⚠️ В ARC Raiders нашли серьёзную уязвимость
Игра записывала личную переписку из Discord в текстовый файл - Embark выпустила экстренный хотфикс
- Инженер Тимоти Медоуз опубликовал отчёт, в котором описал «серьёзные нарушения конфиденциальности» в ARC Raiders. Оказалось, что Discord SDK записывал приватные DM-переписки в plaintext-лог прямо на диске пользователя - вместе с полным Bearer-токеном авторизации Discord. Проблема касалась только тех, кто привязал аккаунт Discord к игре.
- Причина технически простая: при включении интеграции SDK использует полный токен доступа и пишет на диск всё, что получает - без какой-либо фильтрации. В итоге личные сообщения оказывались в логах в открытом виде. Сами данные никуда не отправлялись - но любой, у кого был доступ к машине, или если лог попадал в краш-репорт, мог их увидеть. Bearer-токен при этом потенциально опасен, хотя смена пароля Discord его инвалидирует.
- Embark отреагировала быстро и в тот же день выкатила хотфикс. Разработчики подтвердили, что данные не покидали устройства пользователей, и пообещали провести дополнительный аудит. После выхода патча логи Discord SDK больше не генерируются - это подтвердило независимое тестирование.
- Параллельно команда вручную раздала награды игрокам, которые не смогли попасть в экспедицию из-за отдельного бага. Если предметы так и не пришли - стоит написать в поддержку с описанием того, чего не хватает.
Если вы привязывали Discord к ARC Raiders - перезапустите игру, чтобы скачать обновление.
1 комментарий