Ostatnio wydarzyło się kilka rzeczy związanych z Epic Games Store, które wywołały reakcję łańcuchową wydarzeń. Po pierwsze, Epic Games Store umożliwia użytkownikom importowanie listy znajomych ze Steam. Po drugie, użytkownicy zaczęli monitorować procesy Epic Games Store podczas jego działania. Po trzecie, ludzie zaczęli wariować, kiedy to odkryli Klient Epic miał dostęp do danych użytkownika Steam poza API Steam. To skłoniło dyrektora generalnego Epic Games, Tima Sweeneya, do zabrania głosu w tej sprawie, a nawet udało się nakłonić Valve do wydania oświadczenia w sprawie dostępu stron trzecich do danych użytkowników poza API Steamworks.
Komputer spłukujący jako pierwszy zacytował Tima Sweeneya, który udzielił różnych odpowiedzi w komentarzach na różne tematy sub-reddit threads, wyjaśniając…
„Macie rację, że powinniśmy uzyskiwać dostęp do pliku localconfig.vdf dopiero wtedy, gdy użytkownik zdecyduje się zaimportować znajomych ze Steam. Obecna implementacja jest pozostałością po naszym pośpiechu we wdrażaniu funkcji społecznościowych na początku Fortnite. Właściwie to moja wina, że nakłoniłem zespół odpowiedzialny za uruchamianie, aby bardzo szybko go wspierał, a potem stwierdziłem, że musimy to zmienić. Ponieważ ten problem wysunął się na pierwszy plan, zamierzamy go naprawić.
„Nie używamy API Steam, ponieważ pracujemy nad zminimalizowaniem liczby bibliotek stron trzecich, które uwzględniamy w naszych produktach ze względów bezpieczeństwa i prywatności (nie dotyczy to konkretnie Valve, ale zobacz np. https://www.macrumors.com /2019/02/22/ios-apps-sending-private-data-to-facebook/ w związku z ogólną obawą dotyczącą interfejsów API gromadzących więcej danych niż oczekiwano)
„[…] Pracujemy nad aktualizacją implementacji, tak aby program uruchamiający Epic Games w ogóle dotykał pliku Steam tylko wtedy, gdy zdecydujesz się zaimportować znajomych”
Problem, z którym borykało się wiele osób, polegał na tym, że klient dotykał danych użytkownika Steam, zanim klient Epic Games Store otrzymał pozwolenie na dotknięcie danych.
Co więcej, całkowicie ominął interfejs API Steam, który został zaprojektowany z myślą o dostępie stron trzecich do danych użytkownika. Interfejs API był integralną częścią sposobu, w jaki Counter-Strike: Global Offensive kasyna hazardowe mogły wykorzystywać profile użytkowników do dokonywania transakcji i zakładów za skórki. Jednak Valve wydało list o zaprzestaniu działalności dla witryn hazardowych po tym, jak Komisja ds. hazardu stanu Waszyngton zaatakowała ich w celu ułatwienia hazardu za pośrednictwem interfejsu API, którego strony internetowe osób trzecich używały do obstawiania zakładów w skrzynkach z łupami.
Jednak w tym przypadku Valve poinformowało, że strony trzecie nie powinny ręcznie uzyskiwać dostępu do przechowywanych lokalnie danych użytkownika z pominięciem interfejsu API, co Doug Lombardi z Valve powiedział Bleeping Computer…
„Badamy, jakie informacje program uruchamiający Epic zbiera ze Steam.
„Klient Steam lokalnie zapisuje dane, takie jak lista posiadanych gier, lista znajomych i zapisane tokeny logowania (podobnie jak informacje przechowywane w plikach cookie przeglądarki internetowej). Są to prywatne dane użytkownika, przechowywane na jego komputerze domowym i nie są przeznaczone do wykorzystania przez inne programy ani przesyłania do jakiejkolwiek usługi strony trzeciej.
„Zainteresowani użytkownicy mogą znaleźć plik localconfig.vdf i inne pliki konfiguracyjne Steam w katalogu instalacyjnym swojego klienta Steam i otworzyć je w edytorze tekstu, aby zobaczyć, jakie dane są zawarte w tych plikach. Mogą także przeglądać wszystkie dane związane z ich kontem Steam pod adresem: https://help.steampowered.com/en/accountdata.”
Istnieją dwie grupy, które krytykują Epic Games za tę zagadkę.
Z jednej strony są użytkownicy, którzy obawiają się, że ich dane są gromadzone i wykorzystywane do szpiegowania za pośrednictwem chińskiego rządu, ponieważ Tencent Gaming ma 40% udziałów w Epic Games. Ludzie boją się, że ich dane dotyczące prywatności zostaną wykorzystane przeciwko nim przez Chińczyków w pewnym sensie. Dyrektor generalny i założyciel Epic Games, Tim Sweeney, wielokrotnie to stwierdzał nie wysyłają danych użytkownika do Tencent.
Z drugiej strony są programiści i deweloperzy surowo upominający Epic Games za omijanie interfejsu API Steam w celu uzyskania dostępu do listy znajomych Steam. Chociaż wiceprezes ds. inżynierii w Epic Games, Daniel Vogel, wspomniał, że klient Epic Games Store zbiera jedynie dane z list znajomych Steam, dociekające umysły były sceptyczne wobec tego twierdzenia, ponieważ Epic szyfruje dane użytkowników, które zbiera ze Steam, więc nie jest jasne, czy zbiera tylko dane listy znajomych, a nie reszta danych użytkownika, które analizuje, włączając informacje o bibliotece, czasie spędzonym w grze itp.
Deweloper Derek Smart stwierdził, że problemem nie jest to, czy dane są wysyłane z powrotem do Tencent, ale klient uzyskujący dostęp do danych użytkownika od konkurencyjnego klienta. Przez wiele tweetów, Inteligentny wyjaśnił…
„Zabawne jest dla mnie to, że niektórzy ludzie uważają, że Epic wysyła ich dane do Tencent; a ten dostęp do Steam jest tego przedłużeniem. Jeśli w ogóle to robili, Fortnite jest wystarczająco ogromny, aby zapewnić ogromne dane początkowe. Nie potrzebują Steama.
„Jako [programista] i gracz, moją główną troską, odkąd wyszło to na światło dzienne, nie jest nic wspólnego z szalonymi rzeczami, które wymyślają ludzie. Obawiam się, że jedna strona ma dostęp do danych kontrolowanych przez konkurenta – a zawierają one dane, które równie dobrze mogą stanowić tajemnicę handlową.
„Każdy, kto spędził 10 minut na obserwowaniu postów Tima sprzed kilkudziesięciu lat, powinien od razu wiedzieć, że jest on wielkim zwolennikiem systemów otwartych; a agregowanie danych do celów niezadeklarowanych po prostu nie jest czymś, za czym by się opowiadał, a co dopiero tolerował. Niezależnie od tego, kwestia ta powinna wywołać debatę na temat dostępu jednej strony do danych zebranych przez stronę trzecią, chociaż *zgodnie z prawem* dane te należą do UŻYTKOWNIKA, a NIE do zbieracza. Ale jak zwykle ludzie są oburzeni bezsensownymi i nieistotnymi bzdurami, które nie mają żadnego oparcia w faktach”.
Firma Bleeping Computer ponownie skontaktowała się z firmą Epic Games w celu uzyskania odpowiedzi w związku z dochodzeniem Valve dotyczącym sposobu, w jaki Epic Games Store wykorzystuje dane klientów, ale firma po prostu odniosła się do wpisu Dana Vogela na Reddit, w którym podkreślili sekcję stwierdzającą, że zbierają jedynie dane z list znajomych Steam i szyfrują je w celu przesłania ich na serwery Epic.
[aktualizacja:] Według opublikuj post na /r/Games/użytkownicy, którzy utworzyli skrypt sprawdzający zaszyfrowane pliki wysyłane do Epic, odkryli, że klient Epic Games Store robi coś więcej niż tylko zbieranie i wysyłanie danych z list znajomych Steam z powrotem na serwery. Wysyła także dane o użytkowaniu bibliotek i aplikacji z powrotem do Epic Games.
Gracze i przypadkowi gracze z zewnątrz wciąż nie są przekonani, czy to wszystko jest w porządku, a wciąż jest mnóstwo ludzi, którzy obawiają się, że cień Tencenta wiszącego nad firmą jest zbyt duży, aby go w tej chwili przeoczyć. Ciekawie będzie zobaczyć, co wyjdzie z dochodzenia Valve i czy Epic zmieni swoje strategie pozyskiwania danych z list znajomych.
(Dzięki za wskazówkę dotyczącą wiadomości Derek Smart)
(Główny obraz dzięki uprzejmości Osłona)
