Popularna gra czytała Twoje wiadomości na Discordzie. Nawet te prywatne
Jesteś fanem ARC Raiders i korzystasz z jednej z najpopularniejszych aplikacji dla graczy? W takim razie dostęp do Twoich danych był na wyciągnięcie ręki.
Poważna luka bezpieczeństwa została wykryta w pakiecie Discord SDK wykorzystywanym przez niektóre gry komputerowe. Poinformował o tym Timothy Meadows, który podczas analizy jednej z produkcji odkrył, że prywatne wiadomości użytkowników mogą być zapisywane w lokalnych plikach logów bez jakiegokolwiek szyfrowania. Problem dotyczył m.in. gry ARC Raiders, jednak twórcy szybko zareagowali i opublikowali poprawkę.
Luka może leżeć po stronie Discorda, a nie samej gry
Meadows opisał sytuację na swoim blogu. Z jego ustaleń wynika, że implementacja Discord SDK w ARC Raiders korzystała z niezabezpieczonego tokenu autoryzacyjnego typu bearer. Tego typu token przechowuje dane logowania użytkownika Discorda. Jeśli ktoś uzyska do niego dostęp, może przejąć pełną kontrolę nad kontem, włącznie z dostępem do prywatnych wiadomości, listy znajomych czy ustawień profilu.
ARC Raiders korzysta z integracji z Discordem głównie po to, aby wyświetlać w grze listę znajomych i umożliwiać szybkie zapraszanie ich do wspólnej rozgrywki. Zdaniem Meadowsa do takiej funkcjonalności wystarczyłby znacznie bardziej ograniczony zakres uprawnień OAuth. Część inżynierów analizujących API Discorda sugeruje jednak, że źródło problemu może leżeć po stronie samego Discorda, a nie wyłącznie implementacji w grze.
Embark Studios poinformowało, że luka została już usunięta poprzez hotfix. Studio zapewnia, że żadne prywatne dane użytkowników nie zostały przesłane poza ich komputery, a firma nie przeglądała ani nie przechowywała informacji osobistych znajdujących się w logach. Dodatkowo twórcy zdecydowali się całkowicie wyłączyć integrację z Discord SDK i rozpoczęli audyt bezpieczeństwa, który ma sprawdzić, czy podobne problemy nie występują w innych elementach oprogramowania.
Discord wyraźnie nie radzi sobie z bezpieczeństwem danych
To nie pierwszy raz, gdy Discord daje ciała. Pod koniec ubiegłego roku platforma padła ofiarą ataku grupy ransomware, która zażądała od twórców serwisu 3,5 miliona dolarów okupu. Według doniesień napastnicy mieli również wykraść około 70 000 zdjęć dokumentów tożsamości. Budzi to spore obawy w związku z nadciągająca obowiązkową weryfikacją wieku.
