В Steam обнаружили уязвимость — Valve отказалась исправлять, поскольку её могут использовать лишь друзья
Режим «Не в сети» оказался лишь косметическим эффектом. Другие люди имеют возможность получить информацию об активности пользователя.
Недавно исследователь безопасности xmrcat изучал Steam и обнаружил специфический баг. Оказалось, что «офлайн-статус» не полностью скрывает факт входа / выхода пользователя из сети.
xmrcat обратил внимание на то, что есть возможность выяснить, когда пользователь последний раз логинился в Steam и выходил из аккаунта:
Дело в технической особенности клиента Steam — он передаёт информацию об активности игрока, даже если он установил режим «Не в сети» (офлайн):
Установка статуса «Не в сети» — по сути, всего лишь визуальный эффект интерфейса. Для остальных вы можете выглядеть «офлайн», но бэкенд‑менеджер соединений (Connection Manager, CM) всё равно продолжает передавать информацию о вашей активности через сокет.
Даже настройки «приватного профиля» не защищают от этой уязвимости. Это позволяет постороннему оценить график сна конкретного человека, исследуя активность его профиля.
xmrcat сообщил о проблеме Valve, но исправлять её не будут:
Valve закрыла отчёт со статусом «Для сведения». Их логика такова: чтобы получить этот пакет данных, нужно быть в списке друзей пользователя, а значит, существует «доверительное отношение». Иными словами, Valve считает, что если вы добавили кого-то в друзья пять лет назад, то тем самым вы автоматически даёте согласие на то, чтобы этот человек мог восстановить ваш график сна — даже если вы включили функцию, специально предназначенную для скрытия такой активности.
