Steam bị tố vẫn chia sẻ trạng thái trực tuyến dù đã chuyển sang Offline

Một báo cáo ẩn danh cho rằng Steam vẫn âm thầm chia sẻ thời điểm đăng nhập và đăng xuất ngay cả khi người dùng đặt trạng thái Offline hoặc Invisible, khiến cài đặt quyền riêng tư gần như vô hiệu.

Steam vẫn gửi timestamp dù đã bật chế độ ẩn danh

Theo báo cáo, mỗi khi trạng thái người dùng thay đổi, Steam sẽ gửi các Unix timestamp thô tới toàn bộ bạn bè đã được thêm trên nền tảng. Sự khác biệt duy nhất khi chuyển sang Invisible hoặc Offline là giao diện phía người xem sẽ hiển thị tài khoản ở mục ngoại tuyến. Tuy nhiên, phía client vẫn nhận biết chính xác thời điểm đăng nhập và đăng xuất.

Điều này đồng nghĩa với việc Steam vẫn ghi nhận và truyền tải lịch hoạt động của người dùng, chỉ là không hiển thị công khai trên giao diện thông thường.

Chuyển sang chế độ ẩn nhưng vẫn gửi timestamp thông báo

Người có kiến thức kỹ thuật có thể khai thác dữ liệu

Với người dùng phổ thông, vấn đề này có thể không dễ nhận ra. Tuy nhiên, báo cáo cho biết những ai có kiến thức lập trình có thể chặn và phân tích dữ liệu từ backend Steam. Cụ thể, bằng cách bắt gói tin ClientPersonaState protobuf, một bên thứ ba có thể suy ra thói quen sinh hoạt, thời gian ngủ nghỉ hoặc lịch chơi game của người dùng mà họ không hề hay biết.

Theo Xmrcat, dữ liệu này đủ chi tiết để tái dựng chu kỳ sinh hoạt hàng ngày của một tài khoản, ngay cả khi tài khoản đó luôn để trạng thái Invisible trong nhiều tuần liên tiếp.

Valve bị tố phớt lờ cảnh báo

Tác giả blog cho biết đã gửi báo cáo trực tiếp tới Valve thông qua nền tảng HackerOne. Trong báo cáo, họ trình bày rõ cách tái tạo lịch sinh hoạt của một người dùng dù trạng thái luôn để ẩn. Tuy nhiên, Valve đã đóng ticket với nhãn “Informative”.

Lý do được đưa ra là các gói tin này chỉ được gửi tới bạn bè trên Steam, và công ty cho rằng giữa hai bên đã tồn tại mối quan hệ tin cậy từ trước.

Steam gần như chẳng quan tâm đến vấn đề này

Rủi ro thực tế với người dùng Steam

Vấn đề nằm ở chỗ, trên Steam, rất nhiều người dùng thêm bạn bè mà không hề quen biết ngoài đời, ví dụ như người chơi chung, người trao đổi vật phẩm hoặc đơn giản là chấp nhận lời mời ngẫu nhiên. Trong bối cảnh đó, việc backend vẫn âm thầm chia sẻ dữ liệu hoạt động có thể trở thành rủi ro về quyền riêng tư.

Hiện tại, Valve chưa đưa ra phản hồi chính thức nào khác ngoài việc đóng báo cáo. Nếu thông tin này là chính xác, người dùng Steam cần hiểu rằng trạng thái Offline hoặc Invisible có thể chỉ che giấu về mặt hiển thị, chứ không thực sự ngăn việc dữ liệu hoạt động được chia sẻ ở cấp hệ thống.

 

 

Xem thêm: Nvidia được cho là cắt giảm mạnh RTX 50 đến tận 2026 do cơn khát AI

Xem thêm: AMD ra mắt AMD Software: Adrenalin Edition 26.1.1, giới thiệu Adrenalin AI Bundle hỗ trợ phát triển AI cục bộ trên Windows