Arc Raiders записывал личные переписки Discord в незашифрованный файл игры

/ ТехнологииНовости / Технологии

Системный инженер обнаружил серьёзную уязвимость в SDK Discord, которая позволяла играм сохранять личные сообщения между игроками в игровых логах без каких-либо мер безопасности. Инженер Тимоти Мидоуз опубликовал пост в блоге, раскрыв инцидент, когда игра Arc Raiders сохраняла личные сообщения двух игроков в открытом тексте в локальный лог-файл. К счастью, на момент написания новости проблема уже была оперативно исправлена студией Embark Studios.

Тимоти обнаружил, что Discord SDK в Arc Raiders использовал полностью незашифрованный токен доступа и записывал «все события», включая любые приватные разговоры, на локальный диск пользователя без какого-либо шифрования. Токен доступа хранит учётные данные пользователя Discord, и любой, кто получит этот токен, получит полный доступ к аккаунту пользователя Discord, включая личные сообщения, список друзей и настройки учётной записи.

Ситуацию усугубляет тот факт, что если Arc Raiders вылетает с ошибкой и пользователь отправляет лог-файлы в Embark Studios (команду разработчиков игры), сотрудники компании получат полные учётные данные этого пользователя и все личные сообщения, которые попали в эти файлы.

Arc Raiders использует SDK Discord для отображения вашего списка друзей из Discord в игре и приглашения друзей из Discord в игру. Для этой ограниченной функциональности, как отмечает Тимоти, игре требуется только «ограниченная область действия OAuth для отображения игровой активности». Это решило бы проблему и предотвратило бы запись личных сообщений в логи, а также хранение полных учётных данных пользователя в файлах игры. Некоторые инженеры, изучавшие API Discord, заявляют, что проблема лежит исключительно на стороне Discord.

Я разобрался с проблемой утечки токена Discord в ARC Raiders; возможно, это не вина ARC Raiders или Embark. В новом Social SDK от Discord есть логгирующий хук, который можно переопределить, и, насколько я могу судить, Discord не очищает события логов от конфиденциальной информации.

К счастью, Embark Studios уже исправила проблему с помощью «горячего патча». Компания заверила пользователей, что никакие приватные или личные данные не покидали компьютеры игроков, и сама компания не просматривала и не хранила какую-либо личную информацию, которая могла быть ей отправлена. Embark Studios полностью отключила SDK Discord и проводит аудит, чтобы убедиться в отсутствии других проблем с этим инструментом.

Это не первый раз, когда Discord сталкивается с проблемами безопасности. В конце прошлого года социальное приложение было взломано группой, использующей программы-вымогатели, которая требовала 3.5 миллиона долларов (около 280 млн рублей) от разработчиков Discord и, как утверждается, похитила 70 000 фотографий правительственных удостоверений личности.

Источник: Tomshardware.com

Подписаться на обновления Новости / Технологии
Зарегистрируйтесь на сайте, чтобы отключить рекламу

ℹ️ Помощь от ИИ

В статье есть ошибки или у вас есть вопрос? Попробуйте спросить нашего ИИ-помощника в комментариях и он постарается помочь!

⚠️ Важно:

• AI Rutab читает ваши комментарии и готов вам помочь.
• Просто задайте вопрос 👍
• ИИ может давать неточные ответы!
• ИИ не скажет «Я не знаю», но вместо этого может дать ошибочный ответ.
• Всегда проверяйте информацию и не полагайтесь на него как на единственный источник.
• К ИИ-помощнику можно обратиться по имени Rutab или Рутаб.

0 комментариев

Оставить комментарий

Все комментарии - Технологии