Jesteś niewidoczny na Steam tylko z nazwy? Kontrowersje wokół prywatności użytkowników

Ustawienie statusu „Niewidoczny” lub „Offline” na Steamie od lat uchodzi za prosty sposób na zachowanie prywatności. Najnowsze doniesienia sugerują jednak, że to jedynie kosmetyczna zmiana, która nie do końca działa tak, jak spodziewaliby się użytkownicy.

Anonimowy autor bloga Xmrcat twierdzi, że klient Steam wciąż przesyła informacje o godzinach logowania i wylogowania, nawet gdy użytkownik ustawi się jako niewidoczny lub offline. Według jego analizy backend platformy nadal rozgłasza tzw. surowe znaczniki czasu w formacie Unix do listy znajomych. Różnica polega jedynie na tym, że interfejs po stronie odbiorcy ukrywa aktywność i wyświetla profil jako offline.

Steam wciąż przesyła informacje o godzinach logowania i wylogowania, nawet gdy użytkownik ustawi się jako niewidoczny lub offline.

Znaczniki czasu zdradzają więcej, niż się wydaje

Problem nie musi dotyczyć przeciętnego gracza, ale osoby mające wiedzę programistyczną mogą (według autora) przechwycić komunikaty typu ClientPersonaState i na ich podstawie odtworzyć nawyki użytkownika. W praktyce pozwala to oszacować godziny snu, aktywności czy grania, nawet jeśli profil jest ustawiony jako prywatny.

Zgłoszenie do Valve bez efektu

Xmrcat twierdzi, że zgłosił problem Valve za pośrednictwem platformy HackerOne, dołączając dowody na możliwość rekonstruowania cyklu dnia użytkownika, który przez długi czas pozostawał „niewidoczny”. Zgłoszenie zostało jednak zamknięte jako informacyjne. Valve miało uznać, że dane trafiają wyłącznie do osób z listy znajomych, co zakłada pewien poziom zaufania między stronami.

Tu pojawia się kluczowy problem. Wielu użytkowników Steama dodaje do znajomych osoby, których nie zna osobiście, np. współgraczy z matchmakingu czy członków społeczności. W takim przypadku potencjalny dostęp do szczegółowych danych o aktywności może budzić uzasadnione obawy o prywatność.

Choć opisywana sytuacja nie musi oznaczać masowego naruszenia danych, podważa sens istnienia trybu „Offline” jako realnego narzędzia ochrony prywatności. Jeśli doniesienia się potwierdzą, Valve powinno w końcu coś z tym zrobić.