Уязвимость в индонезийской системе классификации игр обернулась одной из самых неожиданных утечек последних лет: в открытый доступ попало более часа неопубликованных материалов из нескольких готовящихся к релизу игр, в первую очередь бондианы от IO Interactive — 007: First Light.
Как стало известно об уязвимости
Уязвимость обнаружил пользователь Reddit под ником Me_Finity, который разрабатывал альтернативный интерфейс для базы данных IGRS (Индонезийская система рейтингов игр). В процессе работы он выяснил, что скрытые от публики записи по-прежнему доступны при ручном вводе внутреннего идентификатора игры. Незащищённые API бэкенда позволяли любому желающему получить доступ к материалам, которые были поданы для получения классификации.
IGRS требует от разработчиков предоставлять игровые ролики, демонстрирующие насилие, ненормативную лексику, сексуальный контент и прочие элементы, влияющие на возрастной рейтинг. Как правило, материалы передаются через приватные ссылки на Google Drive. Из-за уязвимости эти данные оказались в открытом доступе. Всего было затронуто более 1000 игр.
Главной жертвой стала 007: First Light. В сети распространяется более часа игровых материалов, включая и возможную концовку тайтла. Для нарративного проекта это достаточно серьёзный удар: игра выходит уже 27 мая, так что спойлеры оказались в свободном доступе более чем за шесть недель до релиза.
Также среди утечки оказались ролики с ключевыми сюжетными моментами из Echoes of Aincrad от Bandai Namco. Выход игры запланирован на июль.
Помимо этого можно отметить ремейк Assassin’s Creed: Black Flag от Ubisoft и Castlevania: Belmont’s Curse от Konami, однако на момент публикации видеоматериалы по этим играм в открытый доступ, похоже, не попали.
Кроме игровых роликов оказались доступны и более 1000 электронных адресов разработчиков из крупных студий оказались публично доступны.
Ник МакКоннелл, менеджер по возрастным рейтингам в Riot Games, прокомментировал ситуацию, объяснив, что IGRS просит разработчиков присылать материалы через приватные Google Drive-ссылки. По его предположению, некоторые из этих ссылок могли «каким-то образом стать более публичными». МакКоннелл охарактеризовал систему IGRS как «незрелую, находящуюся в процессе развития» и порекомендовал разработчикам «предоставлять только самые необходимые материалы». Он также отметил, что команда IGRS, по его ощущениям, невелика и располагает ограниченными ресурсами.
IGRS под шквалом критики
Этот инцидент произошёл на фоне уже имевшихся претензий к индонезийскому органу. Система была создана в 2016 году как добровольная рейтинговая платформа для индонезийских игр. В 2024 году получение рейтинга стало обязательным для всех игр, распространяемых на территории страны, а с января 2026 года игры, не получившие рейтинг, могут быть заблокированы Министерством связи и цифровых технологий.
Это уже второй серьёзный промах IGRS за прошедший месяц: незадолго до этого на площадке Steam появились некорректные рейтинги: Call of Duty получила пометку «3+», а некоторые детские игры — «18+».
Уязвимость API после утечки устранили, однако слитые материалы продолжают распространяться по сети. Если вы планируете пройти 007: First Light или Echoes of Aincrad без спойлеров, то будьте очень осторожны в социальных сетях и на игровых форумах в ближайшие недели.
