對於許多隱私倡議者與資安專業人士來說,這起事件也再次強調建構以隱私為核心的驗證系統,以重建數位信任的必要性。
Firstov 補充,若更廣泛採用零知識技術,將有助於實現這項目標。
「隱私帶給個人和企業信心,讓他們願意在網路上互動,而零知識技術無須揭露資訊,就能提供信任感。」
G-Knot 執行長 Wes Kaplan 指出,這起事件正好展現數位身份領域預期中的缺陷。
他說:「將集中、敏感資料收集起來本身就是一種風險。」
Kaplan 也提到,若 Discord 的年齡驗證流程是採用加密證明而不是文件上傳,將不會產生可被入侵的身份資料庫。
「對於大型平台來說,採用 ZK 驗證身份的轉型已不是理論,它正成為必要。資料外洩無可避免,唯一真正的防線是讓身份成為無法被竊取的存在。」
擁有逾兩億月活躍用戶的 Discord,目前已在英國和澳洲等市場應用臉部年齡驗證工具。
按照澳洲即將上路的未滿 16 歲社群媒體規範,平台需提供多種年齡驗證選項與申訴機制。
但專家認為,若整個產業始終維持文件式驗證,這類外洩事件仍將讓用戶暴露於不必要的風險之中。