เกมยิงออนไลน์ ARC Raiders จากทีมพัฒนา Embark Studios เพิ่งปล่อยอัปเดตเร่งด่วนเพื่อแก้ปัญหาด้านความปลอดภัย หลังมีรายงานว่าระบบของเกมสามารถบันทึก ข้อความส่วนตัว (DM) จาก Discord ของผู้เล่น ลงในไฟล์ log ของเกมโดยไม่ได้ตั้งใจ
เหตุการณ์นี้ถูกเปิดเผยโดย Timothy Meadows นักเขียนด้านเทคโนโลยีและวิศวกรระบบ ซึ่งพบว่าข้อมูลจาก Discord ถูกเก็บมากเกินความจำเป็นผ่านระบบ Discord SDK ที่ใช้เชื่อมต่อบัญชี Discord กับตัวเกม
แม้ Embark Studios จะระบุว่าข้อมูลดังกล่าว ไม่ได้ถูกส่งออกจากเครื่องผู้เล่น แต่เหตุการณ์นี้ก็ทำให้เกิดคำถามสำคัญเกี่ยวกับความปลอดภัยของข้อมูลผู้ใช้ในเกมออนไลน์ยุคใหม่
ช่องโหว่เกิดขึ้นได้อย่างไร
ปัญหานี้เกิดจากการทำงานของ Discord SDK ซึ่งเป็นชุดเครื่องมือที่นักพัฒนาใช้เชื่อมต่อฟีเจอร์ Discord เข้ากับเกม
เมื่อผู้เล่นเปิดใช้งานการเชื่อมต่อ Discord กับ ARC Raiders
เกมจะใช้ระบบยืนยันตัวตนที่เรียกว่า
Discord Bearer Token
เพื่อเข้าถึงข้อมูลบางส่วนของบัญชี
อย่างไรก็ตาม ตามรายงานของ Meadows พบว่า SDK ในเวอร์ชันที่เกมใช้งานอยู่
ไม่ได้กรองข้อมูลที่ละเอียดอ่อนก่อนบันทึกลง log
ส่งผลให้
ข้อความ DM ระหว่างผู้ใช้สองคน
ข้อมูล authentication token
ถูกบันทึกลงในไฟล์ log ของเกมในรูปแบบ ข้อความธรรมดา (plain text)
ข้อมูลถูกเก็บมากเกินจำเป็น
ตามคำอธิบายของ Meadows ปัญหาหลักไม่ได้เกิดจากการโจมตีหรือการแฮ็ก
แต่เกิดจากวิธีการทำงานของ SDK
ระบบบันทึก log ของเกม
บันทึกข้อมูลทุกอย่างที่ได้รับจาก Discord
แทนที่จะเลือกเฉพาะข้อมูลที่จำเป็นสำหรับการทำงานของเกม
ดังนั้นเมื่อ SDK รับข้อมูลจาก Discord
ข้อมูลเหล่านั้นจึงถูกเขียนลงในไฟล์ log โดยตรง
Embark Studios ออกแพตช์แก้ไขทันที
หลังจากรายงานดังกล่าวถูกเผยแพร่ Embark Studios ได้ปล่อยอัปเดตแก้ไขอย่างรวดเร็ว
ทีมพัฒนาได้ประกาศผ่านเซิร์ฟเวอร์ Discord ของเกมว่า
ทีมงานกำลังปล่อย hotfix เพื่อแก้ไขปัญหาที่ Discord SDK บันทึกข้อมูลผู้ใช้มากเกินไป
บริษัทระบุเพิ่มเติมว่า
ข้อมูลส่วนตัว ไม่ได้ถูกส่งออกจากเครื่องของผู้เล่น
Embark ไม่ได้เข้าถึงหรือเก็บข้อมูลดังกล่าว
ระบบ log ของ Discord SDK จะถูก ปิดใช้งาน
พร้อมทั้งกำลังทำการ ตรวจสอบระบบอย่างละเอียดเพิ่มเติม
ข้อมูลส่วนตัวไม่ได้รั่วไหลออกไป
แม้เหตุการณ์นี้จะดูรุนแรงในแง่ความเป็นส่วนตัว แต่ Embark ระบุว่า
ข้อมูลที่ถูกบันทึก
ยังคงอยู่ในเครื่องของผู้เล่นเท่านั้น
ไม่ได้ถูกส่งไปยังเซิร์ฟเวอร์ของบริษัท
และทีมพัฒนาก็ไม่ได้เปิดดูหรือเก็บข้อมูลดังกล่าว
อย่างไรก็ตาม การที่ข้อมูลส่วนตัวถูกบันทึกในไฟล์ log แบบ plain text ก็ยังถือเป็นความเสี่ยงด้านความปลอดภัย
โดยเฉพาะหากผู้ใช้
แชร์ไฟล์ log
อัปโหลด log ไปยังเว็บแก้บั๊ก
หรือมีมัลแวร์ในเครื่อง
บทเรียนด้านความปลอดภัยของเกมออนไลน์
เหตุการณ์นี้เป็นตัวอย่างสำคัญของความท้าทายด้าน
ความเป็นส่วนตัวและการเก็บข้อมูล
ในเกมออนไลน์ยุคปัจจุบัน
เกมจำนวนมากเชื่อมต่อกับบริการภายนอก เช่น
Discord
Steam
Xbox
Epic Games
เพื่อเพิ่มฟีเจอร์ทางสังคม
แต่การเชื่อมต่อเหล่านี้ก็อาจทำให้ระบบเข้าถึงข้อมูลมากกว่าที่ผู้ใช้คาดคิด
Discord SDK ถูกใช้ในเกมจำนวนมาก
Discord SDK เป็นเครื่องมือที่นักพัฒนาเกมนิยมใช้
เพราะช่วยให้สามารถเพิ่มฟีเจอร์อย่าง
การแสดงสถานะใน Discord
การเชิญเพื่อนเข้าเกม
ระบบ voice integration
ได้ง่ายขึ้น
แต่เหตุการณ์ของ ARC Raiders แสดงให้เห็นว่า
การใช้งาน SDK โดยไม่มีการกรองข้อมูลที่เหมาะสม
อาจทำให้เกิดปัญหาด้านความเป็นส่วนตัวได้
ARC Raiders คือเกมอะไร
ARC Raiders เป็นเกมยิงแนว PvPvE แบบ multiplayer
พัฒนาโดย Embark Studios
ซึ่งเป็นสตูดิโอที่ก่อตั้งโดยอดีตผู้พัฒนาจาก DICE (ทีมที่สร้าง Battlefield)
เกมมีรูปแบบการเล่นที่ผสมระหว่าง
การเอาชีวิตรอด
การล่าไอเทม
การต่อสู้กับผู้เล่นและ AI
และกำลังได้รับความสนใจจากผู้เล่นจำนวนมากก่อนการเปิดตัวเต็มรูปแบบ
สรุป
Embark Studios ได้ออกอัปเดตด่วนสำหรับ ARC Raiders หลังพบว่าระบบ Discord SDK ของเกมบันทึกข้อมูลผู้ใช้มากเกินความจำเป็น ส่งผลให้ ข้อความ DM ส่วนตัวของผู้เล่นบางรายปรากฏในไฟล์ log ของเกม
แม้บริษัทจะยืนยันว่าข้อมูลดังกล่าว ไม่ได้ถูกส่งออกจากเครื่องผู้เล่น และไม่ได้ถูกเก็บโดยทีมพัฒนา แต่ก็ได้รีบออก hotfix เพื่อปิดการบันทึกข้อมูลของ Discord SDK พร้อมตรวจสอบระบบเพิ่มเติม
เหตุการณ์นี้เป็นตัวอย่างสำคัญที่เตือนให้ทั้งผู้พัฒนาและผู้เล่นตระหนักถึงความสำคัญของ ความปลอดภัยและความเป็นส่วนตัวของข้อมูลในแพลตฟอร์มเกมออนไลน์