Kolejny poważny incydent związany z bezpieczeństwem danych wstrząsnął światem gier. Tym razem problem dotknął graczy ARC Raiders, extraction shootera od Embark Studios. Okazało się, że integracja gry z Discordem mogła prowadzić do lokalnego wycieku niezwykle wrażliwych informacji, w tym pełnej treści prywatnych konwersacji. Sprawa, choć szybko załatana, postawiła poważne pytania o standardy implementacji popularnych SDK w grach.
Co właściwie się stało? Szczegóły techniczne błędu
Incydent nie był wynikiem złośliwego działania, lecz poważnego błędu w implementacji. Jak wykrył i opisał na swoim blogu inżynier oprogramowania Timothy D. Meadows, gra ARC Raiders, korzystając z oficjalnego Discord SDK, zapisywała nadmierną ilość danych w lokalnych plikach logów.
Były to nie byle jakie dane. W plikach tekstowych, dostępnych na dysku komputera gracza, można było znaleźć:
- Pełną treść prywatnych wiadomości (DM) wymienianych między użytkownikami.
- Token uwierzytelniający Discorda w formacie „bearer”. To szczególnie niebezpieczny element, ponieważ posiadając go, osoba trzecia mogłaby uzyskać nieautoryzowany dostęp do konta Discord ofiary bez konieczności znajomości hasła.
- Szczegółowe informacje o znajomych z listy, takie jak ich status aktywności.
Kluczowe jest tu słowo „lokalnie”. Dane te, zgodnie z ustaleniami, nie były automatycznie przesyłane na serwery Embark Studios. Problem polegał na tym, że zapisane otwartym tekstem na dysku użytkownika, mogły zostać przejęte na kilka sposobów. Po pierwsze, jeśli gra uległa awarii i wysłała automatyczny raport o błędzie (crash report), te pliki logów mogły zostać do niego dołączone. Po drugie, każdy inny złośliwy program działający na komputerze gracza mógł je odczytać. Po trzecie, sam użytkownik mógł niechcący udostępnić te pliki, na przykład szukając pomocy technicznej na forach.
Błąd uaktywniał się wyłącznie wtedy, gdy gracz miał włączoną opcję integracji z Discordem w ustawieniach ARC Raiders.
Szybka reakcja Embark Studios. Hotfix i audyt
Embark Studios, studio założone przez byłych pracowników DICE, zareagowało na doniesienia Meadowsa niezwykle sprawnie. W krótkim czasie wydano hotfix – szybką, krytyczną poprawkę.
W oficjalnym komunikacie studio uspokajało graczy i wyjaśniało swoje działania:
„Wasze prywatne dane nie zostały wysłane poza wasze urządzenie. Embark nie przegląda ani nie przechowuje takich informacji. Wyłączymy logowanie w SDK i przeprowadzimy dokładny audyt, aby upewnić się, że nie występują dalsze problemy”.
Działania studia nie ograniczyły się tylko do wyłączenia nadmiernego logowania. Deweloperzy zadeklarowali również przeprowadzenie pełnego audytu bezpieczeństwa integracji z Discord SDK, by wykluczyć podobne luki w przyszłości. To ważny gest mający na celu odbudowę zaufania społeczności.
Zalecenia dla graczy. Co robić, jeśli grałeś w ARC Raiders?
Mimo szybkiej reakcji dewelopera Timothy Meadows wskazał konkretne kroki, które gracze powinni rozważyć, szczególnie jeśli aktywnie korzystali z integracji Discord w ARC Raiders przed wydaniem poprawki:
- Zmiana hasła do konta Discord. To podstawowa i najważniejsza czynność prewencyjna. Zmiana hasła unieważnia wszystkie poprzednie tokeny sesyjne, co znacząco ogranicza ryzyko przejęcia konta, nawet jeśli token wyciekł.
- Zachowanie ostrożności przy plikach logów. Absolutnie nie należy udostępniać nikomu plików dziennika z gry, które mogły powstać przed hotfixem. Mogą one zawierać wspomniane wrażliwe dane.
- Tymczasowe wyłączenie integracji. Do czasu pełnego potwierdzenia, że problem został rozwiązany, rozsądnie jest wyłączyć opcję integracji z Discordem w ustawieniach ARC Raiders.
Kontekst gry: ARC Raiders i inne wyzwania
ARC Raiders to darmowa strzelanka typu extraction, która trafiła do wczesnego dostępu na PC (m.in. na Steam). Gracze współpracują, by zbierać cenne zasoby na mapach pełnych wrogich robotów, a następnie bezpiecznie się ewakuować. Incydent z Discordem to niestety niejedyny problem, z jakim mierzy się gra.
Nieco wcześniej głośno zrobiło się o narzekaniach społeczności na dużą liczbę oszustów (cheaterów). Popularny streamer Shroud w swoich materiałach stwierdził nawet, że studio „straciło kontrolę” nad tym aspektem. Embark Studios przyznało, że walka z nieuczciwymi graczami jest priorytetem i pracuje nad ulepszeniem systemów anti-cheat.
Choć kwestia oszustów i wyciek danych z Discorda to dwie oddzielne sprawy, razem tworzą obraz gry, która po premierze mierzy się z poważnymi wyzwaniami technicznymi i wizerunkowymi. Dla studia, które chce zbudować trwałą społeczność wokół gry typu live-service, szybkie i transparentne rozwiązywanie takich problemów jest kluczowe.
Wnioski. Błąd jako przestroga dla całej branży
Incydent z ARC Raiders to doskonałe, choć niepokojące studium przypadku. Pokazuje, jak pozornie standardowa i rutynowa funkcja – jak integracja z popularnym komunikatorem – przy nieodpowiedniej implementacji może stać się poważną luką w prywatności.
Dobrą stroną tej sytuacji jest błyskawiczna reakcja Embark Studios. Hotfix został wdrożony w ciągu kilku godzin od ujawnienia problemu, a komunikacja była jasna: dane nie opuszczały komputerów graczy, a studio natychmiast zajęło się naprawą. To podejście zasługuje na uznanie, zwłaszcza w porównaniu do sytuacji, w których firmy zwlekają z reakcją lub bagatelizują problem.
Sprawa Timothy'ego Meadowsa pokazuje też rolę odpowiedzialnych badaczy bezpieczeństwa. To dzięki ich pracy takie błędy wychodzą na jaw, zanim zostaną wykorzystane w złośliwy sposób na masową skalę.
Ostatecznie cała historia służy jako ważne przypomnienie dla wszystkich graczy. Warto regularnie aktualizować hasła do kluczowych kont, być świadomym, jakie uprawnienia nadajemy grom i aplikacjom, oraz śledzić oficjalne komunikaty deweloperów w sprawach krytycznych aktualizacji. Dla branży zaś to sygnał, że bezpieczeństwo danych użytkowników, nawet tych zapisywanych wyłącznie lokalnie, musi być absolutnym priorytetem na każdym etapie produkcji.
