Recientemente, el investigador de seguridad xmrcat estaba estudiando Steam y descubrió un error específico. Resultó que el "estado fuera de línea" no oculta por completo el hecho de que un usuario inicia o cierra sesión.
xmrcat notó que es posible averiguar cuándo un usuario inició sesión por última vez en Steam y cerró su cuenta:
El problema radica en una característica técnica del cliente de Steam: transmite información sobre la actividad del jugador, incluso si ha configurado el modo "Desconectado" (fuera de línea):
Establecer el estado "Desconectado" es, en esencia, solo un efecto visual de la interfaz. Para los demás, puede parecer que está "fuera de línea", pero el administrador de conexiones de backend (Connection Manager, CM) aún continúa transmitiendo información sobre su actividad a través del socket.
Incluso la configuración de "perfil privado" no protege contra esta vulnerabilidad. Esto permite a un extraño evaluar el patrón de sueño de una persona específica mediante el estudio de la actividad de su perfil.
xmrcat informó sobre el problema a Valve, pero no lo corregirán:
Valve cerró el informe con el estado "Para información". Su lógica es la siguiente: para obtener este paquete de datos, debe estar en la lista de amigos del usuario, lo que significa que existe una "relación de confianza". En otras palabras, Valve cree que si agregó a alguien como amigo hace cinco años, automáticamente da su consentimiento para que esa persona pueda reconstruir su patrón de sueño, incluso si habilitó una función diseñada específicamente para ocultar dicha actividad.