最近在Steam上搞了个技术分析,发现它隐私设置那边有点问题。虽然用户界面里有个“隐身”和“离线”的选项,但是后台管理的地方没跟上,导致用户的活动数据其实还是能被好友端追踪到。说白了,就是前端看起来隐身了,但后端的数据还是在往外发。 这些数据包里还有Unix时间戳呢,记录着用户登录、退出或者状态变更的具体时间。一般好友看着可能没啥区别,但要是有技术的人想搞清楚的话,这就是个实时更新的活动日志。有人试过用这个方法截获了好友持续几周的日常作息习惯,完全没让人察觉到。 研究人员把这事儿跟Valve报告了一下,结果工单被标成“仅供参考”就给关了。平台觉得这种数据只在好友之间传,大家本来就有信任基础,风险没那么大。 不过这也反映了几个大问题:第一是界面显示和后台数据脱节了,搞出个“UI幻觉”,让人误以为自己是隐身的;第二是平台把好友关系当成了数据共享的默认状态,这跟越来越严的数据保护法规好像有点对不上;第三是就算数据传输范围有限,内容敏感又容易被解析利用的风险得好好评估。 现在欧盟和中国都有数据保护法了,像《通用数据保护条例》和《个人信息保护法》,都要求处理数据得透明、最小必要。平台不能光在前端摆个选项糊弄人,后端技术也得跟得上才行。 这次的事不光是个漏洞这么简单,还涉及到用户控制权、数据最小化原则和平台责任边界这些深层话题。现在数字经济发展这么快了,平台不能光靠用户关系来界定数据共享合不合理。 用户在享受便利的时候也得多长个心眼儿。要想建个健康可信的数字生态环境啊,平台、监管方和用户三方都得一起使劲才行。