Инженер-программист обнаружил серьезную уязвимость в SDK Discord, которая позволяла играм сохранять личные сообщения (DM) между игроками в игровых логах без каких-либо мер безопасности. Системный инженер Тимоти Мидоуз опубликовал запись в блоге, в которой рассказал об инциденте, когда игра Arc Raiders сохраняла личные сообщения между двумя геймерами в виде простого текста в локальном лог-файле. К счастью, на момент написания статьи студия Embark Studios уже выпустила исправление (hotfix) для этой проблемы.
Тимоти обнаружил, что SDK Discord, используемый в Arc Raiders, применял совершенно незашифрованный токен-носитель (bearer token) и логировал «все события», включая любые личные переписки, на локальный диск пользователя без какой-либо шифровки. Токен-носитель хранит учетные данные пользователя Discord, и любой, кто получит этот токен, будет иметь полный доступ к учетной записи пользователя Discord, включая личные сообщения, список друзей и настройки аккаунта.
Ситуация усугубляется тем фактом, что если Arc Raiders аварийно завершает работу, и пользователь отправляет логи-файлы в Embark Studios (команде разработчиков игры), сотрудники компании получат полные учетные данные аккаунта этого пользователя, а также любые личные сообщения, которые были записаны в лог-файлы.
Arc Raiders использует SDK Discord для отображения списка друзей из Discord в игре и приглашения друзей из Discord в игру. Для этой ограниченной функциональности, по словам Тимоти, игре требуется лишь «ограниченная область действия OAuth для отображения игровой активности». Это решило бы проблему и остановило бы Arc Raiders от записи личных сообщений в лог-файлы, а также от сохранения полных учетных данных пользователя в лог-файлах игры. Однако некоторые инженеры, изучившие API Discord, считают, что проблема кроется исключительно в Discord.
К счастью, Embark Studios с тех пор устранила проблему с помощью горячего исправления. Игровая компания заверила пользователей, что никакие личные или персональные данные не были отправлены за пределы ПК геймеров, и сама компания не просматривала и не сохраняла никакой личной информации, которая могла быть им отправлена. Embark Studios полностью отключила SDK Discord и проводит аудит, чтобы убедиться в отсутствии других проблем с SDK.
Это не первый раз, когда Discord сталкивается с проблемами безопасности. Социальное приложение было взломано группой, занимающейся вымогательством, в конце прошлого года, которая потребовала 3,5 миллиона долларов от разработчиков Discord и, как утверждается, похитила 70 000 фотографий государственных удостоверений личности.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Aaron Klotz
