Embark Studios выпустила экстренный патч после того, как инженер студии опубликовал подробный отчёт, что ARC Raiders без ведома пользователей сохраняла их приватные переписки в Discord в незашифрованные текстовые файлы прямо на их компьютерах.
По словам разработчика, проблема затрагивала всех игроков, которые привязали свой аккаунт Discord к игре. Discord SDK, интегрированный в ARC Raiders, записывал личные сообщения между двумя пользователями в полном объёме в незащищённый текстовый файл, хранящийся локально на машине игрока.
Помимо этого, в том же файле обнаружился полноценный токен авторизации Discord – так называемый Bearer Token, который теоретически может использоваться для получения несанкционированного доступа к аккаунту. Сам инженер охарактеризовал эти находки как "серьёзные нарушения конфиденциальности и безопасности".
Третьи лица, имеющие доступ к машине или к отчётам об ошибках, могут прочитать приватные разговоры.
Запись активировалась только при привязке аккаунта Discord к ARC Raiders через настройки игры. При этом соглашение, которое появляется при связке аккаунтов, не содержало никакого упоминания о том, что разработчик ведёт подобное логирование.
Embark Studios отреагировала оперативно и признала, что Discord SDK "записывал избыточные данные пользователей", не уточнив конкретных деталей произошедшего. В официальном заявлении, опубликованном в Discord, студия поспешила успокоить игроков:
Будьте уверены, что ваши личные данные не были отправлены за пределы вашего компьютера, и Embark не просматривала и не будет просматривать или хранить подобную информацию.
Разработчики также сообщили об отключении логирования через Discord SDK и о начале более масштабного аудита, призванного убедиться в отсутствии других подобных проблем. По данным издания, проверка, проведённая после выхода патча, подтвердила: такие логи больше не создаются.
Этот инцидент разгорелся на фоне другого скандала вокруг самой платформы Discord, которая сейчас ведёт собственную борьбу за доверие аудитории в связи с готовящейся системой возрастной верификации, которая по умолчанию будет ограничивать аккаунты.
Источник новости: shazoo.ru
