Amikor az Epic Games Store tavaly év végén berobbant a köztudatba, alaposan felrázta a digitális disztribúció kicsit monopolnak érződő piacát, viszont megjelenése óta hatalmas vita alakult ki az Epic üzleti stratégiája körül, illetve a platform létjogosultságát is sokan megkérdőjelezték az elmúlt hónapokban. Most újabb és minden eddiginél súlyosabb vádak érték az Epic digitális boltját.
A Reddit és a Metacouncil fórumok felhasználói a napokban olyan nyomokra leltek, amelyek arra engednek következtetni, hogy az Epic Games Store olyan adatokat nyer ki a Steam profilunkból, mint például a barátaink listája vagy a feltelepített játékok. A Steam profilokhoz alapvetően bárki hozzáférhet, ugyanis van egy publikus API, ami pont erre való, viszont az Epic rendszere nem API hívásokon keresztül, hanem egyenesen a fájlrendszerben keresgélve találja meg lokálisan ezeket az adatokat, hogy felépítsen belőlük a saját könyvtárában egy kisebb adatbázist.
Ezek alapvetően nem új keletű ötletek, hiszen több hasonló példát lehet látni a szoftveriparban arra, hogy az egyik platform a másik adataiban kutakodik: ha például feltelepítünk egy böngészőt, általában lehetőségünk van arra, hogy automatikusan átmásolódjon minden böngészési adatunk a többi böngészőből. Az sem újdonság, hogy más platformok hozzáférnek a Steam profilunkhoz, hiszen ezért van a publikus API, viszont mind a két érvelés esetében van egy nagyon fontos különbség:
ezek az alkalmazások explicit engedélyt kérnek arra, hogy hozzáférjenek a szóban forgó adatokhoz.
Ha még ennél is alaposabban és szakmaibban akarjuk vizsgálni a kérdést, akkor felmerülhet még egy szempont, illetve viszonyítási alap: más alkalmazások gyakran gyűjtenek adatokat analitikai céllal, mert jobban meg akarják érteni a felhasználóikat, viszont ezekben az esetekben a szolgáltatónak figyelembe kell vennie azt a kritikus szempontot, hogy a gyűjtött adatokban nem lehet PII (Personally Identifiable Information) vagyis olyan adat, amiből a harmadik fél egyértelműen ki tudja következtetni a felhasználó kilétét. A fenti adatok alapján ez még nem garantált, ugyanis látjuk, hogy ha máshol nem is, lokálisan bizonyosan tárolva vannak ilyen információk.
Természetesen semmilyen helyzetben nem fair, ha a vádlott nem kap szót, az Epic Games pedig most egy hosszabb közleménnyel reagált is a közösség által talált bizonyítékokra:
"Egy trackelő szolgáltatást használunk arra, hogy a Support-A-Creator program keretében ki tudjuk fizetni az alkotókat. Emellett statisztikai adatokat is felhalmozunk. A launcher meghatározott időközönként lekérdezi a hardverek jellemzőit pontosan úgy, ahogy az adatvédelmi nyilatkozatunkban le van írva. Ennek a forráskódja itt található(megj.: ez a kódbázis privát, de az Unreal Engine-közösség tagjai kaphatnak hozzáférést). A posztban leírt UDP adatforgalom a launcher egy funkciója, ami arra való, hogy az Unreal szerkesztővel kommunikáljon. Ennek a forráskódja szintén megtalálható a Githubon. A launcher nagy része webes technológiákkal valósult meg és a Chromium segítségével van kirenderelve (megj.: ez a Chrome böngészőt hajtó motor, ami szabadon felhasználható más szoftverek számára). Az erre vonatkozó tanúsítványok és cookie-hozzáférés a web böngészőkhöz kapcsolható, normális jelenség. A launcher megnézi a jelenleg futó háttérfolyamatokat, hogy ne próbáljon meg olyan alkalmazást frissíteni, ami éppen fut. A steames barátlistádat a te kizárólagos engedélyeddel importáljuk be. A launcher csinál egy titkosított lokális másolatot a localconfig.vdf fájlból, viszont ez az információ csak akkor jut el hozzánk, ha úgy döntesz, hogy beimportálod a Steames barátaidat és akkor is csak a titkosított felhasználói azonosítókat küldjük át a fájlból, semmilyen más információt nem."
A hardveres adatokra vonatkozó forrásfájlt a cikk írása közben én is ellenőriztem és
valóban nem tartalmaz személyes adatot, valamint a verziókövető rendszer szerint 10 hónapja nem is változott, tehát már az Epic Store előtt is bőven így működött.
Ennél viszont sokkal érdekesebb és nehezebben vizsgálható a vádló poszt utolsó bekezdésének szövege: "korábban felismertük, hogy a lokálisan tárolt adatok személyesek, viszont azt nem tudtuk minden kétséget kizáróan megállapítani, hogy ezekből az adatokból garantáltan minden eljut egy illetéktelen félhez".
Az Epic közleménye szerint ez nem történik meg, viszont erről a jelenlegi adatok és tények ismeretében mi magunk nem tudunk megbizonyosodni, mert vagy a forráskódot (ez nem publikus) vagy a launcher adatforgalmát kellene alaposan vizsgálni.
Az Epic az utóbbi időben elég sok leckét vett át a szoftveripar többi ágából, amiket sikerrel is alkalmazott, úgyhogy ezek után igen kiábrándító lenne megtudni, hogy a legrosszabb gyakorlatokat is sikerült átemelni. Ugyanakkor fontos azt is kiemelni, hogy míg egyértelműen nem övön aluli a launcher működése, szem előtt kell tartani, hogy az illegalitására vonatkozóan még nincs egyértelmű bizonyítékunk, csak alapos gyanúnk.
Rengeteg teória, féligazság vagy valamely irányba elfogult magyarázat terjeng már erről az egészről, ilyen esetben pedig mindig érdemes Occam borotváját használni: amíg nincs döntő erejű bizonyítékunk, addig válasszuk azt a magyarázatot, amelyben kevesebb a feltételezés.
