Grave fallo de seguridad fue detectado en el paquete SDK de discordia utilizado por algunos juegos de computadora. Él informó al respecto Timothy Pradosquien descubrió que al analizar una de las producciones mensajes privados de los usuarios se puede guardar en archivos de registro locales sin ningún tipo de cifrado. El problema se refería, entre otros, a los juegos. Asaltantes del arcopero los desarrolladores reaccionaron rápidamente y publicaron una solución.
La vulnerabilidad puede estar en Discord y no en el juego en sí
Meadows describió la situación en su blog. Sus hallazgos mostraron que la implementación del SDK de Discord en ARC Raiders utilizó un token de autorización de portador inseguro. Este tipo de ficha almacena los datos de inicio de sesión del usuario de Discord. Si alguien obtiene acceso a él, puede tomar el control total de la cuenta, incluido acceso a mensajes privados, lista de amigos y configuración de perfil.
ARC Raiders utiliza la integración de Discord principalmente para muestra una lista de amigos en el juego y te permite invitarlos rápidamente a jugar juntos. Según Meadows, un alcance mucho más limitado de permisos OAuth sería suficiente para dicha funcionalidad. Sin embargo, algunos ingenieros que analizan la API de Discord sugieren que La fuente del problema puede estar en el propio Discord, y no únicamente en la implementación en el juego.
Embark Studios anunció que la vulnerabilidad ya se solucionó mediante una revisión. Studio garantiza que los datos privados de ningún usuario se hayan transferido más allá de sus computadoras, una la empresa no revisó ni almacenó información personal contenida en los registros. Además, los desarrolladores decidieron desactivar completamente la integración con Discord SDK ircomenzó una auditoría de seguridadque consiste en comprobar si se producen problemas similares en otros elementos del software.
Discord es claramente malo en materia de seguridad de datos
Esta no es la primera vez que Discord lo pasa mal. A finales del año pasado, la plataforma fue víctima de un ataque de un grupo de ransomware que exigió un rescate de 3,5 millones de dólares a los creadores del sitio web. Según los informes, los atacantes también robaron aproximadamente 70.000 fotografías de documentos de identidad. Esto genera considerables preocupaciones con respecto a la próxima verificación obligatoria de la edad.
