Wedle odkrycia dokonanego przez Timothy’ego Meadowsa, popularny extraction shooter Arc Raiders zapisywał wiadomości prywatne przesyłane przez graczy za pośrednictwem Discorda w postaci zwykłego tekstu w obrębie plików dziennika gry. Co więcej, w tym samym miejscu odkryty został pełen token uwierzytelniający Discord Bearer, a Meadows stwierdził, iż stanowi to „poważne naruszenie prywatności i bezpieczeństwa, które dotyczą wszystkich graczy korzystających z integracji Discord z Arc Raiders”. Co prawda odpowiedzialna za rzeczoną produkcję ekipa, Embark Studios, wydała już łatkę eliminującą problem, niewykluczone jednak, że może on wystąpić ponownie w przyszłości, tym razem w innym tytule. Z tego względu do akcji postanowił wkroczyć Discord, który oświadczył, iż „zapewnia wskazówki dla deweloperów i aktualizuje pakiet SDK Discord Social, dodając dodatkowe zabezpieczenia”.
Arc Raiders zapisywało wiadomości prywatne z Discorda w pliku dziennika
Embark Studios należy oddać to, iż problem został rozwiązany w ekspresowym tempie za sprawą łatki. Głównym winowajcą okazała się integracja z SDK Discorda, która zbierała i zapisywała nadmiarowe informacje (takie jak wspomniane wiadomości prywatne przesyłane podczas gry) w pliku dziennika gry przechowywanym lokalnie na maszynie. Dane te nie były w żaden sposób zaszyfrowane, w związku z czym dowolna osoba, która uzyskałaby dostęp do maszyny, na której są one składowane, mogłaby je bez większego problemu odczytać.
Z dostarczonych informacji wynika, iż opisywana bolączka była wynikiem błędnej konfiguracji opcji rejestrowania debugowania we wspomnianym SDK, co poskutkowało generowaniem dodatkowych plików dziennika. Funkcja ta zazwyczaj jest wykorzystywana przez programistów podczas testowania integracji, niemniej w tym przypadku umknęła ona uwadze deweloperów i przekradła się niepostrzeżenie do oficjalnej dystrybucji.
Bolączka została wyeliminowana przed weekendem, więc gracze Arc Raiders mogą ponownie bez obaw korzystać z Discorda podczas sieciowych zmagań. Jak przekazał deweloper:
Nasz zespół pracuje również nad poprawką, która rozwiąże problem nadmiernego rejestrowania informacji o użytkownikach przez Discord SDK. Zapewniamy, że wasze prywatne i/lub osobiste dane nie zostały przesłane poza wasze urządzenie, a Embark nie przeglądało (i nie będzie przeglądać) ani nie przechowuje takich informacji. Wyłączymy rejestrowanie Discord SDK i przeprowadzamy dokładniejszy audyt, aby zapewnić, że nie wystąpią żadne dalsze problemy.
Jako że problem dotyczył zarówno Arc Raiders, jak i Discorda, tak i przedsiębiorstwo stojące za rzeczonym komunikatorem postanowiło odnieść się do zaistniałej sytuacji. W oświadczeniu wystosowanym do redakcji Eurogamera napisano, że firma jest świadoma tego problemu i obecnie pracuje nad tym, aby zapewnić deweloperom dodatkowe wskazówki celem uniknięcia powtórki z wydarzeń w przyszłości. Samo SDK również ma doczekać się pokaźnej aktualizacji zabezpieczeń, co w teorii powinno okazać się wystarczające.
Timothy Meadows, który opisał dogłębnie problem na swoim blogu, zalecił, aby użytkownicy Discorda korzystający z integracji z Arc Raiders czym prędzej zmienili swoje hasło do komunikatora. Podkreślił również, aby pod żadnym pozorem nie dzielić się zapisanymi na dysku plikami dziennika, tym bardziej z osobami podającymi się za pracowników działu wsparcia.
0 komentarzy