15 марта 2019 15.03.19 31 1767

Epic заподозрили в слежке за пользователями через Epic Games Store. Компания опровергает обвинения

В ходе разборок между обитателями Reddit и разработчиками Phoenix Point появилось обсуждение, автор которого изучил работу Epic Games Store и сделал вывод, что оно следит за геймерами и лезет куда не надо. Пост оказался настолько популярным, что его прокомментировала сама Epic.

Пользователь под ником notte_m_portent составил целый список подозрительных действий клиента (но при этом признаётся, что слабо разбирается в таких вещах и просит помощи у экспертов). Выдвигаются следующие тезисы:

• Клиент Epic Games Store пытается подсчитать точное количество запущенных процессов на компьютере.
• Клиент пытается получить доступ к .dll-файлам сторонних приложений.
• Клиент читает очень много «корневых сертификатов» (root certificates).
• Клиент связывается с записями реестра Internet Explorer и влезает в cookie-файлы этого браузера.
• Информация о компьютере пользователя сохраняется в реестре.
• У клиента много методов для отслеживания, включая скрипт tracking.js.
• В комментариях также выяснили, что клиент Epic Games Store обожает рыскать по директориям Steam, особенно в файле localconfig.vdf, который содержит информацию о пользователе Steam.
Epic якобы прогибается под правительство Китая, ведь не менее 40 % акций компании принадлежит китайскому гиганту Tencent.

С разъяснениями пришёл Дэниел Вогел (Daniel Vogel), вице-президент по инжинирингу Epic Games. Он утверждает следующее:

• В tracking.js находится «отслеживающий пиксель», система, которую используют в программе поддержки создателей контента Support-A-Creator. Epic также следит за статистикой просмотра страниц.
• Клиент отсылает результаты опроса о конфигурации компьютера согласно политике приватности Epic. Соответствующий код могут посмотреть все, у кого есть бесплатный аккаунт с доступом к Unreal Engine 4.
• Наибольшая часть интерфейса клиента строится на браузере Chromium с открытым исходным кодом. Обращение к корневым сертификатам и cookie-файлам — нормальный процесс запуска браузера.
• Клиент сканирует процессы в памяти, чтобы не обновлять запущенные игры. Эту информацию в Epic не отсылают.
• Друзей из Steam импортируют только после согласия пользователя. Если согласие есть, из файла localconfig.vdf в Epic передают исключительно данные о друзьях в зашифрованном виде.
Epic находится под контролем Тима Суини (Tim Sweeney). Внешние владельцы акций компании не имеют доступа к данным о пользователях.

Пользователи начали спрашивать: а почему Epic не использует Steam API, с которым можно передавать данные о друзьях напрямую, без сомнительного ковыряния в личных файлах пользователя? В обсуждение заглянул Тим Суини и пояснил, что Epic старается минимизировать количество стороннего кода и лишних библиотек в клиенте, потому что это может привести к проблемам приватности, безопасности и лицензирования (хотя у Valve репутация в этом смысле хорошая, добавляет Суини).

Глава Epic признал, что торопил команду, которая создавала социальные функции для Fortnite, — именно поэтому Epic Games Store неидеально обращается с файлом localconfig.vdf. В будущем это должны исправить.

Суини даже похвалил notte_m_portent за его независимое расследование и назвал это «здоровым трендом».


Поддержи Стопгейм!

Лучшие комментарии

Друзей из Steam импортируют только после согласия пользователя. Если согласие есть, из файла localconfig.vdf в Epic передают исключительно данные о друзьях в зашифрованном виде.

То есть, они сначала сканируют файлы стима (прямого конкурента, к которому пользователь вообще никаким боком) ещё до согласия пользователя, а если он уж согласился, то так и быть импортируют. Норм схема)
Epic находится под контролем Тима Суини (Tim Sweeney). Внешние владельцы акций компании не имеют доступа к данным о пользователях

Это было бы убедительно в случае много кого. А в случае с Суини «я не п***р, но пара сотен миллионов — пара сотен миллионов»
И да. Много какие сервисы собирают инфу, кто-то возможно даже стороннюю. Разница лишь в том, что
1) обычно перед подобными сборами информации у пользователя запрашивается разрешение
2) сервис делает это внутри себя
3) сервисы не ловят за руку за настолько наглые нарушения.
И да, Суини и Галенкин добились своего: сейчас к сервису будут максимально сильно приглядываться и каждый (КАЖДЫЙ!!!) даже самый маленький косяк будут выводить на всеобщее обозрение. Хотите конкурировать честно? Конкурируйте. Хотя пока конечно эпик максимум нагло ворует 12% от каждой продажи в своем гнилом неработающем посмешище.
Ты тут в соседней новости уже как бы немного обосрался, утверждая, что эпики лезут только ПОСЛЕ согласия. Ты правда веришь в честность человека, который нагло врет про паритет цен, которого нет? Продолжай дальше…
Галенкин ещё в первых интервью говорил что магазин ориентирован на издателей, а не на игроков. Тим Суини в недавнем интервью сказал что глупо бороться со Стимом на поле удобства сервисом и они не будут пытаться. Так что нечему удивляться. Магазин для издателей, игроки пусть идут лесом, а мотивировать покупать они будут эксклюзивами.
То есть доказательств паритета цен не будет? Ну потому что вот partner.steamgames.com/doc/store/pricing
Не, я понимаю, что шакалу Суини удобно так нагло врать. Жаль, что несуществующий паритет цен мешает Team17 выставить на Genesis Alpha One цену не 40$, ведь как и My Time at Portia игру уже можно купить в Steam, а значит… Стойте… Но как так? GAO нет в Steam? Но что же тогда мешает издателю снизить цену и продавать игру по той же цене, что и MTaP??? Наверное… НЕ ЖЕЛАНИЕ ПОЛУЧИТЬ МЕНЬШЕ, а не лживая байка про паритет!
Всё что они сделали за последние пол года что-то не очень похоже на попытку расположить к себе геймеров.
Пользователи начали спрашивать: а почему Epic не использует Steam API, с которым можно передавать данные о друзьях напрямую, без сомнительного ковыряния в личных файлах пользователя? В обсуждение заглянул Тим Суини и пояснил, что Epic старается минимизировать количество стороннего кода и лишних библиотек в клиенте, потому что это может привести к проблемам приватности, безопасности и лицензирования (хотя у Valve репутация в этом смысле хорошая, добавляет Суини).


что что? какой сторонний код? какие лишние библиотеки?
отправляем простой .json-запрос — получаем .json-ответ с данными о друзьях, в чём тут сторонний код и какие такие лишние библиотеки нужно подключать? может, библиотеку для соединения с серверами? как же тогда сейчас работает клиент без неё?

идём дальше,
Клиент сканирует процессы в памяти, чтобы не обновлять запущенные игры. Эту информацию в Epic не отсылают.


зачем сканировать все процессы, чтоб выявить запущенные игры, если можно при запуске игры, простым языком, переключать тумблер запуска, указать в свойствах объекта игры в библиотеке клиента значение «запущено = true» и не проверять ВСЕ процессы, запущенные на компьютере. о чём вы говорите, ребята?

и интересно было бы узнать, к каким именно .dll-кам оно хочет получить доступ

я не утверждаю, что происходит что-то мутное, но, определённо, что-то сильно кривое и костыльное
Слежки пока нет, но будет с обновлением!
отправляем простой .json-запрос — получаем .json-ответ

Это вебинтерфейс. С ним есть загвоздка: нужен апикей, у которого (на сколько я помню) ограничение 20 запросов в минуту. :)
В наше время подобными новостями уже не удивить.
Пока они меня смотивировали лишь воспользоваться самым дешёвым магазином. Метро там «купил» аж по стопроцентной скидке.
partner.steamgames.com/doc/store/pricing
Я понимаю, что чтение не твой конек, твой конек — горбунок. Но ссылку все же открой, почитай. Нет, это не запретит тебе и дальше повторять лживые заявления шакала Суини, не бойся. И Сережку любить не запретит.
А подарки не в счёт?

Ты про: «Собери все 28 игр и выиграй такую личную жабу, которая тебя каждый раз будет душить когда ты захочешь с Epic Games Store'а свалить».
Подобная идея задабривания выглядит умной, но она как можно видеть не достаточная, чтобы игроки смогли одобрить всё остальное что делают Эпики.
Ну без конкретных доказательств это сплошная риторика. ЕГ вполне по существу ответили. Пока новых фактов не появится глупо о чем то спорить.
Есть мнение, что если какой-нибудь толковый кодер тщательно покопается в программном коде магазина, то всплывёт ещё больше интересных подробностей.
Раздача ассетов для Unreal Engine и игр, вначале выглядела как жест щедрой, доброжелательной души Epic Games, но с учетом уже известного, становится понятно, что это было сделано ради того, что бы как можно больше людей установили EGS, что бы они могли сразу, как можно больше парсить пользователей Steam и конечно для них это бы вылилось в огромную прибыль
Не, за такое их точно без вазелина в США и ЕС.
Читай также