Nesta terça-feira, um engenheiro de segurança fez uma denúncia um tanto quanto preocupante: a Riot Games estaria obtendo dados de seus usuários ilegalmente. A publicação, feita por JustAReverser no site Unknown Cheats, revela um código que pode ser malicioso no software anti-trapaça da empresa, Vanguard, utilizado nos jogos Valorant e com estreia prevista no League of Legends (LoL) nesta quarta-feira (1).
Segundo o autor, a descoberta foi feita há “algumas semanas”, e foi encontrada somente pelo seu interesse em entender melhor como o Vanguard funciona, já que ele também será implementado no famoso MOBA. Segundo “JustAReverser”, que preferiu não se identificar, o software anti-trapaça da empresa possui um código que permite a captura de tela de toda a interface do computador — e não somente do jogo “protegido”. Supostamente, o recurso registraria qualquer tipo de sobreposições (overlays) e até o conteúdo exibido em outros monitores na área de trabalho.
O engenheiro de segurança explicou que os parâmetros que ativam o código ainda não foram identificados, mas sabe-se que ele é executado ao menos uma vez em cada partida de Valorant. O formato da imagem, sua qualidade e conteúdo registrado, são detalhes decididos pelo Servidor do Vanguard.
Ao que parece, ainda é possível que Valorant esteja também capturando imagens de telas de uma “maneira mais obscura” — algo ainda a ser investigado a fundo. Mas afinal, como isso supostamente afeta os usuários e jogadores que possuem o Vanguard instalado?
Para responder a dúvida, o Voxel entrou em contato com “JustAReverser”, através de nossas fontes “Rose” e “Luck”, via Discord. Confira abaixo a entrevista exclusiva com o engenheiro de segurança, que preferiu deixar seu nome no anonimato.
Quebra da privacidade de dados do Vanguard
Antes de começar, vale detalhar mais sobre o contexto da descoberta de “JustAReverser”, que ocorreu em parceria com outro especialista que se identifica como “0xCODEBABE”. Segundo o engenheiro de segurança, o problema foi identificado ainda na versão de abril de 2024 do Vanguard — mas já era alvo de especulações há anos, com as supostas provas sendo obtidas somente agora.
Segundo “JustAReverser”, o código ainda está ativo e é funcional, não se tratando de uma adição “esquecida” por desenvolvedores. Ele ainda afirma ter capturas de telas obtidas através do bitblt presente no arquivo “Valorant.Exe”, no formato BMP, eventualmente convertido em JPEG pelo arquivo “vgc.exe” — parâmetros que podem ser modificados.
Entrevista do Voxel com JustAReverser, que preferiu não ser identificado. (Fonte: Luck, Adriano Camacho, Voxel)
O engenheiro de segurança ainda afirma outra anomalia preocupante: o Vanguard estaria exportando dados de cidadãos da União Europeia diretamente para servidores norte-americanos, algo contra o Regulamento Geral sobre a Proteção de Dados (GDPR). De maneira similar, o mesmo problema também pode estar acontecendo com jogadores brasileiros, o que violaria a Lei Geral de Proteção de Dados Pessoais (LGPD) — no entanto, é algo que ainda deve ser tratado como especulação.
Vanguard pode vazar meus dados?
Ao menos até o momento, “JustAReverser” afirma que o Vanguard não enviou os dados obtidos para agentes terceiros — apenas para os servidores norte-americanos. No entanto, ele faz um alerta sobre a possível gravidade do cenário: “Há pessoas que podem trabalhar de casa e ter dados de suas empresas vazados. Tenha em mente que, caso a Riot Games seja hackeada — novamente —, todas as capturas de tela poderiam vazar.”
Além disso, o caso pode piorar: “um hacker poderia até mesmo controlar a captura de tela a qualquer momento que quisesse,” explica o engenheiro de segurança. E se parece uma possibilidade muito remota, vale lembrar que a Riot Games já foi hackeada, há cerca de um ano, se negando a pagar “o resgate de dados” de US$ 10 milhões — cerca de US$ 52 milhões, em conversão direta.
Se confirmado, problema de privacidade de dados da Riot pode afetar milhões de jogadores. (Fonte: Adriano Camacho, Voxel)
Nesse contexto, “Luck” — nossa fonte, que também é desenvolvedor e atua na área de engenharia reversa —, alerta os jogadores: “Com a implementação do Vanguard no League of Legends amanhã, 1º de maio, eu recomendaria tomar cuidado com o que você deixa exposto enquanto joga”.
Ele recomenda: “Pessoalmente, vou usar dois computadores para separar a minha vida pessoal e os jogos,” explica, “para evitar qualquer problema com meus dados sendo compartilhados com fontes que desconheço.”
A Riot Games e a LGPD
Na eventualidade da Riot Games ter realmente obtido dados de seus usuários ilegalmente, isso violaria a Lei Geral de Proteção de Dados Pessoais (LGPD) — que cuida das informações dos brasileiros desde 2018. Neste suposto caso, a empresa norte-americana poderia encarar uma série de sanções, dispostas abaixo, conforme descrito pelo site Terracap:
- Advertência;
- Multa simples (até 2% do faturamento até o limite de R$ 50 milhões);
- Multa diária;
- Possibilidade de publicização da infração;
- Bloqueio dos dados pessoais envolvidos;
- Eliminação dos dados pessoais envolvidos;
- Suspensão parcial, por até 06 (seis) meses do banco de dados envolvido; e
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Contudo, é possível especular que as medidas nesse caso hipotético seriam revisadas conforme a gravidade do problema, segundo as normas da Autoridade Nacional de Proteção de Dados (ANPD).
Para falar do caso, o Voxel entrou em contato com a Riot Games, mas não recebeu uma resposta até a publicação desta reportagem. Atualizaremos o texto com novas informações.
No entanto, a empresa publicou a seguinte nota, em 2020, acerca do Vanguard:
“O Vanguard não coleta ou processa nenhuma informação pessoal além do que a solução anti-cheat atual de League of Legends faz. A Riot não quer saber mais sobre você ou sua máquina do que o necessário para manter alta integridade em seu jogo. Os dados do jogo que coletamos são usados para a operação do jogo e de serviços relacionados à integridade, como Packman e Vanguard.”