暴露政府ID图像的Discord数据泄露事件引发了对集中验证系统的重新审视,许多行业专家将零知识证明(ZKPs)视为存储敏感身份数据的可行替代方案。
该公司证实,一名未经授权的人员访问了第三方客户服务提供商的系统,暴露了一定数量用户的数据,《卫报》报道。
被泄露的信息包括用户名、电子邮件、账单详情、IP地址,有时还包括提交用于年龄验证的政府ID图像,如护照和驾照。
Discord表示已撤销该提供商的访问权限,并在事件发生后联系了执法部门。
业内人士表示,此次泄露揭示了在线平台身份验证处理方式的一个更广泛的问题,其根源在于收集和存储个人文件的做法。
Concordium的首席增长官瓦伦·卡布拉(Varun Kabra)在与Yellow.com沟通时指出,平台避免存储敏感信息可以显著降低这样的风险。
他解释说,零知识证明系统使得无需平台访问或保留身份证件就能验证用户属性,如年龄或管辖区域。
“用户在本地钱包中保存加密凭证,而经过认证的身份提供商则保存用于合规的安全副本,”卡布拉说。“如果Discord在年龄验证中使用ZK凭证而不是存储ID扫描件,最近的泄露将不会暴露任何个人身份数据。”
Mercuryo的首席商务官阿瑟·费斯托夫(Arthur Firstov)表示,Discord事件说明中心数据库仍然是攻击者的吸引目标。
“一旦敏感信息保存在数据库中,它就成为目标,”他说,并补充说ZKPs通过允许验证而不用收集个人详情提供了一条防止此问题的路径。
“使用ZKPs,平台可以确认某人符合某些要求,但实际数据永远不会离开用户的控制。这意味着最初没有什么有价值的可以被盗。”
对于许多隐私倡导者和安全专业人士来说,此次泄露也强调了通过隐私优先的验证系统重建数字信任的必要性。
费斯托夫补充说,广泛使用零知识技术可能有助于实现这一点。
“隐私是让人们和企业有信心在网上进行互动的基础,零知识技术通过证明信任而不透露信息来实现这一点,”他说。
G-Knot的首席执行官韦斯·卡普兰(Wes Kaplan)称这次泄露体现了数字身份领域的可预见弱点。
“收集集中的、敏感的数据是一个责任,”他说。
卡普兰指出,如果Discord的年龄验证过程依赖于密码证明而不是文件上传,就不会有可利用的个人ID数据库。
“对于广泛使用的平台,过渡到ZK支持的身份验证技术不再是理论;它正变得必要,”他补充说。“在一个数据泄露无法避免的世界中,唯一真正的防御就是让身份无法被盗。”
拥有超过2亿每月活跃用户的Discord在英国和澳大利亚等市场使用了面部年龄保证工具。
根据澳大利亚即将出台的16岁以下社交媒体法规,平台被期望提供多种年龄验证选项和申诉程序。
但专家认为,除非行业彻底放弃基于文件的验证系统,否则这种泄露事件将继续使用户面临不必要的风险。