В Arc Raiders нашли неприятную историю с приватностью: игра сохраняла личные сообщения из Discord в локальный лог-файл без шифрования. Проблему уже закрыли хотфиксом, но корень уязвимости, похоже, в поведении Social SDK от Discord.
Ситуацию раскопал системный инженер Timothy Meadows. Он описал кейс, где DM-переписка двух игроков попадала в обычный файл логов на диске пользователя в виде plain text. То есть без маскирования и без каких-либо защитных мер.
Как в логах оказались и сообщения, и токен доступа
По описанию инцидента, интеграция Discord в Arc Raiders писала в логи «все события», включая приватные разговоры. Параллельно в лог мог попадать и bearer token — токен, который хранит учётные данные Discord. Если такой токен утечёт, злоумышленник получает полный доступ к аккаунту: личные сообщения, список друзей и настройки.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Проблема не ограничивается тем, что файл лежит на ПК. Риск растёт, когда игра падает, а пользователь отправляет логи в поддержку. В таком сценарии сотрудники студии потенциально могли бы получить и токен, и содержимое DM, если эти строки уже попали в лог.
При этом функциональность, ради которой подключали SDK, довольно приземлённая: показать список друзей Discord в игре и пригласить их в сессию. Для этого, по словам Meadows, хватило бы ограниченного OAuth scope для отображения активности. Такой подход снизил бы шанс, что в лог уедут и переписки, и «ключ от аккаунта».
Что сделала Embark Studios и почему претензии остаются к Discord
Embark Studios уже выпустила хотфикс. Студия заявила, что приватные или персональные данные не отправлялись за пределы ПК игроков, а сама команда не просматривала и не сохраняла возможную персональную информацию, которая могла попасть в логи.
Дальше Embark пошла радикальным путём: компания полностью отключила Discord SDK в игре и начала аудит, чтобы убедиться, что других проблем в этой части нет.
Но инженеры, которые смотрели на API Discord, указывают на системный момент: в Social SDK есть logging hook, который можно переопределить, и при этом, судя по разбору, сам Discord не вычищал чувствительные данные из событий логирования. Один из комментариев по теме звучит так: «Discord’s new Social SDK has a logging hook you can override, and as far as I can tell Discord is failing to scrub log events of sensitive information».
Ссылку на технический разбор Timothy Meadows мы оставим здесь: arc-raiders-discord-sdk-data-exposure.
Контекст: у Discord это не первый инцидент с безопасностью
История ложится в общий фон проблем с безопасностью вокруг Discord. В конце прошлого года сервис атаковали вымогатели: они требовали $3,5 млн (около 320 000 000 рублей) и заявляли о краже 70 000 фото удостоверений личности.
Публичный пост с разбором поведения логирования в Social SDK датирован 5 марта 2026 (UTC) — именно тогда обсуждение проблемы получило второе дыхание, уже с фокусом на то, что часть риска могла быть заложена в SDK.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.
Arc Raiders записывал личные сообщения Discord в открытый лог ⚡️