Epic Store: Epic reagiert auf Spionage-Vorwürfe

Update Max Doll
204 Kommentare
Epic Store: Epic reagiert auf Spionage-Vorwürfe

Dem Epic Store wird vorgeworfen, heimlich Daten zu sammeln und an seinen Anbieter zu senden. Nutzer bringen dieses Verhalten auch mit dem Erwerb von Anteilen durch den chinesischen Internet-Unternehmens Tencent in Verbindung.

Zahlreiche Vorwürfe

Tencent hat seinen Schwerpunkt auf sozialen Medien und Videospielen gelegt, aber auch enge Verbindungen zu chinesischen Regierung. Vermutet wird auf Reddit daher, dass über den Epic Store gesammelten Daten an diese weitergeleitet werden – China würde dann Bürger anderer Staaten ausspionieren; ein in der Neuzeit wahrlich kein noch nie dagewesener Vorgang.

In dem Beitrag wird vermerkt, dass Epic die Anzahl laufender Prozesse auf einem Rechner zählt, versucht, auf DLLs in den Verzeichnissen einiger Anwendungen zuzugreifen und Root-CA-Zertifikate auszulesen. Der Anwender, der sich selbst als „Amateur“ bezeichnet, erwähnt außerdem, dass Registry-Schlüssel des Internet Explorer sowie dessen Cookies unter die Lupe genommen werden. Dieses Verhalten, wendet ein weiterer Nutzer ein, könne jedoch normal sein, wenn ein Launcher einen Browser für seine Funktion, etwa zur Anzeige von Inhalten, benötige.

I give this game storefront a final rating of: PRETTY SKETCHY / 10, with an additional award for association with Tencent. As we all know, they have no links to the Chinese government whatsoever, and even if they did, the Chinese government would NEVER spy on a foreign nation's citizens, any more than they would on their own.

u/notte_m_portent auf Reddit

Vorgeworfen wird Epic darüber hinaus, ungefragt Daten über die Hardware des Anwenders zu sammeln und in der Registry zu speichern sowie java-basierte Tracking-Mechanismen in rauen Mengen einzusetzen. Dabei soll außerdem eine Kopie der localconfig.vdf Datei von Steam gemacht werden, die Freundeslisten, eine Liste gekaufter Spiele und weitere Informationen enthält. Diese Datei scheint Epic besonders wichtig zu sein, da auf sie direkt nach dem ersten Start des Launchers zugegriffen wird.

Epic dementiert und erklärt

Daniel Vogel, der Vizepräsident von Epics Technikabteilung, nahm nach Ausbreitung der Vorwürfe umfangreich Stellung. Er versicherte, dass Epic von Tim Sweeney kontrolliert werde, externe Anteilseigner wie Tencent hätten keinerlei Zugriff auf Kundendaten.

Laut Vogel kommt ein Pixel zum Tracking zum Einsatz, der für Abrechnungen des Support-A-Creator-Programms benötigt wird. Über das Tracking wird bestimmt, wie viele Käufe von einem Influencer in den Store geleitet werden und damit wie viel Geld ausgezahlt werden muss. Hardwareinformationen würden in regelmäßigen Abstände gesammelt, bestätigte Vogel. Dies sei allerdings in der Datenschutzerklärung so ausgewiesen.

Ein Teil des Datenverkehrs dient laut den Erläuterungen zur Kommunikation mit dem Unreal Editor; der Quellcode des zu Grunde liegenden Systems könne auf GitHub eingesehen werden. Zudem bestätigte Vogel, dass ein „Großteil“ des Nutzerinterfaces auf Chromium zurückgreift. Zugriffe auf Zertifikate und Cookies seien Teil eines „normalen Web-Browser-Starts“. Informationen über aktive Prozesse würden benötigt, um Updates nur für Spiele herunterzuladen, die gerade nicht gespielt werden und Daten über die Spielzeit für das Rückerstattungs-Programm zu sammeln; Daten über Produkte außerhalb des Epic-Stores werden nicht an den Anbieter übertragen.

Sammeln der Steam-Daten sei ein Fehler

Steam-Freundeslisten, versicherte Vogel, werden jedoch nur mit „ausdrücklicher Erlaubnis“ importiert. Zwar werde eine Kopie der localconfig.vdf-Datei angefertigt, nur bei Import würden aber und ausschließlich die IDs der Freunde an Epic gesendet. Davon sind Nutzer nicht überzeugt, sie argumentieren, dass Epic kein Recht habe, von einer fremden Anwendung und ohne Erlaubnis des Anwenders Daten zu sammeln.

Dem stimmte Epic-CEO Tim Sweeny zu. Die aktuelle Implementierung, so der Epic-CEO, soll nur ein „Überbleibsel“ der Umsetzung von sozialen Features aus der Frühphase von Fortnite sein, der Fehler werde behoben. Auf die Steam-API verzichte Epic, weil es bei Drittanbieter-Schnittstellen Sicherheits- und Privatsphäre-Risiken gebe, etwa wenn durch ihre Anbieter mehr Daten als erwartete gesammelt würden.

Eine Frage bleibt

Für die Vorwürfe lässt sich also eine plausible Erklärung finden. Eine Frage bleibt aber offen: Eingeworfen wird, wie Epic Games feststellen könne, dass die Mehrheit der Fortnite-Spieler nicht oder nicht aktiv auf Steam spiele – entsprechende Daten ließen sich aus der localconfig.vdf entnehmen. Diese Informationen hatte Sergey Galyonkin, Epics Director of Publishing Strategy, in Umlauf gebracht.

Update

Valve hat sich mittlerweile gegenüber Bleeping Computer zu der Thematik geäußert. Die fragliche Datei enthalte private Nutzerdaten, sie seien „nicht dafür gedacht, von anderen Programmen genutzt oder an Drittanbieter-Dienste übertragen“ zu werden. Eine solche Reaktion überrascht nicht, schließlich wird der Epic Store als Konkurrent wahrgenommen.

Das Unternehmen will nun untersuchen, was der Epic Launcher für Daten sammelt. Die localconfig.vdf befindet sich im Steam-Unterverzeichnis „userdata“ und kann mit einem Texteditor geöffnet werden. So ist es laut Valve möglich, selbst herauszufinden, was dort gespeichert wird.