Általában a rosszindulatú kódok igyekeznek minél kisebbek lenni, kerülve a feltűnést. Ekletáns példa az SQL Slammer, ami assemblyben készült és mindössze 376 byte méretű lett a végrehajtható állománya, 2003-ban globálisan lelassította az Internetet (közvetve).
Nos, a mostani malware az ellenkező irányt választotta, a teljes mérete 85 GB. A szerzője nem más, mint a WB Games, megjelenési formája pedig az általuk 2 éve kiadott Hogwart's Legacy című játék. Még talán valamikor tavaly wishlistre raktam Steamen, viszont az éppen aktuális vélemények és fórumtémák miatt a beszerzés most biztosan szünetelni fog. Ennek folyományként megeshet, hogy bizonyos részletekben tévedhetek, de a fő problémában nem.
GDPR, szerződés
Ha jól értettem a Steam egyik kapcsolódó fórumtopicját, a játék talán sandbox lehetett a megjelenése idején, de nem sokkal ezelőtt egy frissítés után mindenféleképpen kell hozzá az online jelenlét és WB Games fiók összekapcsolva a Steammel, valamint a frissített EULA egyértelművé teszi, hogy adatgyűjtés zajlik a játék ideje alatt és ha valaki ki szeretne ebből lépni, akkor itt és ott megteheti. Ez már önmagában sérti a GDPR-t, mert világosan meg van fogalmazva, hogy adatgyűjtés csak a felhasználó beleegyezésével történhet. Ha netán valakiben kétség merülne fel: nincs az az EULA, amely a tövények felett áll, miután a GDPR-t minden EU tagállamnak implementálnia kellett. Egyébként a megadott linkek nem vezetnek olyan oldalakra, amelyekről ki lehetne kapcsolni az adatgyűjtést. Ennek "megoldásaként" a Steam kapcsolódó topicjában valaki belinkelt 2 oldalt, ahonnan el lehet jutni a kikapcsoláshoz - 4 link mélységben. Ismert taktika non-EU-s cégek honlapjain: mire eljut a user a tényleges kikapcsolást lehetővé tévő oldalhoz, feladja a szándékot. Mindezeken felül a cég fenntartja magának a jogot az EULA módosítására, amit a felhasználó tudomásul vesz, ha játszik a játékkal, továbbá bármikor korlátozhatja bárkinek a játékhoz vagy annak bármilyen részéhez a hozzáférést.
Infostealer, spyware
Sajnos az EULA szerinti adatgyűjtés egy ennél sokkalta rosszabb képet vetít elénk. Először is, a WB Games, a cégcsoporthoz tartozó cégek, valamint kontraktorok számára zajlik a személyes adatok gyűjtése. Ezen kör számára biztosítja a jogosultságot a játékos rendszerének monitorozására is.
Ezen felül a következő információkat gyűjti a felhasználóról és környezetéről: név, telefonszám, e-mail cím, postai cím, felhasználónév, jelszó (!), kor vagy születési dátum; betéti vagy hitelkártya adatok, információk az előfizetésről, felhasználói fiókról, vásárlások és kedvezmények; bizonyos esetekben fizikális vagy mentális egészségre vonatkozó információk, rassz vagy etnikum, vallási vagy filozófiai beállítottság, szexuális élet, szexuális beállítottság, politikai elkötelezettség; becsült tartózkodási hely (a játékra használt eszköz IP cím információiból derivált irányítószám vagy országkód, cím), vagy pontos hely korlátozott vagy régióspecifikus ajánlatokhoz; hardver információk, a használt operációs rendszer és böngésző, utóbbi beállításai, mobilszolgáltató vagy internet szolgáltató azonosítása, az eszközhöz rendelt bármilyen egyedi azonosító, mint például IP cím, fotók, videók és audio információk, képek vagy felvételek, amelyeket a felhasználó elküldene vagy más módon elérhetővé tenne a WB Games-nek és fotók vagy felvételek a felhasználóról WB Games eseményeken vagy rendezvényeken; a felhasználó által megnézett filmek, videók, lejátszási listák, web oldalak, alkalmazások, hirdetések, összekapcsolt fiókok, a WB Games szolgáltatásaival összefüggésben történt egérkattintások, egérmozgások, billentyűleütések, oldalgörgetések felvételei, valamint a cég szolgáltatásainak használata során az interakció felvétele.
Még leírni is sok és sok olyan van ezek között, ami enyhén szólva sem tűnik nélkülözhetetlennek ahhoz, hogy játszani lehessen a "játékkal". Van egy szoftver-kategória, amely tökéletesen passzol a fenti leírés: malware, ráadásul törvénysértő. Ezen lehetne ugyan vitatkozni, de nem érdemes. Azt javaslom, addig, amíg megvannak a fentiek az EULA-ban, ne játszatok, sőt, töröljétek a játékot és kérjetek refundot. Aki Steamen játszik, keresse a "Legal Violation"-t az oldalon és erre hivatkozzon a refund kérés során. Aki megteheti, keresse meg az üggyel az EU-s képviselőjét és hívja fel a figyelmét a nyilvánvaló GDPR sértésre.
Még egy dolgon érdemes elgondolkodni: a közösségi site-okon sokan önként adják ki a fenti adatgyűjtemény egy részét - ne tegyétek, álljatok ellen a késztetésnek. Ugyanilyen infostealer malware-ek.
aztán csodáloznak ha az ember 20 év vásárlás után visszatér a virágbolti verziókhoz.
építsük együtt a kommunizmust elvtársak!
