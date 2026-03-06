Poważna luka bezpieczeństwa została wykryta w pakiecie Discord SDK wykorzystywanym przez niektóre gry komputerowe. Poinformował o tym Timothy Meadows, który podczas analizy jednej z produkcji odkrył, że prywatne wiadomości użytkowników mogą być zapisywane w lokalnych plikach logów bez jakiegokolwiek szyfrowania. Problem dotyczył m.in. gry ARC Raiders, jednak twórcy szybko zareagowali i opublikowali poprawkę.

Luka może leżeć po stronie Discorda, a nie samej gry

Meadows opisał sytuację na swoim blogu. Z jego ustaleń wynika, że implementacja Discord SDK w ARC Raiders korzystała z niezabezpieczonego tokenu autoryzacyjnego typu bearer. Tego typu token przechowuje dane logowania użytkownika Discorda. Jeśli ktoś uzyska do niego dostęp, może przejąć pełną kontrolę nad kontem, włącznie z dostępem do prywatnych wiadomości, listy znajomych czy ustawień profilu.

ARC Raiders korzysta z integracji z Discordem głównie po to, aby wyświetlać w grze listę znajomych i umożliwiać szybkie zapraszanie ich do wspólnej rozgrywki. Zdaniem Meadowsa do takiej funkcjonalności wystarczyłby znacznie bardziej ograniczony zakres uprawnień OAuth. Część inżynierów analizujących API Discorda sugeruje jednak, że źródło problemu może leżeć po stronie samego Discorda, a nie wyłącznie implementacji w grze.

Embark Studios poinformowało, że luka została już usunięta poprzez hotfix. Studio zapewnia, że żadne prywatne dane użytkowników nie zostały przesłane poza ich komputery, a firma nie przeglądała ani nie przechowywała informacji osobistych znajdujących się w logach. Dodatkowo twórcy zdecydowali się całkowicie wyłączyć integrację z Discord SDK i rozpoczęli audyt bezpieczeństwa, który ma sprawdzić, czy podobne problemy nie występują w innych elementach oprogramowania.

Discord wyraźnie nie radzi sobie z bezpieczeństwem danych