Lỗ hổng bảo mật nghiêm trọng trong ARC Raiders khiến dữ liệu Discord bị ghi vào file game
Embark Studios đã buộc phải phát hành một bản cập nhật khẩn cấp cho tựa game ARC Raiders sau khi một nhà nghiên cứu phát hiện lỗi bảo mật nghiêm trọng liên quan đến việc tích hợp Discord. Sự cố này khiến các tin nhắn riêng tư của người dùng trên Discord cùng với mã xác thực Bearer token có thể bị ghi lại vào file log của trò chơi, tạo ra nguy cơ rò rỉ thông tin cá nhân.
Nguyên nhân và mức độ ảnh hưởng của lỗi
Theo báo cáo từ Timothy Meadows, một blogger công nghệ kiêm kỹ sư hệ thống, vấn đề xuất phát từ cách thức hoạt động của Discord SDK khi được tích hợp vào ARC Raiders. Khi người chơi kích hoạt tính năng kết nối Discord với game, hệ thống sử dụng cơ chế xác thực Bearer token đầy đủ để truy cập dữ liệu từ nền tảng này.
Tuy nhiên, thay vì chỉ ghi lại những sự kiện cần thiết cho hoạt động của trò chơi, SDK lại lưu toàn bộ dữ liệu nhận được vào ổ đĩa mà không qua bất kỳ bộ lọc nào. Điều này dẫn đến việc các thông tin nhạy cảm, bao gồm nội dung tin nhắn riêng tư giữa hai người dùng và token xác thực, xuất hiện dưới dạng văn bản thuần túy trong file log của game.
Meadows nhấn mạnh rằng việc thiếu cơ chế lọc sự kiện nhạy cảm trước khi ghi log là nguyên nhân trực tiếp khiến dữ liệu cá nhân bị lưu lại ngoài ý muốn, làm dấy lên lo ngại về quyền riêng tư của cộng đồng game thủ.
Phản ứng nhanh chóng từ nhà phát triển
Ngay sau khi thông tin về lỗi bảo mật được công bố, Embark Studios đã nhanh chóng triển khai các biện pháp khắc phục. Trong thông báo chính thức gửi đến người chơi trên máy chủ Discord của ARC Raiders, hãng cho biết đã vô hiệu hóa cơ chế ghi log của Discord SDK và đang tiến hành kiểm tra toàn bộ hệ thống để đảm bảo không còn vấn đề tương tự xảy ra.
Nhà phát triển cũng khẳng định rằng dữ liệu cá nhân của người chơi không bị gửi ra khỏi máy tính và chỉ tồn tại cục bộ trên thiết bị của người dùng. Embark Studios nhấn mạnh rằng đội ngũ phát triển không thu thập hay xem xét các thông tin nhạy cảm này, nhằm xoa dịu mối lo ngại về vi phạm quyền riêng tư.
Các bước tiếp theo để đảm bảo an toàn
Ngoài bản cập nhật khẩn đã được phát hành, Embark Studios thông báo đang chuẩn bị thêm một bản hotfix nhằm xử lý triệt để việc Discord SDK ghi lại quá nhiều thông tin người dùng. Hãng cũng tiến hành một cuộc kiểm tra bảo mật sâu hơn để đảm bảo hệ thống không tiếp tục ghi nhận dữ liệu ngoài phạm vi cần thiết.
Các biện pháp này bao gồm:
- Vô hiệu hóa tạm thời cơ chế ghi log của Discord SDK.
- Triển khai bản hotfix để lọc sự kiện nhạy cảm trước khi ghi dữ liệu.
- Kiểm tra toàn diện hệ thống nhằm phát hiện và khắc phục mọi lỗ hổng tiềm ẩn.
Sự cố này một lần nữa nhấn mạnh tầm quan trọng của việc bảo vệ dữ liệu cá nhân trong ngành công nghiệp game, đặc biệt khi các trò chơi ngày càng tích hợp nhiều nền tảng bên thứ ba như Discord.
