Un grave problème de sécurité dans Arc Raiders L’intégration de Discord a été découverte par l’ingénieur informatique Timothy D Meadows II, qui a publié un rapport complet des résultats sur son blog personnel. Ces problèmes proviennent du fait que le kit de développement logiciel (SDK) Discord enregistre une quantité inutilement importante de données utilisateur, y compris des messages directs qui, selon la plupart des utilisateurs, resteront privés.
L’une des découvertes les plus préoccupantes de Meadows est que les messages directs des joueurs « ont été capturés par la connexion à la passerelle Discord SDK du jeu et écrits intégralement dans un fichier journal en texte brut stocké localement sur la machine de l’utilisateur ». Bien que ce fichier soit stocké localement, il est souvent transmis aux développeurs afin de faciliter la résolution des bogues. Cela signifie que ces messages auraient pu être lus par n’importe quel membre de l’équipe de développement car ils ont été enregistrés en texte brut plutôt que chiffrés.
Ce n’est cependant pas le seul problème de journalisation. Le jeton Discord Bearer est également présent dans le même fichier journal, offrant à toute personne détenant ce jeton un contrôle important sur le compte d’un utilisateur. Avec un jeton Bearer, il est possible de lire des messages directs, d’accéder à des listes d’amis, des serveurs, des paramètres de compte, de modifier les paramètres de voix ou de discorde et de rester connecté en tant qu’utilisateur jusqu’à ce qu’un changement de mot de passe se produise.
Meadows dit que ces problèmes sont présents parce que « l’intégration du SDK Discord demande et maintient une connexion complète à la passerelle Discord à l’aide du jeton Bearer de l’utilisateur ». Cette décision de conception ouvre aux utilisateurs une collecte de données bien plus importante que nécessaire pour fournir les fonctionnalités de base du jeu. Une meilleure solution serait d’utiliser un autre SDK proposé par Discord, appelé Rich Presence SDK, qui offre des fonctionnalités avec une portée plus limitée sur les données dont il a besoin des utilisateurs.
Heureusement, le Arc Raiders l’équipe de développement a corrigé ce problèmemais Meadows recommande aux joueurs de modifier immédiatement leur mot de passe Discord pour s’assurer qu’il rend invalides tous les jetons potentiellement exposés.