เหตุการณ์ด้านความปลอดภัยล่าสุดของ Discord ได้จุดประกายการถ่ายเทอย่างรุนแรงเกี่ยวกับความเสี่ยงของระบบยืนยันอายุแบบบังคับ การละเมิดข้อมูลครั้งนี้เปิดเผยภาพถ่ายบัตรประจำตัวราชการของผู้ใช้ประมาณ 70,000 คนผ่านผู้ให้บริการลูกค้าบุคคลที่สามที่ถูกบุกรุก ทำให้เกิดคำถามร้ายแรงเกี่ยวกับแนวทางปฏิบัติในการจัดการข้อมูลและข้อกำหนดด้านกฎระเบียบ
เหตุการณ์นี้เกิดขึ้นแม้ว่า Discord จะให้คำสัญญาต่อสาธารณะว่าจะลบเอกสารบัตรประจำตัวทันทีหลังจากการยืนยัน ผู้ใช้หลายคนได้ส่งบัตรประจำตัวราชการของตนโดยเชื่อว่าจะได้รับการประมวลผลและลบออกจากระบบของบริษัทภายในไม่กี่วันหรือไม่กี่สัปดาห์
สรุปผลกระทบจากการละเมิด:
- ผู้ใช้ที่ได้รับผลกระทบ: รูปถ่ายบัตรประจำตัวของผู้ใช้ประมาณ 70,000 คนถูกเปิดเผย
- ข้อมูลเพิ่มเติม: ชื่อ ชื่อผู้ใช้ อีเมล เลข 4 หลักสุดท้ายของบัตรเครดิต ที่อยู่ IP
- แหล่งที่มาของการละเมิด: ผู้ให้บริการลูกค้าบุคคลที่สาม ( Zendesk )
- การอ้างของผู้โจมตี: รูปถ่าย 2.18 ล้านรูป ข้อมูลการยืนยันอายุ 1.5TB
- การตอบสนองของบริษัท: ติดต่อผู้ใช้ที่ได้รับผลกระทบทั้งหมดแล้ว ยุติความสัมพันธ์กับผู้ขายแล้ว
ภาระที่เพิ่มขึ้นของข้อกำหนดบัตรประจำตัว
การละเมิดข้อมูลครั้งนี้เน้นย้ำแนวโน้มที่น่าวิตกที่แพลตฟอร์มดิจิทัลเรียกร้องเอกสารส่วนบุคคลที่ละเอียดอ่อนมากขึ้น ในสหราชอาณาจักร กฎระเบียบใหม่ภายใต้ Online Safety Act ตอนนี้กำหนดให้มีการยืนยันอายุสำหรับการเข้าถึงช่องทางเนื้อหาบางประเภท ผู้ใช้ออสเตรเลียเผชิญข้อจำกัดที่คล้ายกัน โดย Discord บล็อกการเข้าถึงเซิร์ฟเวอร์ที่จำกัดอายุ เว้นแต่ผู้ใช้จะให้บัตรประจำตัวราชการหรือผ่านการสแกนจดจำใบหน้า
การผลักดันด้านกฎระเบียบนี้สร้างสถานการณ์ที่ยากลำบากสำหรับผู้ใช้ หลายคนพบว่าตนเองถูกล็อกออกจากชุมชนที่พวกเขาเป็นส่วนหนึ่งมาหลายปี สูญเสียการติดต่อกับเพื่อนและผู้ร่วมงาน โครงการโอเพนซอร์สที่ย้ายไปใช้ Discord สำหรับการจัดการชุมชนตอนนี้กีดกันผู้มีส่วนร่วมที่ปฏิเสธการแบ่งปันเอกสารส่วนบุคคลโดยไม่ได้ตั้งใจ
บริบทการกำกับดูแลตามภูมิภาค:
- สหราชอาณาจักร: กฎหมาย Online Safety Act กำหนดให้มีการตรวจสอบอายุสำหรับช่องเนื้อหาสำหรับผู้ใหญ่
- ออสเตรเลีย: กำลังดำเนินการใช้ข้อกำหนดการตรวจสอบอายุในลักษณะเดียวกัน
- สหภาพยุโรป: GDPR กำหนดให้มีการลดข้อมูลให้น้อยที่สุดและลบข้อมูลหลังจากใช้งานตามวัตถุประสงค์เสร็จสิ้น
- สหรัฐอเมริกา: ไม่มีข้อกำหนดการตรวจสอบอายุในระดับรัฐบาลกลาง แต่รัฐต่างๆ กำลังพิจารณากฎหมายดังกล่าว
ทางเลือกทางเทคนิคยังคงไม่ได้รับการใช้ประโยชน์เพียงพอ
ชุมชนเทคโนโลยีได้ชี้ไปที่โซลูชันที่มีอยู่แล้วซึ่งสามารถลดความเสี่ยงด้านความเป็นส่วนตัวเหล่านี้ได้ Zero-knowledge proofs สามารถอนุญาตให้มีการยืนยันอายุโดยไม่เปิดเผยเอกสารประจำตัวจริง วิธีการเข้ารหัสเหล่านี้สามารถพิสูจน์ว่าใครบางคนตรงตามข้อกำหนดด้านอายุโดยไม่เปิดเผยข้อมูลส่วนบุคคลต่อการละเมิดข้อมูลที่อาจเกิดขึ้น
อย่างไรก็ตาม การใช้งานระบบดังกล่าวต้องการทรัพยากรการพัฒนาอย่างมากและการยอมรับจากหน่วยงานกำกับดูแล วิธีการยืนยันในปัจจุบันยังคงดิบเมื่อเปรียบเทียบ - มักต้องการภาพถ่ายเอกสารเต็มรูปแบบที่บริษัทต่างๆ ต่อสู้เพื่อรักษาความปลอดภัยอย่างเหมาะสม
ต้นทุนที่แท้จริงของการเก็บรักษาข้อมูล
สิ่งที่น่ากังวลที่สุดคือการขาดการเชื่อมต่อที่ชัดเจนระหว่างนโยบายของบริษัทและการปฏิบัติจริง Discord ประกาศต่อสาธารณะว่าภาพบัตรประจำตัวจะถูกลบหลังจากการยืนยัน แต่เอกสารหลายพันฉบับยังคงสามารถเข้าถึงได้โดยผู้โจมตีหลายเดือนต่อมา รูปแบบนี้สะท้อนปัญหาในอุตสาหกรรมที่กว้างขึ้นที่หลักการลดข้อมูลให้น้อยที่สุดถูกละเลยเพื่อความสะดวกในการดำเนินงาน
เวลาของนักพัฒนามีค่ามากกว่าข้อมูลผู้ใช้ ตลาดกำลังมีประสิทธิภาพ
การละเมิดข้อมูลยังแสดงให้เห็นว่าผู้ให้บริการบุคคลที่สามสามารถกลายเป็นจุดอ่อนในห่วงโซ่ความปลอดภัยข้อมูลได้อย่างไร Discord ใช้ Zendesk สำหรับการดำเนินงานบริการลูกค้า และการบุกรุกเกิดขึ้นที่ผู้ขายภายนอกรายนี้มากกว่าระบบของ Discord เอง
 |
|---|
| ภาพนี้แสดงถึงเทคโนโลยีสมัยใหม่ที่ผู้ใช้มีส่วนร่วมด้วย โดยเน้นความเสี่ยงที่อาจเกิดขึ้นและปัญหาความไว้วางใจที่เกิดจากการรั่วไหลของข้อมูล |
มองไปข้างหน้า
เหตุการณ์นี้อาจเร่งการอภิปรายเกี่ยวกับวิธีการยืนยันที่รักษาความเป็นส่วนตัวมากขึ้น GDPR ของสหภาพยุโรปกำหนดให้มีการลดข้อมูลให้น้อยที่สุด หมายความว่าบริษัทต้องลบข้อมูลส่วนบุคคลเมื่อไม่จำเป็นต้องใช้สำหรับวัตถุประสงค์เดิมแล้ว กฎระเบียบที่คล้ายกันสามารถช่วยป้องกันการละเมิดข้อมูลในอนาคตโดยการลดปริมาณข้อมูลที่ละเอียดอ่อนที่บริษัทเก็บรักษาไว้
ในตอนนี้ ผู้ใช้เผชิญกับทางเลือกที่ไม่สบายใจระหว่างการเข้าร่วมในชุมชนดิจิทัลและการปกป้องข้อมูลส่วนบุคคลของตน เมื่อประเทศต่างๆ มากขึ้นใช้ข้อกำหนดการยืนยันอายุ ความตึงเครียดเหล่านี้มีแนวโน้มที่จะทวีความรุนแรงขึ้น เว้นแต่จะมีโซลูชันทางเทคนิคที่ดีกว่าเกิดขึ้น
อ้างอิง: Discord says 70,000 users may have had their government IDs leaked in breach