玩家警惕,ARC Raiders泄露私信与令牌事件曝光
射击游戏《ARC Raiders》因隐私争议引发玩家广泛关注——技术人员曝光,该游戏在玩家关联Discord账号后,会秘密收集私密私信与身份验证令牌,且未在授权协议中明确告知。 事件由工程师Timothy D. Meadows率先披露,他指出这并非游戏默认行为,仅在玩家将Discord账号绑定至《ARC Raiders》后触发,玩家可通过游戏设置菜单解除关联以停止数据收集,Meadows强调,这属于“严重隐私与安全隐患”,影响所有使用该游戏Discord整合功能的玩家。
技术细节拆解:本地日志藏着双重风险
Meadows的调查显示,《ARC Raiders》的Discord SDK会将以下数据完整存入用户设备本地的未加密明文日志文件:
- 玩家与他人的Discord私信内容(无筛选,完整记录);
- Discord Bearer身份验证令牌——这类令牌相当于用户访问Discord的临时“密钥”,持有它可绕过密码直接登录对应账号。
需注意的是,Embark Studios明确表示此类数据并未被上传至游戏服务器,但本地存储的明文日志存在明确风险:若第三方获得玩家设备访问权限(如物理接触、远程控制),或读取游戏崩溃报告,即可轻易获取私密对话与令牌信息。
风险升级:令牌泄露可能导致账号 hijack
Discord Bearer令牌的泄露并非小事——此前有玩家案例显示,因游戏本地日志中的令牌被他人获取,导致Discord账号被篡改,私密消息、好友列表甚至绑定的支付信息都面临暴露风险,Meadows警告,“能够访问用户设备或崩溃报告的第三方,可直接读取这些私密对话”,这一风险点已引发玩家对账号安全的担忧。
开发方紧急回应:热修复与承诺是否足够?
Embark Studios在事件曝光后迅速通过Discord发布更新,回应核心要点包括:
- 承认Discord SDK“记录了过多用户信息”,但未详细说明具体收集机制;
- 已推出紧急热修复补丁,禁用Discord SDK的日志记录功能;
- 承诺“所有私密数据未被发送至设备之外,Embark未曾也不会查阅或保留此类信息”;
- 正在进行更深入的隐私审查,确保无后续问题,玩家可联系支持团队咨询。
不过部分玩家仍存质疑:游戏Discord授权协议中并未提及会收集私信与令牌,是否违反隐私法规?目前暂未看到开发方针对协议问题的进一步说明。
同类事件警示:SDK整合为何常踩隐私红线?
《ARC Raiders》并非首个因第三方SDK引发隐私问题的游戏:
- 2023年,某休闲游戏因接入社交SDK时未关闭调试日志,导致玩家的Discord聊天记录被本地存储,虽及时修复但仍有超千名玩家账号受影响;
- 2022年,某MOBA游戏的第三方登录SDK曾错误收集玩家剪贴板内容(包括密码、银行卡号等敏感信息),引发大规模玩家投诉。
业内人士分析,多数游戏开发团队会为社交功能接入第三方SDK,但常忽略SDK的默认日志配置——部分SDK为调试方便,会默认记录大量用户数据,若开发方未手动关闭,极易引发隐私泄露。
玩家自保指南:降低关联账号风险的3个步骤
针对此类隐私事件,玩家可采取以下措施降低风险:
- 检查并解除关联:登录《ARC Raiders》,进入设置菜单确认是否已关联Discord账号,若暂时无需社交功能,可立即解除绑定;
- 清理本地日志:找到游戏安装目录下的日志文件(通常以.log结尾),删除与Discord相关的记录(注意备份非隐私类游戏日志);
- 警惕设备访问:避免将装有《ARC Raiders》且关联Discord的设备借给不可信人员,同时定期扫描设备是否存在远程访问风险。
想第一时间掌握游戏隐私事件进展、行业动态与实用防护技巧?请持续关注非凡玩家。