Epic game launcher warning

No. Al menos esas evidencias no dicen nada. Eso de acceder a los certificados y detectarlo con ProcessMonitor o similares no evidencia nada.

Que no es que no haya cosas maliciosas, que las puede haber, sino que lo que dice el post no tiene fundamento.

Saludos.

dCrypt escribió:No. Al menos esas evidencias no dicen nada. Eso de acceder a los certificados y detectarlo con ProcessMonitor o similares no evidencia nada.

Que no es que no haya cosas maliciosas, que las puede haber, sino que lo que dice el post no tiene fundamento.

Saludos.

Gracias por tu comentario!

En fin, la verdad que me pareció raro que no se hubiese dicho nada sobre el tema. De hecho no tengo ese launcher pero, lo dicho, me pareció rarísimo esa información y que no hubiese trascendido en absoluto.

Esta noticia ya hace varias horas que salió publicada, pero aquí en España se hace la vista gorda a este tipo de sucesos y no se entera nadie.

Y la noticia es tan real como que Valve y Epic Games han tenido que salir a dar explicaciones. La primera por dejar el archivo 'localconfig.vdf' del cliente de Steam en simple texto plano sin cifrar (si lo buscáis en vuestro directorio de Steam lo podréis comprobar), y la segunda porque le han pillado accediendo (supuestamente sin permisos de Valve) a ese archivo de Steam (entre otros) que contiene datos del usuario.

Y fíjate sin es tan real lo que se dice que hasta BleepingComputer, uno de los portales de seguridad más importantes actualmente se ha hecho eco del suceso y se ha puesto en contacto con ambas partes:
EPIC Promises to Fix Game Launcher after Privacy Concerns

Y aquí el Hilo de discusión en Reddit donde empezó la polémica:
Epic Game Store, Spyware, Tracking, and You!

Epic Games ha prometido modificar el código de su cliente por estar comprometiendo la privacidad de millones de usuarios. Es decir, se han saltado la Ley de Protección de datos sin avisar de lo que estaban haciendo.

Una cosa es la competencia sana, que nos beneficia a todos, y otra lo que esta haciendo Epic, que le da igual saltarse leyes que espiar usuarios, que pegar de talonario para exclusivas joda a quien joda, mira que de vez en cuando me hecho una partida al Fortnite, pero dan ganas de desinstalar su cliente.

Flanders escribió:Esta noticia ya hace varias horas que salió publicada, pero aquí en España se hace la vista gorda a este tipo de sucesos y no se entera nadie.

Y la noticia es tan real como que Valve y Epic Games han tenido que salir a dar explicaciones. La primera por dejar el archivo 'localconfig.vdf' del cliente de Steam en simple texto plano sin cifrar (si lo buscáis en vuestro directorio de Steam lo podréis comprobar), y la segunda porque le han pillado accediendo (supuestamente sin permisos de Valve) a ese archivo de Steam (entre otros) que contiene datos del usuario.

Y fíjate sin es tan real lo que se dice que hasta BleepingComputer, uno de los portales de seguridad más importantes actualmente se ha hecho eco del suceso y se ha puesto en contacto con ambas partes:
EPIC Promises to Fix Game Launcher after Privacy Concerns

Y aquí el Hilo de discusión en Reddit donde empezó la polémica:
Epic Game Store, Spyware, Tracking, and You!

Epic Games ha prometido modificar el código de su cliente por estar comprometiendo la privacidad de millones de usuarios. Es decir, se han saltado la Ley de Protección de datos sin avisar de lo que estaban haciendo.

Si BleepingComputer habla de ello, el asunto tiene cierta relevancia o, cuando menos, es cuestionable. Es un sitio de seguridad serio. Gracias por los links, les echare un ojo en cuanto pueda.

Me lo estoy leyendo y, como decía, las evidencias no dicen nada relevante. Nada de lo que el hilo levanta como invasión de privacidad. Si encontráis algo más sustancial, agradezco los aportes.

Saludos.

dCrypt escribió:Me lo estoy leyendo y, como decía, las evidencias no dicen nada relevante. Nada de lo que el hilo levanta como invasión de privacidad. Si encontráis algo más sustancial, agradezco los aportes.

Saludos.

O sea que salen los empleados de Valve y de Epic Games a dar la cara y a decir que van a solucionar el problema, y tu no ves nada relevante.

Te recuerdo que un archivo con datos de un usuario que esté en texto plano es un fallo de seguridad enorme, además de estar prohibido almacenar cualquier dato de usuario así. Si a eso le añades que hay una tercera empresa que supuestamente sin permisos accede a ese archivo, sin tampoco pedir permiso al usuario, pues apaga y vámonos.

Si a ti eso no te parece invasión de privacidad y de un salto claro de la Ley de Protección de Datos, pues nada entonces no lo será y todo genial.

No, hombre, luego te comento al respecto. Es que el post linkado hace referencia a acceder a "certificados root" y "procesos en ejecución".

Al respecto,

"makes an encrypted local copy of your localconfig.vdf Steam file. However information from this file is only sent to Epic if you choose to import your Steam friends, and then only hashed ids of your friends are sent and no other information from the file."

Vogel also stated that the Epic Games Launcher is also designed to track some user behavior, as well as to send some select information to the company's servers, but nothing that is not covered by the program's privacy policy or that would be considered privacy invasion.

Vogel also stated that the Epic Games Launcher is also designed to track some user behavior, as well as to send some select information to the company's servers, but nothing that is not covered by the program's privacy policy or that would be considered privacy invasion.

We use a tracking pixel (tracking.js) for our Support-A-Creator program so we can pay creators. We also track page statistics.

The launcher sends a hardware survey (CPU, GPU, and the like) at a regular interval as outlined in our privacy policy (see the “Information We Collect or Receive” section). You can find the code here.

The UDP traffic highlighted in this post is a launcher feature for communication with the Unreal Editor. The source of the underlying system is available on github.

The launcher scans your active processes to prevent updating games that are currently running. This information is not sent to Epic.

Additionally, in response to user concerns that the company's launcher also gathers info on "how long someone played a steam game and last time played," Vogel argued that while the Epic Games Launcher will make "a local copy of a Steam file that contains Steam friends IDs" which also contains play time info, this data will not be parsed or delivered to their servers.

Vogel also insisted that "We only look at your Steam friends’ IDs in that file after you grant us permission and only then send a hash of those IDs back to our servers to allow us to make friend suggestions" and that Epic Games will only import the list of Steam friends after receiving "explicit permission."

"We're working to update the implementation so that the Epic Games launcher only touches the Steam file at all if you choose to import friends"

En resumen, de todos los argumentos de los que se acusa a Epic, el único reconocido como un problema para la privacidad es copiar el archivo de forma sistemática, aunque sólo se envíe la info de los contactos cuando de forma explícita se acepta. El cambio propuesto es sólo hacer la copia del archivo cuando se acepta tal importación. Nada más.

Además, cuando se habla de 3rd parties, Epic es el 3rd party (respecto del Steam Client), no hay terceros involucrados.

Hay que leer bien, y leerlo todo.

Ah, aquí se habla de privacidad en general, no de la ley de protección de datos en España (trasposición de la europea). El post original supongo que vendrá de otro país donde no aplica la misma legislación, porque yo no he visto mención a regulación de ningún tipo.

Saludos.

PD: ¿Soy yo el único que piensa que, en esta historia, realmente es Valve quien tiene que dar explicaciones por no proteger la info de sus clientes frente accesos de terceros y quien ha podido cometer un delito, o una torpeza, en cuanto a la gestión de la privacidad de los usuarios de Steam?

Después de leerme el artículo de Bleeping Computer pues, tampoco es para tanto. Me refiero a que botnet, tampoco es... Aunque sí me parece un cagadón por parte de Epic llevando demasiado lejos la recogida de información.

Otra cosa es, como dice @dCrypt que sea necesario recoger cierta información, aunque esta esté detallada en los términos y condiciones del contrato y toda esa mierda legal que, en definitiva, no leemos casi nadie.

Seguramente alguien debería poner límites a esas condiciones de contrato, no parece muy correcto que, aunque te avise, recoja ciertos datos. A ver si un día van y nos avisan que estamos dando un riñón y un día se presenta un tipejo a recogerlo como en "El sentido de la vida" de los Monty Python...

El problema es que se trata de un contrato privado de servicios, ¿Quien debería limitarlo? ¿El gobierno? ¿El PP? ¿Podemos? ¿El gobierno de EEUU? ¿El de Kuala Lumpur?. Si no estás de acuerdo con los términos del contrato, simplemente no deberías ser cliente del servicio.

Btw, si tenéis interés en esto de las cláusulas que no nos leemos, buscad la "cláusula Herodes" en Google

Saludos.

dCrypt escribió:El problema es que se trata de un contrato privado de servicios, ¿Quien debería limitarlo? ¿El gobierno? ¿El PP? ¿Podemos? ¿El gobierno de EEUU? ¿El de Kuala Lumpur?. Si no estás de acuerdo con los términos del contrato, simplemente no deberías ser cliente del servicio.

Btw, si tenéis interés en esto de las cláusulas que no nos leemos, buscad la "cláusula Herodes" en Google

Saludos.

Pues los mismos que ponen límites a cualquier contrato privado que se firma en cualquier parte del mundo. Se trata únicamente de "definir" los márgenes legales de los acuerdos de servicio. Tampoco es tan descabellado aunque, el objetivo del hilo ya se ha cumplido y por mi parte caso cerrado.