记录事件

发生什么事了

Steam 上发布了一款名为 BlockBlasters 的恶意“游戏”，其中包含可窃取受害者 Steam 帐户和贵重物品的恶意软件。

• 游戏发布： Steam 商店 2024 年 9 月
• 游戏网址： store.steampowered.com/app/3872350/BlockBlasters/
• 恶意软件已确认： G DATA 安全研究人员于 2024 年 9 月记录了该恶意软件
• 并非第一个： 这不是 Steam 上第一款恶意软件游戏——这种情况屡见不鲜
• 10+名受害者： 多名用户确认账户和物品被盗
• 记录在案的重大盗窃案： 价值数千美元的失窃物品
• 著名受害者： A 4期晚期癌症患者 他们的账户和物品被盗
• 公众的广泛关注： 该案件因癌症患者而获得大量媒体报道

志愿者发现黑客

社区志愿者（不是 Steam）进行了调查并确定了攻击者：

• 志愿者追踪恶意软件并识别黑客
• 黑客位置已确定：美国迈阿密
• 社区揭露袭击者的真实身份
• 公开收集和记录的证据
• Steam 自己没有进行任何调查

发生什么事了

调查显示，有证据表明 Steam 支持员工通过向黑客提供机密信息直接从用户帐户窃取高价值皮肤。

• 调查已发布： YouTuber Mzkshow 于 2023 年 2 月提供详细证据
• 直接员工参与： Steam 支持人员积极参与有组织的盗窃计划
• 他们偷了什么： 高价值 CS:GO 皮肤 - 稀有刀具、龙之传说、其他昂贵物品
• 他们是如何做到的： 支持员工向犯罪伙伴提供了机密用户数据（电子邮件、帐户详细信息、恢复信息）
• 攻击方式： 利用 Steam 员工的内部信息绕过安全措施并劫持休眠账户
• 目标账户： 休眠账户包含价值数千美元的稀有高价值 CS:GO 皮肤
• 预计损失： 价值数十万美元的 CS:GO 皮肤和物品被盗
• 安全故障： Steam 内部员工利用特权访问直接窃取用户皮肤
• 有组织犯罪： 证据表明，这不是一次孤立的行动，而是一次涉及多名 Steam 员工的协同行动

内部威胁：Steam 支持直接窃取皮肤

这一事件表明 Steam 支持员工直接从用户帐户窃取了有价值的 CS:GO 皮肤。

• Steam 员工直接盗窃： 不仅仅是“帮助”——支持人员是偷窃皮肤的积极参与者
• 被盗的是： 昂贵的 CS:GO 皮肤，包括稀有刀具、AWP Dragon Lores、Howls 和其他高价值物品
• 内部访问权限被利用： 支持人员利用特权访问用户帐户、电子邮件地址、电话号码和恢复信息
• 无监督： Valve 的“扁平结构”意味着没有主管监督支持员工如何处理用户帐户
• 没有责任： 由于缺乏管理层次，不法员工可以不受控制地偷窃皮肤数月/数年
• 无检测系统： Valve 的内部安全部门完全没有注意到皮肤盗窃的模式
• 有组织犯罪团伙： 证据表明，多名 Steam 支持员工共同参与了这一协调计划
• 盈利动机： 员工出售偷来的皮革以谋取私利，可能非法获利数千美元

为什么重要意义

这一事件让人们对 Valve 整个平台的完整性产生了质疑：

• 用户无法信任 Valve 员工 可以访问他们的帐户和数据
• 没有内部控制 防止或发现员工不当行为
• 没有问责结构 意味着不合规员工不受监管
• 平台助长犯罪 免受外部和内部威胁
• 零透明度 Valve 为解决这个问题做了什么（如果有的话）

发生什么事了

一位著名的 CS:GO 收藏家的账户在一次复杂的攻击中被盗用，导致价值超过 2 万美元的库存被彻底清算。

• 失窃日期： 2022 年 6 月
• 帐户被盗： 拥有极其稀有藏品的知名收藏家
• 被盗物品： 全部库存，包括 7 个纪念 AWP | Dragon Lore 皮肤（极其罕见）
• 总价值： 超过 2,000,000 美元的数字资产
• 攻击方式： 复杂的账户入侵和安全绕过
• 清算项目： 被盗物品迅速通过各种平台出售
• 公众关注： 由于其前所未有的价值，被游戏媒体广泛报道

最稀有的物品

这不仅仅是金钱——这些是无可替代的、具有历史意义的数字文物：

• 七件纪念品 AWP | 龙之传说皮肤 - CS:GO 中最稀有的物品之一
• 锦标赛掉落： 特定职业比赛中掉落的物品，永远无法再次获得
• 历史意义： 每件物品都与电子竞技历史上的特定时刻相关
• 不可替代： 由于锦标赛/活动已经结束，许多物品无法重新获得
• 收藏年限： 多年来积累的藏品在数小时内被毁坏

系统性失败

这一事件揭示了 Valve 的政策如何助长盗窃行为并保护公司而不是用户：

• 旨在保护 Valve 的政策： “不恢复”政策使公司免于承担任何责任
• 用户承担所有风险： 即使是超出用户控制范围的复杂攻击
• 没有动力去提高安全性： Valve 无需承担用户被盗的后果
• 没有责任： 公司为贵重物品提供平台，但不承担任何责任
• 市场推动者： Valve 从物品交易中获利，但不会保护交易者
• 指责受害者： 无论攻击的复杂程度如何，都隐性地将错误归咎于用户

为什么重要意义

• 如果 2 万美元以上还不足以引起 Valve 的关注 - 无论损失多少都不会触发行动
• 政策是绝对的： 没有例外意味着没有人性的判断，没有同情心
• 平台风险： Steam 从根本上来说不适合存储有价值的数字资产
• 不承担责任的利润： Valve 从市场费用中获利，但不会保护用户
• 树立先例： 如果这次盗窃没有得到回应，那么以后就不会再有盗窃了

模式：干净的游戏，恶意更新

开发人员利用 Steam 薄弱的更新验证机制，提交干净的游戏，然后在获得批准后推送恶意更新：

• 首次提交： 开发者提交看似合法的游戏以供审核
• 通过审核： 干净的游戏已获批准并在 Steam 商店发布
• 恶意更新： 发布后，开发人员推送包含恶意软件的更新
• 无需重新验证： 更新不会受到与初次提交相同的审查
• 感染用户： 自动更新会在用户系统上安装恶意软件
• 延迟移除： 游戏在检测到之前可以持续数周/数月

案例研究1：抽象主义（2018）

最早记录的通过 Steam 传播恶意软件的案例之一：

• 发现日期： 2018 年 7 月
• 恶意软件类型： 特洛伊木马和隐藏的加密货币矿工
• 攻击向量： 伪装成合法的益智游戏
• 有效载荷： 植入木马病毒，利用受害者电脑运行加密货币挖矿程序
• 平台停留时长： 在检测之前相当长的一段时间内可用
• 用户影响： 系统感染、性能下降、潜在数据盗窃
• Steam的行动： 最终在社区强烈抗议后被删除，且没有补偿

案例研究 2：BlockBlasters 和 PirateFi（2025 年）

抽象主义事件发生七年后，完全相同的攻击媒介再次成功：

• 发现日期： 2025 年 1 月
• 涉及的游戏： BlockBlasters 和 PirateFi（可能是同一个开发商）
• 恶意软件类型： 数据窃取恶意软件（信息窃取者）
• 目标数据： 用户凭证、Steam 帐户、加密货币钱包
• 攻击复杂程度： 旨在窃取有价值的财务信息
• 免费游戏： 免费提供，以最大化下载/感染数量
• 学制： 持续数月，已确认受害者超过 10 人（见事件 1）
• 著名受害者： 第四期癌症患者（记录在上述 BlockBlasters 事件中）

儿童平台，恶意软件载体

Steam 被数百万未成年人和儿童使用，但却成为恶意软件的传播点：

• 可信平台： 用户相信 Steam 会分发安全的软件
• 儿童受害者： 年轻用户可能无法识别恶意软件症状
• 家长信托： 家长认为 Steam 游戏是安全的
• 面临风险的数据： 恶意软件可窃取家庭财务信息和密码
• 没有家长控制： 没有针对年轻用户的警告或保护
• 教育危害： 告诉用户官方平台不可信任

为什么这是重大过失

• 已知漏洞： 自 2018 年以来记录的攻击向量，尚未实施修复
• 重复事件： 7 年来，同一袭击多次得逞
• 技术存在： 自动恶意软件扫描和行为分析是标准做法
• 可用资源： Valve利润丰厚，成本不是借口
• 竞争对手标准： 其他平台（Apple App Store、Google Play）的验证更为严格
• 可预见的危害： 每次事件都会导致用户数据被盗、财务损失
• 无缓解措施： 不向受害者提供补偿、援助或保护

法律案件

这不是一项指控——这是法院确认的 Valve 违反消费者保护法的裁定：

• 原告： 澳大利亚竞争与消费者委员会（ACCC）——政府监管机构
• 被告： 阀门公司
• 要求： 违反澳大利亚消费者法中关于退款权利的规定
• 时间段： 2014-2018 年（违规时间超过 4 年）
• 法庭： 澳大利亚联邦法院
• 判决： 有罪——Valve 违反了消费者法
• 惩罚： 罚款3万澳元

Valve 做错了什么

法院发现 Valve 对消费者权益做出了虚假和误导性的陈述：

• 澳大利亚消费者法规定： 顾客有权因有缺陷的产品获得退款
• Valve 的政策规定： 不退款（或退款极其有限）
• 误导性陈述： Valve 告诉澳大利亚客户他们没有退款权利
• 虚假声明： Valve 的服务条款违反澳大利亚法律
• 消费者损害： 澳大利亚消费者被剥夺合法保障的权利
• 学制： 尽管了解澳大利亚法律，但侵权行为仍持续多年

Valve 的辩护理由：“我们不在澳大利亚运营”

Valve 的法律论点以及法院驳回该论点的原因：

• Valve 的声明： “我们不在澳大利亚开展业务，因此不适用澳大利亚法律”
• 法院的裁决： 被拒绝——Valve 显然在澳大利亚开展业务
• 针对 Valve 的证据：
  • 数百万澳大利亚用户使用 Steam
  • 以澳元向澳大利亚客户销售
  • 针对澳大利亚用户的营销和推广
  • 大量收入来自澳大利亚市场
• 法院结论： Valve 的辩解是为了逃避法律责任

对消费者的影响

多年来，数百万澳大利亚消费者被剥夺了合法权利：

• 拒绝退款： 对于有缺陷的游戏和产品，他们有权合法退货
• 受困于破损产品： 必须保留无法运行或被歪曲的游戏
• 经济损失： 支付了无法使用且无法退款的产品费用
• 权利误导： 被告知他们没有退款权利，尽管法律保障他们有退款权利
• 违规年限： 从 2014 年到 2018 年，无数交易受到影响
• 广泛影响： 每个澳大利亚 Steam 用户都可能受到影响

其他国家的类似问题

澳大利亚并非唯一一个面临此类法律挑战的国家——Valve 在其他地方也面临着类似的法律挑战：

• 法国： Valve 因类似退款政策违规被消费者保护机构罚款
• 德国： 消费者团体对 Valve 的服务条款提出质疑
• 欧洲联盟： 必须遵守欧盟消费者保护指令
• 模式： Valve 在全球范围内持续抵制消费者保护法
• 仅在强制时更改： 仅在法律诉讼、罚款或法院命令后才遵守

为什么重要意义

• 法律确认： 并非指控——法院确认存在不当行为
• 故意违规： Valve 明知法律却选择违反法律
• 全局格局： 多个国家存在类似问题，建议采取系统性措施
• 企业文化： 揭示公司优先考虑利润而非法律合规性
• 仅对力量作出反应： 仅当受到法院经济处罚时才会改变行为
• 持续风险： 模式表明 Valve 会违反法律，直到被抓到并受到惩罚

发生什么事了

《反恐精英 2》发布后，数千名合法玩家在没有违反任何规则的情况下遭到 VAC（Valve 反作弊）封禁。

• 时间段： 2023 年 10 月 - 12 月（持续进行）
• 触发事件： 《反恐精英 2》发布
• 规模： 数千名合法玩家被禁赛
• 主要原因： VAC 与 AMD 的 Anti-Lag+ 驱动程序功能之间的冲突
• 其他原因： 各种软件不兼容和故障
• 影响： 完全失去对 CS2 的访问权限，对其他游戏的潜在限制，库存被锁定

AMD Anti-Lag+ 问题

VAC 错误地将 AMD 的合法图形驱动程序功能检测为作弊软件：

• Anti-Lag+ 功能： 合法的 AMD 驱动程序功能可减少输入延迟
• 错误检测： VAC 错误地将其标记为未经授权的修改
• 自动禁止： 无需人工审核，立即禁止用户
• 无警告： 用户不知道使用 AMD 驱动程序功能会导致禁令
• 普遍存在的问题： 所有启用 Anti-Lag+ 的 AMD GPU 用户都会受到影响
• AMD回应： 为了保护用户，AMD 迅速禁用了 CS2 的 Anti-Lag+

失效的上诉制度

当被错误封禁时，用户发现没有有效的申诉方式：

• 沒有人工評論： 通过自动回复回答的支持票
• 模板响应： “VAC 禁令是永久性的，无法取消”
• 未调查： 不实际审查个案
• 无透明度： 用户不知道是什么引发了禁令
• 无追索权： 上诉制度旨在拒绝，而不是调查
• 数周的悬而未决： 用户被禁言数周后才大规模撤销
• 需要社区压力： 仅在公众强烈抗议后才得以解决

根本问题：自动化不透明，缺乏问责

这一事件暴露了缺乏人工监督或有效呼吁的自动化系统的危险：

• 自动判断： 系统立即禁止用户，无需人工审核
• 无透明度： 用户从未被告知禁令的原因
• 绝对权力： 可以撤销数千美元的购买和物品
• 未提出有效申诉： 旨在否认而非调查的流程
• 用户负担： 无辜用户必须在没有信息的情况下证明其无辜
• 没有责任： Valve 未因虚假禁令承担任何后果
• 可预见的错误： 软件不兼容是已知风险，无法预防

用户影响：真实的人，真实的伤害

虚假的 VAC 禁令会对无辜玩家造成严重伤害：

• 完全禁止游戏： 无法玩​​ CS2 或其他受 VAC 保护的游戏
• 库存锁定： 贵重物品无法取用
• 经济损失： 数千款游戏和物品变得毫无价值
• 名誉损失： 个人资料永久标记为作弊者
• 社会影响： 被社区、团队、锦标赛踢出
• 失去的机会： 错过竞赛活动、球队选拔赛
• 情绪困扰： 数周的压力、无助和诬告
• 无补偿： 即使禁令解除后，损失也不会得到补偿

为什么重要意义

• 系统不可靠： 数千个误报证明 VAC 存在错误
• 无需人工监督： 不受控制的权力自动化系统
• 无透明度： 用户不知道自己被指控什么
• 未提出有效申诉： 流程旨在拒绝，而不是审查
• 没有责任： Valve 不会因虚假禁令而承担任何后果
• 反复发生： 类似的虚假禁令浪潮以前也发生过
• 将会再次发生： 未宣布任何系统改进措施以防止再次发生

其他 VAC 误报事件

这并不是 VAC 第一次错误地禁止无辜用户：

• 现代战争2（2010）： 12,000 起虚假 VAC 禁令随后被撤销
• 各种软件冲突： 已标记录音软件、叠加层和辅助工具
• 模式已建立： VAC 经常错误封禁，Valve 在强烈抗议后默默撤销
• 没有学习： 每隔几年就会重复相同的模式，但触发因素不同

Steam 如何催生非法赌博业

Steam 在 CS:GO 中引入了可交易的武器“皮肤”，创造出具有真实货币价值的物品，成为不受监管的赌场的赌博筹码：

• CS:GO 皮肤介绍： ~2013 年，具有市场价值的可交易化妆品
• 博彩生态系统应运而生： 到 2015 年，数百个赌博网站使用皮肤作为货币
• 不受监管的赌场： 轮盘赌、抛硬币、累积奖金网站 - 全部使用 Steam 物品
• 针对未成年人： 无需年龄验证，通过 YouTube 用户和流媒体向儿童推销
• 数十亿美元的产业： 据估计，每年有数十亿美元的赌博
• 100%依赖 Steam： 每个赌博网站都需要 Steam API、登录和市场

Steam API 和身份验证：支持赌博的基础设施

如果没有 Steam 的基础设施，赌博网站就无法运营 - 但 Steam 仍在继续提供它：

• Steam API： 赌博网站使用 Steam API 访问用户库存、验证物品、执行交易
• Steam 登录/OAuth： 网站使用“使用 Steam 登录”进行用户身份验证
• Steam交易系统： 所有存款/取款均通过 Steam 的交易基础设施进行
• 蒸汽市场： 提供皮肤价值的定价数据和流动性
• 关键事实： 如果 Steam 关​​闭赌博网站的 API 访问权限，所有赌博网站将立即停止运营
• 但他们没有： 赌博网站至今（2025 年）仍在使用 Steam API 和登录

诉讼和法律行动

多起诉讼指控 Valve 助长非法赌博并从中获利：

• 提起的诉讼： 自 2016 年以来，多起集体诉讼
• 指控： Valve 明知故犯地创建了非法赌博生态系统并从中获利
• 未成年受害者： 未成年用户未经年龄检查就接触无牌赌博
• Valve 的共谋： 整个系统依赖于 Steam 基础设施阀门控制
• 大多数诉讼被驳回： 通常是技术问题，而不是实质问题
• 问题仍然存在： 法律纠纷并没有阻止赌博生态系统

证据：赌博网站仍在使用 Steam 基础设施（2025 年）

自 2025 年起，赌博网站将继续与 Steam 进行全面整合：

• “使用 Steam 登录”按钮： 仍然存在于赌博网站上
• 库存访问： 网站仍然可以查看和验证用户的 Steam 库存
• 交易功能： 存款和取款仍通过 Steam 交易进行
• 无 API 块： Valve 尚未对赌博域名实施系统性屏蔽
• 简单验证： 访问任何 CS:GO 赌博网站 - 它们都使用 Steam 登录和 API
• 9年不变： 自 2015 年以来，相同的基础设施支持赌博

针对儿童：为未成年人提供赌博的平台

赌博生态系统专门针对 Steam 的年轻用户群：

• Steam 的用户群体： 数百万用户是未成年人和儿童
• 无需年龄验证： 赌博网站不验证年龄 - Steam 登录即可
• 影响者营销： YouTube 博主和主播向儿童观众宣传赌博
• 成瘾目标： 华丽的图形和声音旨在吸引年轻用户
• 不受管制的访问： 孩子们可以在父母不知情的情况下赌博
• 毁灭人生的后果： 记录显示，未成年人损失数千美元，染上赌博瘾
• 无保护： Steam 实施零安全措施以防止未成年人赌博

为什么这是刑事疏忽和共谋

• Valve 创建了该系统： 引入可交易物品，成为赌博货币
• Valve 控制基础设施： API、登录、交易——全部由 Valve 控制
• Valve 可以立即将其关闭： 阻止对赌博域的 API 访问 - 问题已解决
• Valve 选择不： 赌博生态系统在九年后仍然运作
• Valve直接获利： 赌博驱动交易的市场费用
• Valve 了解未成年人： 诉讼和媒体报道广泛记录了儿童赌博
• 在大多数司法管辖区都是非法的： 无证赌博，特别是针对未成年人的赌博，是犯罪行为
• 沒有有意义的行動： “Crackdown” 是表演性的 - 网站仍然通过 Steam 集成运行

财务动机：Valve 为何不愿关闭它

Valve 有强大的经济动机来维持赌博生态系统的活力：

• 市场交易费用： Steam 市场每笔交易收取 5% 手续费——赌博推动交易量大幅增长
• 皮肤需求增加： 赌博创造了人为需求，抬高了价格，并导致 Valve 抽成
• 用户参与： 赌博让 Steam 平台用户保持活跃
• 开案收入： 赌博文化鼓励购买 CS:GO 机箱（Valve 的收入）
• 生态系统网络效应： 赌博吸引用户、内容创作者以及对 CS:GO 的关注
• 预计利润： Valve 每年可能从与赌博相关的生态系统活动中赚取数千万美元

Valve 的所作所为：非法市场划分

Valve 使用 Steam 激活密钥非法分割欧盟单一市场：

• 方案： 区域锁定的 Steam 激活密钥阻止跨境购买
• 工作原理： 在波兰（较便宜）购买的游戏无法在德国（较贵）激活/玩
• 参与者： Valve + 5 家主要发行商（Bandai Namco、Capcom、Focus Home、Koch Media、ZeniMax）
• 违规行为： 阻止欧盟消费者跨境购物以获得更优惠的价格
• 影响： 欧盟富裕国家人为抬高价格
• 学制： 在调查之前，这种做法已经持续多年

欧盟委员会裁定：明显违反竞争法

这不是一项指控——欧盟委员会依法确认 Valve 违反了反垄断法：

• 官方裁决： 欧盟委员会反垄断决定（2021年1月）
• 发现： Valve 违反欧盟竞争规则
• 违规类型： 非法地理封锁限制跨境贸易
• 法律基础： 在欧洲联盟运作101条条约
• Valve 的处罚： 罚款 1.6 万欧元
• 罚款总额： 所有参与公司共计 7.8 万欧元

Valve 拒绝配合调查

在调查期间，Valve 积极阻挠欧盟委员会的调查：

• 拒绝合作： Valve 拒绝与欧盟调查人员合作
• 加重处罚： 由于不合作，罚款更高
• 阻挠战术： 没有提供所要求的信息或帮助
• 表示轻蔑： 明显无视欧盟监管机构
• 行为模式： 与澳大利亚的案例类似——Valve 认为自己凌驾于法律之上

消费者影响

• 被迫多付： 欧盟富裕国家的消费者支付了人为的高价
• 失去消费者权益： 无法行使欧盟跨境购物的权利
• 市场扭曲： 阻止合法的价格竞争
• 违规年限： 执法前，该做法持续了较长时间
• 无补偿： 多付钱的消费者没有得到任何退款

ADL 2024 年报告：极端组织用户超过 1 万

反诽谤联盟官方调查记录了 Steam 上大规模的极端主义生态系统：

• 报告发布： 反诽谤联盟（ADL）于2024年
• 规模发现： 数千个极端组织在 Steam 上活动
• 用户参与： 超过 1 万个 Steam 账户与仇恨团体有关
• 发现的意识形态： 白人至上主义、纳粹主义、反犹太主义、暴力极端主义
• 内容类型： 纳粹标志、仇恨言论、招募材料、极端主义宣传
• 所利用的平台功能： Steam 组、个人资料、论坛、创意工坊内容
• 学制： 团体运营多年，无人监管

ADL 在 Steam 上发现了什么

调查的详细结果：

• 随处可见的纳粹形象： 纳粹党徽、党卫军标志和希特勒图像被公开使用
• 仇恨团体招募： Steam 上积极招募新成员的团体
• 极端主义网络： 用于协调和组织仇恨活动的平台
• 无年龄限制： Steam 上儿童可访问的极端主义内容
• 容易找到： 通过 Steam 搜索发现仇恨团体
• 阀门意识： 社区报告提交多年却被忽视

案例研究：《强奸日》——获批的强奸/谋杀模拟器（2019）

Steam 批准的游戏，玩家在其中强奸和谋杀女性 - 仅在引起公众强烈愤怒后才被删除：

• 游戏名称： “强奸日”
• 内容： 玩家模拟强奸、杀害和言语骚扰女性
• 开发者描述： 公开宣传为强奸​​/谋杀幻想模拟器
• Steam 的批准： 游戏已通过 Steam 审核
• 商店列出： 公开提供愿望清单和购买
• 公众发现： 媒体报道曝光了这场比赛（2019年3月）
• 强烈抗议： 国际社会对媒体、倡导团体和公众的谴责
• Valve的回应： 迫于公众压力才下架游戏——没有道歉
• 没有责任： 从未解释过这是如何通过审查的

极端主义儿童收容平台

Steam 被数百万未成年人使用，但却承载着庞大的极端主义生态系统：

• 年轻用户群： 数百万 Steam 用户是儿童和青少年
• 极端主义暴露： 年轻用户接触纳粹宣传和仇恨言论
• 招聘目标： 极端组织积极招募弱势年轻用户
• 激进化管道： Steam 成为极端主义意识形态的切入点
• 没有家长控制： 没有有效的工具来保护儿童免受仇恨内容的侵害
• 正常化的仇恨： 极端主义符号对年轻用户来说变得正常化
• 无警告： 儿童可以在没有任何警告的情况下加入极端组织

Valve 为何不采取行动：缺乏问责机制

Valve 的“扁平结构”意味着没有人对平台安全负责：

• 没有内容审核团队： 没有专门的平台安全部门
• 没有管理监督： 没有人审查员工批准游戏的决定
• 没有后果： 批准“强奸日”的员工无需承担任何责任
• 没有信任和安全导致： 没有高管负责用户安全
• 不执行政策： 即使有政策，也没有人执行
• 削减成本： 审核需要资源——Valve 选择不投资

法律和道德的失败

• 违反平台责任： 各大平台有望对有害内容进行审核
• 潜在的法律责任： 在许多司法管辖区，承载仇恨言论和极端主义内容是违法的
• 危害用户： 尤其是受到极端主义影响的儿童
• 造成现实世界的伤害： Steam 上形成的极端主义网络可能导致暴力
• 道德破产： 明知故犯地托管强奸模拟器和纳粹团体以获取利润
• 行业异常值： 其他主要平台（YouTube、Facebook、Discord）积极审核仇恨内容

发生了什么：Steam 向用户展示了其他人的私人数据

Valve 的缓存配置错误导致用户看到随机陌生人的帐户信息：

• 日期： 25 年 2015 月 XNUMX 日（圣诞节）
• 学制： 大约90分钟
• 错误： 缓存系统提供了错误用户的帐户页面
• 用户看到的内容： 随机其他用户的个人 Steam 帐户信息
• 规模： 约有 34,000 名用户因查看他人数据而受到影响
• 原因： Valve 的网络缓存系统配置错误
• 不是黑客行为： 这是 Valve 自身的技术故障，而非外部攻击

哪些私人数据被泄露

随机陌生人可见的敏感个人信息：

• 电子邮件地址： 用户注册邮箱地址被泄露
• 购买历史： 购买的游戏和物品的完整列表
• Steam 钱包余额： 用户的 Steam 钱包里有多少钱
• 帐单地址： 与账户关联的物理地址
• 部分付款信息： 信用卡/付款方式的末位数字
• 帐户详细资料： 个人资料信息、愿望清单、交易历史
• 电话号码： 对于已启用电话验证的帐户

技术故障：Valve 的无能

这不是复杂的攻击 - 这是基本的配置错误：

• 缓存配置错误： 高流量期间 Web 缓存配置不正确
• 会话处理失败： 系统未能正确分离用户会话
• 未测试： 在没有充分测试隐私影响的情况下部署了变更
• 无保障措施： 没有机制来检测是否提供了错误的数据
• 反应慢： 花了 90 分钟来识别并解决问题
• 基本错误： 这种缓存错误被认为是业余水平

用户面临的风险

暴露的数据可能被用于各种恶意目的：

• 网络钓鱼攻击： 电子邮件地址 + 购买历史记录 = 有针对性的网络钓鱼
• 社会工程学： 攻击者可能利用暴露的详细信息来冒充用户
• 帐户定位： 已确定遭受黑客攻击的高价值账户（高价购买）
• 财务欺诈： 部分付款信息+账单地址助长欺诈
• 隐私侵犯： 陌生人可以看到用户的完整游戏和消费历史
• 长期风险： 泄露的信息多年后仍然有效

为什么重要意义

• 基本安全故障： 通过适当的测试可以避免缓存错误
• 数百万人面临风险： 如果 34K 发生这种情况，配置可能会影响所有用户
• 违反信任： 用户信任 Valve 提供的付款信息、电子邮件和地址
• 没有责任： Valve 承认错误但未提供任何赔偿
• 可能再次发生： 没有证据表明系统性改进可以防止复发
• 工业标准： 其他平台提供数据泄露赔偿，但 Valve 没有

掠夺性经济模式

Artifact 的盈利方式旨在利用一切可能的时机来赚钱：

• 入场费： 需要预付 20 美元购买（与竞争对手的免费游戏模式不同）
• 付费参与： 玩家必须为每种竞技游戏模式支付 1 美元的门票
• 购买卡包： 每包 2 美元，仅限真钱 - 无法通过游戏赚取包
• 没有免费收入： 与竞争对手（《炉石传说》、《MTG Arena》）不同，无法通过玩游戏来建立收藏
• Steam市场垄断： 完成收藏的唯一方法是在 Steam 市场上买卖
• Valve 到处都有削减： 每笔市场交易的佣金
• 三重浸渍： 付费购买游戏 + 支付游戏包 + 支付 Valve 交易费用

Valve 如何从每笔交易中获利

该经济体系旨在通过 Valve 的佣金系统引导所有玩家的支出：

• 初次购买： 20 美元 × 每位玩家 = Valve 直接利润
• 卡包销售： 每包 2 美元 × 平均玩家需要数十个 = 平均每个玩家数百个
• 活动门票： 每场竞技比赛 1 美元 × 认真的玩家玩很多
• Steam 市场费用： 每张卡售出/购买约 15% 佣金
• 强制市场使用： 设计让玩家必须使用市场来获取特定卡牌
• 别无选择： 无法直接交易卡牌，无法通过游戏赚取
• 预计支出： 竞技玩家需要花费 200-300 美元以上来构建元卡组

社区强烈反对：“经济才是问题所在”

玩家和评论家立即谴责了这种掠夺性模式：

• 广泛的批评： 游戏媒体、主播、玩家都对经济发起了攻击
• 付费获胜指控： 有钱的玩家有巨大的优势
• 相比之下不利的是： 比竞争对手的游戏盈利能力更差
• 多边形文章： “Artifact 的经济问题比游戏玩法更严重”
• 玩家流失： 游戏在几周内失去了 95% 以上的玩家
• 评论轰炸： 负面评论特别提到掠夺性经济
• 社区裁决： Valve 更关心利润而不是制作优秀的游戏

为什么重要意义

• 掠夺性设计： 故意设计经济以榨取最大利润
• 贪婪胜过游戏玩法： Valve 优先考虑盈利而不是制作有趣的游戏
• 杀死自己的产品： 掠夺性模型太糟糕，毁掉了游戏
• 受害者不予退款： 花费数百美元的玩家失去了一切
• 开发模式： 表明 Valve 愿意利用玩家牟利
• 没有责任： 被遗弃的游戏，玩家从未承担责任
• 揭示优先事项： 短期利润>长期成功>玩家满意度

诉讼：前翻译的指控

前承包商起诉Valve，揭露“扁平层级”文化的阴暗面：

• 原告： 前 Valve 翻译/承包商
• 索偿金额： $ 3.1万美元赔偿
• 时间段： 2016-2017
• 主要主张： 通过欺骗性招聘手段进行剥削
• 次要主张： 可能基于歧视的错误解雇
• 涉嫌模式： Valve 对合同工的系统性剥削

指控：“扁平层级”是谎言

诉讼称 Valve 著名的组织模式是一种欺骗性的剥削工具：

• “扁平层级”的谎言： 以创新和赋能著称的著名建筑
• 事实指控： 用虚假承诺剥削承包商
• 欺骗性招聘： 以全职工作的承诺引诱工人
• 保留为承包商： 工人仍然是合同工，没有福利
• 没有就业途径： 据称全职职位的承诺是虚假的
• 法律漏洞： 承包商身份剥夺了工人的劳动保护和福利
• 节约成本： Valve 通过避免员工福利和保护来节省资金

歧视指控：变性手术后被解雇

原告声称医疗转变后不久就被解雇：

• 医疗程序： 原告接受了变性手术
• 终止时间： 手术后不久被解雇
• 歧视指控： 可能基于性别认同而终止合同
• 未给出解释： Valve 据称没有提供明确的解雇理由
• 受保护类别： 性别认同歧视在许多司法管辖区都是非法的
• 模式关注： 质疑 Valve 对待 LGBTQ+ 员工的方式

为什么“扁平结构”会导致剥削

该诉讼揭露了 Valve 的组织模式如何助长了对员工的虐待：

• 缺乏人力资源监督： “扁平结构”意味着没有人力资源部门来保护员工
• 没有管理责任： 没有人负责公平对待员工
• 无上诉程序： 工人无法对不公平待遇提出申诉
• 无就业标准： 没有人执行一致的招聘/解雇政策
• 任意决定： 解雇可能在没有监督或理由的情况下发生
• 允许歧视： 不检查歧视行为
• 承包商剥削： 轻松使用和抛弃合同工

更广泛的模式：任何地方都没有问责制

工人剥削符合 Valve 拒绝承担责任的模式：

• 用户： 物品被盗、恶意软件传播、儿童接触极端主义，无人问责
• 员工人数： 工人遭受剥削或歧视时无需承担责任
• 法律： 未经法院强制要求，不承担责任（澳大利亚、欧盟）
• “扁平结构”： 旨在确保没有人对任何事情负责
• 盈利模式： 逃避责任可以节省资金并保护高管
• 到处都是受害者： Valve 拒绝承担责任，用户、员工、竞争对手均受到损害

为什么重要意义

• 工人剥削： 据称“扁平层级”被用来欺骗和剥削承包商
• 潜在的歧视： 基于性别认同而被解雇的严重指控
• 没有工人保护： 结构确保员工待遇不受监督
• 系统性问题： 诉讼表明存在规律，而非孤立事件
• 零责任： 没有人负责确保公平待遇
• 隐藏的有毒文化： “创新”的外表可能隐藏着剥削行为
• 与用户相同的模式： 正如 Valve 抛弃用户一样，据称它也抛弃了员工