ระทึก! แฮ็กเกอร์ขู่เปิดข้อมูลยืนยันตัวตนผู้ใช้ Discord กว่า 2.1 ล้านราย รวมรูปบัตรประชาชน–พาสปอร์ต
Discord แพลตฟอร์มแชตชื่อดังในหมู่นักเล่นเกมและชุมชนออนไลน์ กำลังเผชิญเหตุข้อมูลรั่วครั้งใหญ่ หลังกลุ่มแฮ็กเกอร์อ้างว่ามีการเข้าถึงฐานข้อมูลที่มีภาพถ่ายบัตรประชาชนและพาสปอร์ตของผู้ใช้กว่า 2.1 ล้านบัญชี
เมื่อวันพุธที่ผ่านมา บัญชี VX-Underground ซึ่งเป็นแหล่งเก็บมัลแวร์ชื่อดังใน X (Twitter เดิม) เปิดเผยว่า แฮ็กเกอร์กำลัง เรียกค่าไถ่ (extort) จาก Discord โดยขู่ว่าจะปล่อยข้อมูลหากบริษัทไม่ตอบสนองตามข้อเรียกร้อง
ข้อมูลที่รั่วไหลมาจากระบบ Zendesk ซึ่ง Discord ใช้เป็นแพลตฟอร์มช่วยเหลือลูกค้า โดยมีรูปภาพกว่า 2,185,151 ภาพ ที่เกี่ยวข้องกับกระบวนการยืนยันอายุของผู้ใช้
Discord ยอมรับเหตุแฮ็กจริง แต่ยืนยันกระทบ “จำนวนน้อย”
ทาง Discord ยืนยันเมื่อวันศุกร์ว่า มีการเจาะเข้าฐานข้อมูล Zendesk จริง โดยระบุว่า “มีผู้ใช้บางส่วนเท่านั้นที่ได้รับผลกระทบ” และบริษัทกำลังแจ้งเตือนทางอีเมลแก่ผู้ใช้ที่ได้รับผลกระทบโดยตรง
ในแถลงการณ์ Discord กล่าวว่า
“ผู้ไม่ประสงค์ดีสามารถเข้าถึงรูปภาพบัตรประชาชนจำนวนเล็กน้อย ซึ่งเป็นข้อมูลจากผู้ใช้ที่ยื่นอุทธรณ์หลังระบบยืนยันอายุอัตโนมัติระบุอายุผิดพลาด”
อย่างไรก็ตาม ผู้ใช้จำนวนมากตั้งคำถามว่า เหตุใด Discord จึงยังคงเก็บภาพเอกสารไว้ ทั้งที่บริษัทเคยประกาศชัดว่า “ข้อมูลยืนยันอายุจะถูกลบโดยอัตโนมัติหลังจากการตรวจสอบเสร็จสิ้น”
แหล่งข่าวชี้ว่า ภาพที่รั่วไม่ได้มาจากระบบยืนยันอายุโดยตรง แต่เป็นภาพที่ผู้ใช้ส่งให้ฝ่ายซัพพอร์ตเมื่อมีการ อุทธรณ์ผลการตรวจสอบอายุ (Age Appeal Process)
ทำไม “การยืนยันอายุออนไลน์” ถึงเสี่ยงอันตราย
ผู้เชี่ยวชาญด้าน ความปลอดภัยไซเบอร์ (Cybersecurity) และ ความเป็นส่วนตัว (Privacy) เตือนมานานแล้วว่าการบังคับให้ผู้ใช้ส่งเอกสารยืนยันอายุ เช่น บัตรประชาชนหรือพาสปอร์ต เป็นการสร้าง “คลังข้อมูลทองคำ” ให้แฮ็กเกอร์
เมื่อข้อมูลเหล่านี้ถูกรวบรวมไว้บนเซิร์ฟเวอร์แบบรวมศูนย์ (Centralized Server) มันกลายเป็นเป้าหมายชั้นดีสำหรับการโจมตีทางไซเบอร์ เหมือนในกรณีของ Discord ที่เกิดขึ้นในครั้งนี้
ทางเลือกใหม่: ยืนยันอายุแบบไม่ต้องเปิดเผยตัวตน (Zero-Knowledge Proof)
ในฝั่งเทคโนโลยี Web3 มีแนวทางใหม่ที่เรียกว่า Zero-Knowledge Proof (ZK-Proof) ซึ่งสามารถพิสูจน์ข้อมูลได้โดยไม่ต้องเปิดเผยข้อมูลจริง
ตัวอย่างล่าสุดคือบล็อกเชน Concordium ที่เปิดตัวแอปมือถือในเดือนสิงหาคม 2025 ให้ผู้ใช้สามารถ “ยืนยันอายุโดยไม่ต้องเปิดเผยชื่อหรือเอกสารตัวจริง”
ระบบจะตรวจสอบอายุผ่านสมการคณิตศาสตร์ ทำให้มั่นใจได้ว่าผู้ใช้มีอายุถึงเกณฑ์ โดยไม่ต้องเก็บภาพบัตรประชาชนไว้บนเซิร์ฟเวอร์เลย
เทคโนโลยี ZK-Proof ยังได้รับการยอมรับจากบริษัทยักษ์ใหญ่อย่าง Google Wallet ซึ่งได้ผสานระบบนี้เข้ากับบริการยืนยันอายุของตนเองในเดือนเมษายนที่ผ่านมา
ผู้เชี่ยวชาญชี้ “กรณี Discord” คือสัญญาณเตือนวงการเทคโนโลยี
เหตุการณ์นี้สะท้อนให้เห็นว่าการเก็บข้อมูลส่วนบุคคลจำนวนมหาศาลไว้ในระบบรวมศูนย์คือ “จุดอ่อนสำคัญ” ของแพลตฟอร์มในยุคดิจิทัล
ผู้เชี่ยวชาญด้านความปลอดภัยหลายคนเรียกร้องให้บริษัทเทคโนโลยีหันมาใช้ระบบการยืนยันแบบกระจายศูนย์ (Decentralized Verification) ที่ไม่ต้องเก็บข้อมูลจริงของผู้ใช้ไว้เลย
อ้างอิง : cointelegraph.com
ภาพ sensemother.com