Um engenheiro de computação descobriu uma grave vulnerabilidade no SDK do Discord. Essa falha de segurança permite que jogos armazenem mensagens diretas (DMs) entre jogadores nos registros do jogo sem nenhuma medida de proteção.
O engenheiro de sistemas Timothy Meadows publicou um artigo em seu blog, revelando um incidente em que Arc Raiders estava armazenando DMs entre dois jogadores em texto simples em um arquivo de registro local. Felizmente, no momento da publicação deste artigo, o problema já foi corrigido pela Embark Studios.
Esta não é a primeira vez que o Discord enfrenta problemas de segurança. No final do ano passado, o aplicativo foi alvo de um ataque de ransomware que exigiu US$ 3,5 milhões (R$ 18,54 milhões) dos desenvolvedores do Discord e supostamente roubou 70.000 fotos de documentos de identidade emitidos pelo governo.
Porém, desta vez, talvez a falha não tenha sido do aplicativo, mas ajuda a levantar a desconfiança. Ainda mais porque, recentemente, ele foi duramente criticado pelas medidas de reconhecimento facial.
Notícias Relacionadas:
- Epic Games processa ex-colaborador acusado de ser leaker de Fortnite
- TCL 27P2A Ultra é anunciado como primeiro monitor MiniLED de 1040 Hz do mundo
- Project Helix: novo console da Microsoft é confirmado e vai rodar jogos do PC e do Xbox
Privacidade nula
Timothy descobriu que o SDK do Discord de Arc Raiders estava usando um token de portador (bearer token) completamente não criptografado e registrava “todos os eventos”. E isso incluía quaisquer conversas privadas que ficavam gravadas no disco rígido local do usuário sem qualquer criptografia.
Um token de portador armazena as credenciais do usuário do Discord, e qualquer pessoa que obtenha esse token tem acesso total à conta do usuário do Discord. Isso inclui mensagens diretas privadas, lista de amigos e configurações da conta.
A situação foi agravada pelo fato de que os funcionários da Embark Studio poderia ter acesso às credenciais completas da conta do usuário e a todas as mensagens diretas (DMs) registradas nos arquivos de log. Bastava Arc Raiders travar e o usuário enviar arquivos de log.
Problema resolvido
Arc Raiders utiliza o SDK do Discord para exibir a lista de amigos do Discord dentro do jogo e convidar amigos do Discord para o jogo. Para essa funcionalidade limitada, Timothy afirma que o jogo requer apenas um “escopo OAuth limitado para exibição da atividade do jogo”.
Isso resolveria o problema e impediria que Arc Raiders registrasse as mensagens diretas nos arquivos de log e armazenasse as credenciais completas da conta do usuário nos arquivos de log do jogo. Alguns engenheiros que analisaram a API do Discord afirmam que o problema reside exclusivamente no Discord.
Felizmente, a Embark Studios já corrigiu o problema com uma atualização emergencial. A empresa garantiu aos usuários que nenhum dado privado ou pessoal foi enviado para fora dos computadores dos jogadores e que a própria empresa não revisou nem armazenou nenhuma informação pessoal que possa ter sido enviada a eles.
A Embark Studios desativou completamente o SDK do Discord e está realizando uma auditoria para garantir que não haja outros problemas com o SDK. Para os interessados, Arc Raiders está R$ 137,44 na Nuuvem.
Fonte: Timothy Meadows.
