Интегрированный в шутер инструментарий Discord SDK осуществлял избыточный сбор конфиденциальной информации.
Студия Embark оперативно подготовила критическое обновление для экшена ARC Raiders. Причиной послужила обнаруженная уязвимость, из-за которой в технические отчеты игры могли попасть приватные сообщения пользователей мессенджера Discord.
На инцидент обратил внимание специалист по системной инженерии Тимоти Медоуз. В своем докладе он пояснил, что используемый в проекте SDK от Discord фиксировал неоправданно детальные сведения, включая личную переписку между пользователями и токены авторизации. Эта чувствительная информация сохранялась на диске в обычном текстовом формате.
По мнению Медоуза, корень проблемы кроется в особенностях реализации API Discord. При включении опции интеграции приложение запрашивает полный токен доступа к аккаунту. Поскольку SDK не фильтровал входящий поток данных, он архивировал практически все получаемые пакеты, что и приводило к утечке диалогов в локальные логи.
Разработчики продемонстрировали быструю реакцию, выпустив патч, устраняющий данную недоработку. В официальном обращении к сообществу на сервере Discord представители студии дали следующие пояснения: