前几天,有人在技术分析里给 Steam 找到了一个让人挺头疼的隐私漏洞。他们发现,用户在界面上选“隐身”或手动切到“离线”,实际上后台的关键数据传输还在跑。简单来说,就是你在 Steam 客户端里把自己设成了隐身状态,但是你的 Steam 好友还是能通过他们那边的客户端收到你发过去的信号数据包。这些数据包里带着精确的 Unix 时间戳,清楚记录了你啥时候登录、啥时候退出或者是状态改变的具体时间点。 对于普通玩家来说,他们的好友列表可能还是显示你在“离线”,看着没问题。但要是对面是个懂行的技术人员,手里有工具拦截这些通信数据,就能把你这些“隐形”的活动记录给看个一清二楚。只要长期盯着这些数据收罗起来分析,完全可以在你自己都不知道的情况下,把你每天啥时候打游戏、作息习惯这些私密的生活规律给摸得透透的。研究人员就做过实验,在对方一直“隐身”的几周里,他们成功把人家的日常活动模式给扒出来了。 他们已经通过正式渠道跟 Valve 公司报告了这个问题。但平台那边的回复挺让人意外的,工单被标记成了“仅供参考”就直接关闭了。Valve 觉得这些数据都是在好友圈子里流转的,大家本来就互相信任,风险不算大。不过这件事也反映出几个大问题:一个是 UI 界面给人的感觉跟后台真正的数据处理脱节了,容易让人觉得自己的隐私已经得到了保护;另一个是平台把“朋友关系”当成了“默认可以分享数据”的借口,这种逻辑合不合适,尤其是跟现在越来越严的数据保护法规比起来。 现在全球各国都在加紧立法保护个人信息,像欧盟的 GDPR 还有中国的《个人信息保护法》都对数据处理提了要求。平台光有个好看的界面不够用了,得确保底层技术和承诺的功能是一回事儿。这次 Steam 的事不是个简单的小 bug,它其实把数字服务里的用户控制权、最小数据原则还有平台的责任范围这些深层的东西都给亮出来了。 大家在享受数字服务的时候也得多个心眼。要想让数字环境变得更健康可信,不光是平台得好好干活儿,监管者和咱们普通用户都得一起努力才行。