Lỗi bảo mật trong ARC Raiders khiến tin nhắn Discord riêng tư bị ghi vào file game, nhà phát triển phải tung bản vá khẩn

Embark Studios vừa phải phát hành một bản cập nhật khẩn cho tựa game ARC Raiders sau khi một nhà nghiên cứu chỉ ra vấn đề bảo mật liên quan đến việc tích hợp Discord trong trò chơi. Sự cố khiến dữ liệu nhạy cảm của người dùng, bao gồm cả tin nhắn riêng tư trên Discord, có thể xuất hiện trong file log của game.

Vấn đề được phát hiện bởi Timothy Meadows, một blogger công nghệ đồng thời là kỹ sư hệ thống. Trong báo cáo của mình, Meadows cho biết hệ thống Discord SDK mà ARC Raiders sử dụng đã ghi lại nhiều dữ liệu hơn mức cần thiết. Cụ thể, các file log của trò chơi có thể chứa nội dung tin nhắn riêng tư giữa hai người dùng trên Discord cùng với một Discord Bearer token - dạng mã xác thực dùng để truy cập dữ liệu tài khoản.

Theo mô tả của Meadows, nguyên nhân xuất phát từ cách SDK của Discord hoạt động khi được tích hợp vào game. Khi người chơi bật tính năng kết nối Discord với ARC Raiders, hệ thống của game sử dụng cơ chế xác thực Bearer token đầy đủ để truy cập dữ liệu từ Discord. Tuy nhiên, thay vì chỉ ghi lại những sự kiện cần thiết cho hoạt động của game, SDK lại lưu toàn bộ dữ liệu nhận được vào ổ đĩa.

Điều này khiến các thông tin nhạy cảm như tin nhắn riêng tư xuất hiện dưới dạng văn bản thuần trong file log của trò chơi. Meadows cho biết việc không lọc các sự kiện nhạy cảm trước khi ghi log là nguyên nhân trực tiếp khiến dữ liệu cá nhân bị lưu lại ngoài ý muốn.

Sau khi thông tin được công bố, Embark Studios đã nhanh chóng triển khai bản cập nhật nhằm khắc phục sự cố. Trong thông báo gửi tới người chơi trên máy chủ Discord chính thức của ARC Raiders, hãng cho biết đã vô hiệu hóa cơ chế ghi log của Discord SDK và đang tiến hành kiểm tra toàn bộ hệ thống để đảm bảo không còn vấn đề tương tự.

Nhà phát triển cũng khẳng định dữ liệu cá nhân của người chơi không bị gửi ra khỏi máy tính. Theo Embark Studios, các file log chứa dữ liệu nhạy cảm chỉ tồn tại cục bộ trên thiết bị của người dùng và đội ngũ phát triển không thu thập cũng như không xem xét các thông tin đó.

Ngoài bản cập nhật đã phát hành, Embark Studios cho biết đang chuẩn bị thêm một bản hotfix nhằm xử lý triệt để việc Discord SDK ghi lại quá nhiều thông tin người dùng. Hãng cũng tiến hành một cuộc kiểm tra bảo mật sâu hơn để đảm bảo hệ thống không tiếp tục ghi nhận dữ liệu ngoài phạm vi cần thiết.