Epic заподозрили в слежке за пользователями через Epic Games Store. Компания опровергает обвинения

В ходе разборок между обитателями Reddit и разработчиками Phoenix Point появилось обсуждение, автор которого изучил работу Epic Games Store и сделал вывод, что оно следит за геймерами и лезет куда не надо. Пост оказался настолько популярным, что его прокомментировала сама Epic.

Пользователь под ником notte_m_portent составил целый список подозрительных действий клиента (но при этом признаётся, что слабо разбирается в таких вещах и просит помощи у экспертов). Выдвигаются следующие тезисы:

• Клиент Epic Games Store пытается подсчитать точное количество запущенных процессов на компьютере.
• Клиент пытается получить доступ к .dll-файлам сторонних приложений.
• Клиент читает очень много «корневых сертификатов» (root certificates).
• Клиент связывается с записями реестра Internet Explorer и влезает в cookie-файлы этого браузера.
• Информация о компьютере пользователя сохраняется в реестре.
• У клиента много методов для отслеживания, включая скрипт tracking.js.
• В комментариях также выяснили, что клиент Epic Games Store обожает рыскать по директориям Steam, особенно в файле localconfig.vdf, который содержит информацию о пользователе Steam.
• Epic якобы прогибается под правительство Китая, ведь не менее 40 % акций компании принадлежит китайскому гиганту Tencent.

С разъяснениями пришёл Дэниел Вогел (Daniel Vogel), вице-президент по инжинирингу Epic Games. Он утверждает следующее:

• В tracking.js находится «отслеживающий пиксель», система, которую используют в программе поддержки создателей контента Support-A-Creator. Epic также следит за статистикой просмотра страниц.
• Клиент отсылает результаты опроса о конфигурации компьютера согласно политике приватности Epic. Соответствующий код могут посмотреть все, у кого есть бесплатный аккаунт с доступом к Unreal Engine 4.
• Наибольшая часть интерфейса клиента строится на браузере Chromium с открытым исходным кодом. Обращение к корневым сертификатам и cookie-файлам — нормальный процесс запуска браузера.
• Клиент сканирует процессы в памяти, чтобы не обновлять запущенные игры. Эту информацию в Epic не отсылают.
• Друзей из Steam импортируют только после согласия пользователя. Если согласие есть, из файла localconfig.vdf в Epic передают исключительно данные о друзьях в зашифрованном виде.
• Epic находится под контролем Тима Суини (Tim Sweeney). Внешние владельцы акций компании не имеют доступа к данным о пользователях.

Пользователи начали спрашивать: а почему Epic не использует Steam API, с которым можно передавать данные о друзьях напрямую, без сомнительного ковыряния в личных файлах пользователя? В обсуждение заглянул Тим Суини и пояснил, что Epic старается минимизировать количество стороннего кода и лишних библиотек в клиенте, потому что это может привести к проблемам приватности, безопасности и лицензирования (хотя у Valve репутация в этом смысле хорошая, добавляет Суини).

Глава Epic признал, что торопил команду, которая создавала социальные функции для Fortnite, — именно поэтому Epic Games Store неидеально обращается с файлом localconfig.vdf. В будущем это должны исправить.

Суини даже похвалил notte_m_portent за его независимое расследование и назвал это «здоровым трендом».