Embark исправила уязвимость в безопасности ARC Raiders — игра записывала личные сообщения в Discord
Студия тщательно рассмотрит проблему во избежание повторения.
- Блогер Тимоти Медоуз, специализирующийся на безопасности, обнаружил серьёзную уязвимость в ARC Raiders, которая могла поставить под угрозу конфиденциальность личных сообщений в Discord, списка друзей и другой информации пользователей.
- По его словам, если во время игры была включена интеграция с Discord, она сохраняла персональные данные в лог-файлах.
Во время игры в ARC Raiders были обнаружены личные сообщения Discord Direct Message (DM) между двумя пользователями, которые записывались в локальный файл журнала без шифрования. В том же файле был найден полный токен аутентификации Discord Bearer. Это серьёзное нарушение конфиденциальности и безопасности, которое касается всех игроков, использующих интеграцию Discord с игрой.
- Медоуз заявил, что SDK Discord для ARC Raiders перехватывала личные сообщения пользователей и записывала все данные на диск.
Это связано с особенностями работы SDK. При включенной интеграции с Discord использовался токен аутентификации Bearer, который позволял получить доступ к определённым данным. По словам Медоуза, SDK собирал больше информации, чем нужно, включая личные сообщения.
- Если выводы блогера верны, данные могли попасть в отчёты об ошибках и стать доступны другим приложениям на компьютере. Третьи лица, которые получили бы допуск к компьютеру или отчётам, смогли бы читать личные разговоры.
- Медоуз утверждает, что пытался сообщить об этом разработчикам, но не нашёл программы вознаграждения за обнаружение ошибок — вместо этого он увидел неработающую ссылку.
- В официальном заявлении на сервере Discord для ARC Raiders разработчики сообщили, что выпустили экстренный патч и тщательно рассмотрят проблему по избежание её повторения.
Команда работает над устранением проблемы, из-за которой SDK Discord записывал слишком много информации о пользователях. Ваши личные данные не покидали компьютер, и Embark не изучает, не хранит и не будет проверять такую информацию. Мы отключим логи SDK Discord и проведём более детальное исследование, чтобы избежать подобных проблем в будущем. Если у вас возникнут вопросы или сомнения, обратитесь в нашу службу поддержки.
- Медоуз посоветовал немедленно сменить пароль от Discord, не передавать файлы логов никому и отключить интеграцию с Discord в ARC Raiders до подтверждения устранения проблемы.