Уязвимость RCE в игровом клиенте версии 3.3.5

[Hellraiser747]

Здравствуйте.


В сообществе обсуждается информация о том, что при подключении к частным серверам могут существовать риски, включая потенциальные уязвимости удалённого выполнения кода в клиенте и методы античита, которые могут затрагивать процессы вне самой игры. Ранее подобные опасения поднимались в контексте серверов, а также общей практики частных серверов для World of Warcraft. При этом компания Blizzard Entertainment в своё время предупреждала о рисках использования неофициальных серверов.

В связи с этим прошу предоставить разъяснения по следующим вопросам:

1. Используются ли на вашем проекте какие-либо механизмы сканирования среды пользователя вне процесса игры (например, проверка открытых окон, процессов, приложений)?
2. Какие именно данные могут собираться клиентом при подключении (IP-адрес, аппаратные идентификаторы, названия процессов, содержимое окон и т. д.)?
3. Как обеспечивается защита этих данных:

* где они хранятся,
* кто имеет к ним доступ,
* как долго они сохраняются,
* применяются ли шифрование и другие меры безопасности?
4. Проводился ли аудит безопасности клиента на предмет уязвимостей (включая возможность удалённого выполнения кода)?
5. Какие меры принимаются для защиты игроков от потенциальных злоупотреблений (включая компрометацию базы данных или утечки)?
6. Соответствует ли обработка данных применимым законам о защите персональных данных (например, GDPR), и существует ли политика конфиденциальности, с которой можно ознакомиться?
7. Есть ли у пользователей возможность отказаться от определённых методов сбора данных или получить информацию о своих данных по запросу?

[belkO]

[deniswow7]

Не надо собирать наши данные, пожалуйста
У меня все кошельки на этом компьютере...

[VúSale]

1. Мы не используем RCE-уязвимость клиента 3.3.5a, к тому же раз углубились в это, то есть где-то на гитхабе патчер, который закрывает эту дыру, и вы не сможете играть на серверах где она используется, к слову таких серверов масса.

2. ИП адрес / аппаратные модификаторы, которые может собирать стандартный Warden (он же античит), если бы стандартный варден мог лезть так глубоко как вы пишите, то читеров/скрипетров бы у нас не было (с ними было бы сильно проще бороться), к слову RCE как раз 90% пираток используют для модификации античита и клиента, к примеру WM/EzWoW/Turtle и многие другие, и работают данные проекты уже очень долго, некоторые из них добрые 10-12+ лет.

3. В РФ хранятся (ДЦ Selectel в Питере), прямой доступ только у куратора проекта (владельца проекта), хранятся по законам РФ, применяются.

4. Клиент игры мы используем стандартный(2009-2010 года) и не модифицируем его, поэтому для игры на нашем сервере подходит абсолютно любой ЧИСТЫЙ клиент 3.3.5a.

5. Все необходимые.

6. Всё есть на главной страничке в футере (https://wowcircle.net/privacy.html | https://wowcircle.net/offer.html), вы уже читали оферту и т.д, ибо спрашивали несколько лет назад про это.

7. Нет, и если что-то не устраивает в этом плане, то можете покинуть наш проект с запросом об удалении вашего игрового аккаунт и соответственно форумного

7.1 Удаление аккаунта происходит только если вы докажите что этот аккаунт регистрировали лично вы, потребуется полная история включая дату регистрации аккаунта / письмо с активацией / были ли блокировки и муты в т.ч их причины / номер телефона если тот привязан к аккаунту / историю того что вы покупали в личном кабинете за бонусы кому и примерно когда, а также чеки операций (покупка бонусов в личном кабинете) если таковые были.

7.2 Если этих данных нет, то увы, ничем помочь не можем, т.к мы не собираем ваши паспортные данные и они не закреплены за вашим аккаунтом, вы нам "принудительно" предоставляете по сути только три основных идентификатора, а именно: логин/почтовый ящик/ип адреса* с которых заходите на аккаунт/личный кабинет.
*данные о входах(ип адреса) не хранятся у нас бесконечно.

Вся остальная информаций к примеру такая как номер банк.карты и т.п платежные данные обрабатывается платежными посредниками (эквайрингом) согласно их офертам и фед.законам, и никак не закреплена за тем или иным игровым аккаунтом глобально.