Poważna luka w zabezpieczeniach: Arc Raiders i niechciane nagrywanie rozmów na Discordzie
Odkryto lukę w SDK Discorda, która pozwalała grze Arc Raiders na zapis rozmów DM w postaci niezaszyfrowanej lokalnie na komputerach graczy. Problem został zażegnany przez Embark Studios, które wprowadziło aktualizację bezpieczeństwa.
Wprowadzenie
Niedawno odkryto poważny problem związany z grą Arc Raiders, który mógł wystawić na ryzyko prywatne dane użytkowników. Luka w SDK Discorda umożliwiała nieautoryzowane zapisywanie obraźliwych treści prywatnych wiadomości (DM) do plików logów na lokalnym dysku użytkownika. Problem ten początkowo został ujawniony przez inżyniera systemowego, Timothy'ego Meadowsa, który opisał sytuację na swoim blogu.
Efekty ujawnienia danych
Arc Raiders wykorzystywał SDK Discorda, aby prezentować listy przyjaciół w grze oraz umożliwić zapraszanie znajomych do wspólnej gry. Jednakże odkryto, że przy okazji gra zapisywała rozmowy DM oraz pełne dane uwierzytelniające użytkowników w niezaszyfrowanej formie. Meadows zaznaczył, że do realizacji tej funkcji gry wystarczające byłoby ograniczenie zakresu OAuth, co zapobiegłoby niepożądanemu zachowaniu.
Reakcja zespołu Embark Studios
Embark Studios szybko zareagowało na zgłoszenia i wypuściło hotfix, który rozwiązał problem. Przedstawiciele studia zapewnili, że żadne prywatne dane nie zostały przesłane poza komputery graczy ani też nie były wykorzystywane przez członków ekipy developerskiej. Pomimo to, studio zdecydowało się na całkowite wyłączenie SDK Discorda i przeprowadzenie szczegółowej kontroli w poszukiwaniu innych potencjalnych problemów.
Źródło problemu
Podczas gdy wstępnie obarczano winą Embark Studios, niektórzy inżynierowie przeanalizowali API Discorda i doszli do wniosku, że problem leży w samej bibliotece Discorda, który nie filtruje właściwie zdarzeń logowania z danych wrażliwych. Problem ten może wskazywać na szersze wyzwania w implementacji SDK przez Discorda, które wymagają uwagi.
Historia problemów z Discordem
Warto zauważyć, że to nie pierwszy raz, gdy Discord boryka się z problemami związanymi z bezpieczeństwem. W zeszłym roku aplikacja padła ofiarą ataku ransomware, podczas którego hakerzy zdołali ukraść zdjęcia 70 tysięcy dowodów tożsamości, żądając 3,5 miliona dolarów okupu.
Podsumowanie
Incydent z Arc Raiders pokazuje, jak ważne jest regularne audytowanie i aktualizowanie programów używających zewnętrznych bibliotek i SDK. Użytkownicy mają prawo do ochrony swoich danych, i wszelkie incydenty takie jak ten powinny być dla deweloperów sygnałem do działania. Organizacje muszą dążyć do zapewnienia maksymalnego bezpieczeństwa aplikacji, aby zyskać zaufanie społeczności.