Platform komunikasi populer Discord kini tengah menjadi sorotan tajam setelah munculnya laporan mengenai kerentanan serius pada sistem verifikasi identitas mereka. Temuan terbaru menunjukkan bahwa dokumen sensitif milik pengguna, mulai dari foto wajah hingga kartu identitas (KTP/SIM), ternyata tidak tersimpan seaman yang diklaim sebelumnya.

Alih-alih terlindungi dalam “brankas” digital yang rapat, data pribadi ini justru berada dalam risiko besar karena protokol proteksi yang dinilai sangat minim di sisi server.

Peran Pihak Ketiga: Di Mana Letak Kesalahannya?

Bagi pengguna yang ingin mengakses server khusus dewasa (NSFW) atau memenuhi syarat usia tertentu, Discord biasanya mengarahkan mereka ke layanan Persona. Persona adalah vendor manajemen identitas pihak ketiga yang menangani proses validasi dokumen secara otomatis untuk banyak raksasa teknologi.

Namun, investigasi mendalam yang dirilis oleh vmfunc mengungkap fakta mengkhawatirkan. Masalah utama bukan terletak pada proses pemindaiannya, melainkan pada cara Persona menyimpan hasil verifikasi tersebut.

Celah Tanpa Autentikasi: Data “Tercecer” di Internet

Investigasi tersebut menyoroti bahwa informasi pribadi pengguna sering kali disimpan dalam sistem yang bisa dilacak secara publik jika seseorang mengetahui metodenya. Berikut adalah poin-pirik kerentanannya:

• Minim Autentikasi: Data hasil verifikasi sering kali dapat diakses langsung melalui URL tertentu tanpa mengharuskan penyerang untuk login ke akun mana pun.
• Struktur API yang Lemah: Celah pada struktur API memungkinkan pihak tak bertanggung jawab untuk melakukan pengumpulan data secara massal (bulk data harvesting).
• Risiko Pencurian Identitas: Selama seseorang memahami pola penyimpanan di server mereka, foto identitas asli pengguna bisa jatuh ke tangan yang salah hanya dengan memanfaatkan celah pada skema penyimpanan server.