據報導,Discord 遭到駭客勒索,駭客入侵了包含超過 210 萬用戶的敏感年齡驗證資料的資料庫,並威脅要洩露這些資料。
在週三的 X 帖子中,惡意軟體存儲庫 VX-Underground 聲稱 Discord 正遭到駭客勒索,這些駭客入侵了他們的 Zendesk 實例,其中包含用戶資料。這些資料包括 2,185,151 張照片,用於驗證 210 萬用戶的年齡,其中包括駕照和護照照片。
VX-Underground表示:“Discord用戶的駕照和/或護照可能被洩露。”
此次洩露發生在9月20日,當時Discord的Zendesk實例包含的資料被駭客入侵。上週五,這家以遊戲為導向的即時通訊平台披露了這一事件,並聲稱“此次事件只影響了一小部分用戶”。
“少量身份資訊圖像”
Discord稱:“未經授權的一方還獲得了一小部分身份資訊圖像(如駕照、護照),這些圖像來自那些曾對年齡判定提出申訴的用戶。”Discord承諾會通過電子郵件警告受影響的用戶。
一些用戶對資料存儲提出了質疑,因為Discord曾承諾在確認年齡組後,年齡驗證資料會“直接刪除”。但此次洩露的資料來源並非年齡驗證系統本身,而是用戶在對自動化年齡驗證系統的判定提出上訴時,提交給幫助台的照片。
年齡驗證的風險
許多網路安全和隱私保護倡導者強烈反對線上服務實施文件檢查以進行年齡驗證。原因在於,當大量敏感資料存儲在伺服器上時,它就成為惡意攻擊者的誘人目標,正如本次洩露事件所發生的那樣。
一些加密貨幣和密碼學領域的人士聲稱,存在更安全的替代方案。8月底,基於Layer-1的權益證明區塊鏈Concordium推出了一款移動應用,允許用戶在不透露身份的情況下驗證年齡。
該應用依賴零知識證明(ZK-proof)來數學驗證用戶提供的年齡證明,而無需透露完整的詳細資訊。這將防止在伺服器上積累大量文件照片,這些照片可能會在以後被駭客入侵。
使用ZK-proof的系統並不依賴加密貨幣。Google Wallet在4月末表示,已集成ZK-proof技術用於年齡驗證。