Ang Discord ay sinasabing ini-extort ng mga hacker na responsable sa pagpasok sa isang database na naglalaman ng sensitibong age verification data ng mahigit 2.1 milyong user, na nagbabantang ilantad ito.
Sa isang X post noong Oktubre 3, sinabi ng malware repository na VX-Underground na ang Discord ay ini-extort ng mga indibidwal na responsable sa pag-kompromiso ng kanilang Zendesk instance, na naglalaman ng user data. Kabilang sa data ang 2,185,151 na larawan na ginamit para sa age verification ng 2.1 milyong user, kasama ang mga litrato ng driver’s license at passport.
“Ang driver’s license at/o passport ng mga Discord user ay posibleng mailantad ,” sabi ng VX-Underground.
Naganap ang breach noong Setyembre 20, nang ma-kompromiso ang Zendesk instance ng Discord na naglalaman ng data. Noong Oktubre 3, inihayag ng gaming-oriented messaging platform ang insidente, na nagsasabing “ang insidenteng ito ay nakaapekto lamang sa limitadong bilang ng mga user.”
“Maliit na bilang ng mga larawan ng ID”
“Ang unauthorized party ay nagkaroon din ng access sa maliit na bilang ng mga larawan ng government-ID (hal., driver’s license, passport) mula sa mga user na nag-apela sa isang age determination,” inangkin ng Discord, at nangakong babalaan ang mga apektadong user sa pamamagitan ng email.
Ang ilang user ay nagtaas ng isyu tungkol sa pag-iimbak ng data, dahil nangako ang Discord na ang age verification data ay “tatanggalin pagkatapos makumpirma ang iyong age group.” Ngunit, ang data source ay hindi ang age verification system kundi ang mga larawan na ipinadala sa helpdesk kapag nag-aapela sa isang desisyong ginawa ng automated age verification system.
Ang mga panganib ng age verification
Maraming cybersecurity at privacy advocate ang mariing tumututol sa pagpapataw ng document check para sa online service age verification. Ang dahilan ay kapag ang malalaking dami ng sensitibong data ay naka-imbak sa isang server, nagiging kaakit-akit itong target para sa mga malicious actor, tulad ng nangyari sa kasong ito.
Ilan sa mundo ng crypto at cryptography ay inaangkin na may mas ligtas na mga alternatibo. Noong huling bahagi ng Agosto, ang layer-1 proof-of-stake blockchain na Concordium ay naglunsad ng isang mobile application na nagpapahintulot sa mga user na i-verify ang kanilang edad nang hindi inilalabas ang kanilang identity.
Ang application ay umaasa sa zero-knowledge proofs (ZK-proofs) upang mathematically na i-verify na ang mga user ay nagbigay ng patunay ng kanilang edad, nang hindi inilalabas ang buong detalye. Maiiwasan nito ang pagdami ng malaking bilang ng mga larawan ng dokumento sa isang server na maaaring pasukin sa ibang pagkakataon.
Ang mga system na gumagamit ng ZK-proofs ay hindi kailangang umasa sa mga cryptocurrency. Ang Google Wallet, ang payment at digital card management application ng search giant, ay nagsabing noong huling bahagi ng Abril na isinama na nila ang ZK-proofs para sa age verification.