Un grave informe de seguridad ha sacudido a Arc Raiders, el shooter de extracción de Embark Studios. El ingeniero Timothy D. Meadows ha publicado un detallado análisis en el que denuncia que el juego, a través de su integración con el SDK de Discord, estaba registrando en texto plano las conversaciones privadas (DMs) de los usuarios que vinculaban su cuenta, y almacenándolas en un archivo local accesible. Además, se descubrió que el token de autenticación Bearer de Discord también quedaba expuesto en el mismo archivo.
Según el informe, el juego abría una conexión completa con la puerta de enlace de Discord, similar a la que usa la propia aplicación de escritorio. Esto permitía que eventos como MESSAGE_CREATE (mensajes privados) y PRESENCE_UPDATE (estado de los amigos) se escribieran sin filtrar en un archivo de registro local. Cualquier persona con acceso al ordenador, o que recibiera un informe de errores del juego, podría leer conversaciones privadas y, con el token, incluso cambiar la configuración de la cuenta de Discord de la víctima.
Embark Studios reaccionó con rapidez. A través de un comunicado también publicado en Discord, la compañía confirmó que su SDK “registraba información excesiva de los usuarios” y lanzó un hotfix para eliminar esta funcionalidad. El estudio aseguró que los datos no fueron enviados a sus servidores y que no revisarán ni conservarán dicha información. “Deshabilitaremos el registro del SDK de Discord y realizaremos una auditoría más profunda”, afirmaron.
Las pruebas posteriores al parche confirman que los registros de Discord ya no se generan. Meadows corrigió también su informe inicial: el token Bearer no permitía enviar mensajes en nombre del usuario, solo modificar ajustes de voz. Sin embargo, el alcance de la filtración sigue siendo alarmante. La investigación pone en tela de juicio las prácticas de privacidad de los SDK de Discord y la responsabilidad de los desarrolladores a la hora de integrarlos.
