Vụ hack Discord làm lộ hơn 2 triệu người dùng, dấy lên tranh luận về lưu trữ ID tập trung

Discord đã bị tấn công dữ liệu quy mô lớn, có thể làm lộ thông tin nhận dạng do chính phủ cấp của hơn 2,1 triệu người dùng — một thảm họa về quyền riêng tư đang làm rung chuyển nền tảng của các hệ thống xác minh độ tuổi trực tuyến.

Tin tặc được cho là đã xâm nhập vào nền tảng hỗ trợ Zendesk của công ty, đánh cắp 2.185.151 hình ảnh — bao gồm hộ chiếu và giấy phép lái xe — từ những người dùng đã gửi tài liệu để xác minh độ tuổi của họ.

Những kẻ tấn công hiện bị cáo buộc đang tống tiền Discord, đe dọa sẽ tiết lộ thông tin nhạy cảm nếu yêu cầu không được đáp ứng. Nhóm bảo mật VX-Underground là đơn vị đầu tiên báo cáo vụ xâm nhập trên X, tiết lộ quy mô đáng kinh ngạc của vụ đánh cắp dữ liệu.

Discord sau đó đã xác nhận vụ tấn công, cho biết "bên thứ ba trái phép" đã truy cập vào "một số lượng hạn chế" hình ảnh ID liên quan đến những người dùng đã kháng cáo kết quả của hệ thống phát hiện độ tuổi tự động.

Việc lưu giữ dữ liệu gây ra sự phẫn nộ trong số người dùng

Mặc dù Discord khẳng định vụ việc chỉ ảnh hưởng đến một phần nhỏ người dùng, nhưng tiết lộ này đã gây ra sự phẫn nộ và mất lòng tin rộng rãi. Trước đó, công ty đã đảm bảo với người dùng rằng dữ liệu xác minh độ tuổi sẽ bị xóa ngay lập tức sau khi xác nhận — nhưng vụ việc này lại cho thấy điều ngược lại.

Tuy nhiên, Discord lập luận rằng dữ liệu bị xâm phạm không đến từ hệ thống xác minh tự động của họ mà từ các bức ảnh được gửi thủ công đến bộ phận hỗ trợ trong quá trình kháng cáo. Những thông tin liên quan đến kháng cáo này được lưu trữ riêng biệt trong hệ thống của Zendesk — và đó chính là nơi tin tặc tấn công.

Nói cách khác, những bức ảnh bị đánh cắp không phải là một phần của cơ sở dữ liệu xác minh ban đầu mà là từ các đơn kháng cáo đang diễn ra, trong đó dữ liệu vẫn chưa bị xóa.

Sự cố này làm nổi bật những nguy cơ tiềm ẩn của việc lưu trữ dữ liệu tập trung — đặc biệt là khi liên quan đến các tài liệu nhạy cảm. Các chuyên gia về quyền riêng tư lập luận rằng việc yêu cầu người dùng cung cấp giấy tờ tùy thân chính thức để xác minh độ tuổi sẽ biến các nền tảng thành mục tiêu béo bở cho tội phạm mạng. Một khi được lưu trữ, dù chỉ tạm thời, những hình ảnh này có thể trở thành lỗ hổng bảo mật vĩnh viễn trong trường hợp hệ thống bị xâm phạm.

Vụ hack này không chỉ là một lỗi vận hành — mà còn là một lỗ hổng hệ thống trong cách các nền tảng trực tuyến quản lý niềm tin. Chừng nào các hệ thống tập trung còn xử lý hàng triệu lượt quét ID, sẽ luôn có người cố gắng đột nhập.

ZK-Proofs: Giải pháp toán học cho quyền riêng tư kỹ thuật số

Giữa làn sóng phản đối dữ dội, những người ủng hộ quyền riêng tư đang chỉ ra bằng chứng không kiến ​​thức (ZK-proof) như một giải pháp thay thế mang tính đột phá. Sử dụng mật mã phức tạp, ZK-proof có thể xác nhận bằng toán học liệu người dùng có đáp ứng yêu cầu về độ tuổi hay không mà không tiết lộ tuổi thật hoặc danh tính của họ.

Nền tảng blockchain Concordium đã ra mắt một ứng dụng di động vào tháng 8, cho phép người dùng chứng minh độ tuổi hợp pháp mà không cần tải lên bất kỳ giấy tờ cá nhân nào. Tương tự, Google Wallet đã giới thiệu tính năng xác minh độ tuổi dựa trên bằng chứng ZK vào đầu năm nay, báo hiệu sự chuyển dịch rộng rãi hơn sang các hệ thống nhận dạng phi tập trung, bảo mật quyền riêng tư.

Vụ hack Discord nhấn mạnh một sự thật mà các công ty công nghệ không thể tiếp tục phớt lờ — tập trung dữ liệu là một gánh nặng. Người dùng không nên phải đánh đổi quyền riêng tư để lấy sự an toàn. Tương lai của việc xác minh danh tính nằm ở niềm tin toán học, chứ không phải giấy tờ quan liêu được lưu trữ trong các cơ sở dữ liệu dễ bị tấn công.

ZK-proofs không chỉ là một giải pháp kỹ thuật mà còn là bước ngoặt về mặt triết lý nhằm trao quyền cho người dùng sở hữu dữ liệu của mình trong khi vẫn tuân thủ các tiêu chuẩn an toàn.

Vụ việc Discord bị tấn công nên là hồi chuông cảnh tỉnh cho tất cả các nền tảng: khi niềm tin được lưu trữ trong cơ sở dữ liệu, nó chỉ mạnh bằng mật khẩu yếu nhất. Nhưng khi được chứng minh bằng mật mã, nó gần như không thể bị phá vỡ.