Discord 的数据泄露事件暴露了政府身份证图像,促使人们重新审视集中式验证系统,多位行业专家指出零知识证明(ZKP)是存储敏感身份数据的可行替代方案。
据《卫报》报道,该公司证实,一名未经授权的人员访问了第三方客户服务提供商的系统,泄露了少量用户的数据。
泄露的信息包括用户名、电子邮件、账单详情、IP 地址,以及在某些情况下用于年龄验证的政府身份证图像,如护照和驾照。
Discord 表示,在事件发生后已撤销了该提供商的访问权限,并与执法部门进行了接洽。
业内人士表示,此次泄露揭示了在线平台在身份验证处理上的一个更广泛的问题,根源在于收集和存储个人文件的做法。
Concordium 的首席增长官 Varun Kabra 在接受 Yellow.com 采访时指出,当平台避免存储敏感信息时,这类风险可以显著降低。
他解释说,零知识证明系统可以在不需要平台访问或保留身份证明文件的情况下,验证用户属性,如年龄或司法管辖区。
“用户在他们的本地钱包中保管加密凭据,而认证的身份提供商则保留符合规定的安全副本,”Kabra 说道。“如果 Discord 使用 ZK 凭据进行年龄验证而不是存储 ID 扫描,最近的泄露事件将不会暴露任何个人身份数据。”
Mercuryo 的首席商务官 Arthur Firstov 表示,Discord 的案例说明了中央数据库继续对攻击者具有吸引力。
“一旦敏感信息存储在数据库中,它就会成为目标,”他说,并补充说 ZKP 通过允许验证而不收集个人数据提供了一条预防路径。
“通过 ZKP,平台可以确认某人满足特定要求,但实际数据永远不会离开用户的控制范围。这意味着首先不存在有价值的东西可被窃取。”
对于许多隐私倡导者和安全专业人士来说,此次泄露还强化了通过隐私优先的验证系统重建数字信任的必要性。
Firstov 补充说,零知识技术的更广泛使用可以帮助实现这一点。
“隐私是让人们和企业有信心在线互动的关键,而零知识技术通过在不泄露信息的情况下证明可信度来实现这一点,”他说。
G-Knot 的 CEO Wes Kaplan 说,此次泄露事件体现了数字身份领域可预见的弱点。
“收集集中的敏感数据是一种责任,”他说。
Kaplan 指出,如果 Discord 的年龄验证过程依赖于加密证明而不是文件上传,那么就不会有可被攻击的个人 ID 数据库。
“对于广泛使用的平台来说,向支持 ZK 的身份验证的过渡已不再是理论上的;它正变得必要。”他补充道。“在数据泄露不可避免的世界里,唯一真正的防御就是让身份无法被窃取。”
Discord 目前在英国和澳大利亚等市场使用面部年龄确认工具。
在澳大利亚即将出台的未满 16 岁社交媒体法规下,平台预计将提供多种年龄验证选项和申诉程序。
但专家表示,除非行业完全放弃基于文件的验证系统,否则此类泄露将继续使用户面临不必要的风险。