記錄事件

發生了什麼

Steam 上發布了一款名為 BlockBlasters 的惡意“遊戲”，其中包含可竊取受害者 Steam 帳戶和貴重物品的惡意軟體。

• 遊戲發布： Steam 商店 2024 年 9 月
• 遊戲網址： store.steampowered.com/app/3872350/BlockBlasters/
• 惡意軟體已確認： G DATA 安全研究人員於 2024 年 9 月記錄了該惡意軟體
• 並非第一個： 這不是 Steam 上第一款惡意軟體遊戲——這種情況屢見不鮮
• 10+名受害者： 多位用戶確認帳號和物品被盜
• 記錄在案的重大竊盜案： 數千美元的失竊物品
• 著名受害者： A 4期晚期癌症患者 他們的帳戶和物品被盜
• 公眾的廣泛關注： 該案件因癌症患者而獲得大量媒體報道

志工發現駭客

社區志工（不是 Steam）進行了調查並確定了攻擊者：

• 志工追蹤惡意軟體並識別駭客
• 駭客位置已確定：美國邁阿密
• 社區揭露襲擊者的真實身份
• 公開收集和記錄的證據
• Steam 自己沒有進行任何調查

發生了什麼

調查顯示，有證據表明 Steam 支援員工透過向駭客提供機密資訊直接從用戶帳戶竊取高價值皮膚。

• 調查已發布： YouTuber Mzkshow 於 2023 年 2 月提供詳細證據
• 直接員工參與： Steam 支援人員積極參與有組織的竊盜計劃
• 他們偷了什麼： 高價值 CS:GO 皮膚 - 稀有刀具、龍之傳說、其他昂貴物品
• 他們是如何做到的： 支援員工向犯罪夥伴提供了機密使用者資料（電子郵件、帳戶詳細資料、恢復資訊）
• 攻擊方法： 利用 Steam 員工的內部資訊繞過安全措施並劫持休眠帳戶
• 目標帳戶： 休眠帳戶包含價值數千美元的稀有高價值 CS:GO 皮膚
• 預計損失： 價值數十萬美元的 CS:GO 皮膚和物品被盜
• 安全故障： Steam 內部員工利用特權存取直接竊取使用者皮膚
• 組織犯罪： 證據表明，這不是一次孤立的行動，而是涉及多名 Steam 員工的協同行動

內部威脅：Steam 支援直接竊取皮膚

這一事件表明 Steam 支援員工直接從用戶帳戶竊取了有價值的 CS:GO 皮膚。

• Steam 員工直接竊盜： 不僅僅是「幫助」——支持人員是偷竊皮膚的積極參與者
• 被竊物品： 昂貴的 CS:GO 皮膚，包括稀有刀具、AWP Dragon Lores、Howls 和其他高價值物品
• 內部存取權限被利用： 支援人員利用特權存取使用者帳戶、電子郵件地址、電話號碼和恢復訊息
• 無監督： Valve 的「扁平結構」意味著沒有主管監督支援員工如何處理使用者帳戶
• 不承擔責任： 由於缺乏管理層次，不法員工可以不受控制地偷竊皮膚數月/數年
• 無檢測系統： Valve 的內部安全部門完全沒有註意到皮膚盜竊的模式
• 組織犯罪集團： 證據表明，多名 Steam 支持員工共同參與了這項協調計劃
• 獲利動機： 員工出售偷來的皮革以謀取私利，可能非法獲利數千美元

為什麼這一點很重要

這事件讓人們對 Valve 整個平台的完整性產生了質疑：

• 使用者無法信任 Valve 員工 可以存取他們的帳戶和數據
• 沒有內部控制 防止或發現員工不當行為
• 沒有問責結構 意味著不合規員工不受監管
• 平台助長犯罪 免受外部和內部威脅
• 零透明度 Valve 為解決這個問題做了什麼（如果有的話）

發生了什麼

一位著名的 CS:GO 收藏家的帳戶在一次複雜的攻擊中被盜用，導致價值超過 2 萬美元的庫存被徹底清算。

• 失竊日期： 2022 年 6 月
• 帳戶被盜： 擁有極為稀有收藏的知名收藏家
• 被竊物品： 全部庫存，包括 7 個紀念 AWP | Dragon Lore 皮膚（極為罕見）
• 總價值： 超過 2,000,000 美元的數位資產
• 攻擊方法： 複雜的帳戶入侵和安全繞過
• 清算項目： 被竊物品迅速透過各種平台出售
• 公眾關注： 由於其前所未有的價值，被遊戲媒體廣泛報道

最稀有的物品

這不僅僅是金錢——這些是無可取代的、具有歷史意義的數位文物：

• 七件紀念品 AWP | 龍之傳說皮膚 - CS:GO 中最稀有的物品之一
• 錦標賽掉落： 特定職業比賽中掉落的物品，永遠無法再獲得
• 歷史意義： 每件物品都與電子競技歷史上的特定時刻有關
• 不可替代： 由於錦標賽/活動已經結束，許多物品無法重新獲得
• 收藏年限： 多年來累積的收藏在數小時內被毀壞

系統性失敗

這一事件揭示了 Valve 的政策如何助長盜竊行為並保護公司而不是用戶：

• 旨在保護 Valve 的政策： 「不恢復」政策使公司免於承擔任何責任
• 使用者承擔所有風險： 即使是超出使用者控制範圍的複雜攻擊
• 沒有動力去提高安全性： Valve 無須承擔用戶被竊的後果
• 不承擔責任： 本公司為貴重物品提供平台，但不承擔任何責任
• 市場推動者： Valve 從物品交易中獲利，但不會保護交易者
• 指責受害者： 無論攻擊的複雜程度如何，都隱性地將錯誤歸咎於用戶

為什麼這一點很重要

• 如果 2 萬美元以上還不足以引起 Valve 的關注 - 無論損失多少都不會觸發行動
• 政策是絕對的： 沒有例外意味著沒有人性的判斷，沒有同情心
• 平台風險： Steam 從根本上不適合儲存有價值的數位資產
• 不承擔責任的利潤： Valve 從市集費用中獲利，但不會保護用戶
• 樹立先例： 如果這次竊盜沒有得到回應，那麼以後就不會再有竊了

模式：乾淨的遊戲，惡意更新

開發人員利用 Steam 薄弱的更新驗證機制，提交乾淨的遊戲，然後在獲得批准後推送惡意更新：

• 首次提交： 開發者提交看似合法的遊戲以供審核
• 通過審核： 乾淨的遊戲已獲批准並在 Steam 商店發布
• 惡意更新： 發布後，開發人員推送包含惡意軟體的更新
• 無需重新驗證： 更新不會受到與初次提交相同的審查
• 感染用戶： 自動更新會在使用者係統上安裝惡意軟體
• 延遲移除： 遊戲在檢測到之前可以持續數週/數月

案例研究1：抽象主義（2018）

最早記錄的透過 Steam 傳播惡意軟體的案例之一：

• 發現日期： 2018 年 7 月
• 惡意軟體類型： 特洛伊木馬和隱藏的加密貨幣礦工
• 攻擊向量： 偽裝成合法的益智遊戲
• 有效載荷： 植入木馬病毒，利用受害者電腦運行加密貨幣挖礦程序
• 平台停留時長： 在檢測之前相當長的一段時間內可用
• 使用者影響： 系統感染、效能下降、潛在資料竊取
• Steam的行動： 最終在社區強烈抗議後被刪除，且沒有補償

案例研究 2：BlockBlasters 和 PirateFi（2025 年）

抽象主義事件發生七年後，完全相同的攻擊媒介再次成功：

• 發現日期： 2025 年 1 月
• 涉及的遊戲： BlockBlasters 和 PirateFi（可能是同一個開發商）
• 惡意軟體類型： 資料竊取惡意軟體（資訊竊取者）
• 目標數據： 用戶憑證、Steam 帳戶、加密貨幣錢包
• 攻擊複雜度： 旨在竊取有價值的財務信息
• 免費遊戲： 免費提供，以最大化下載/感染數量
• 時間： 持續數月，已確認受害者超過 10 人（見事件 1）
• 著名受害者： 第四期癌症患者（記錄在上述 BlockBlasters 事件中）

兒童平台，惡意軟體載體

Steam 被數百萬未成年人和兒童使用，但卻成為惡意軟體的傳播點：

• 可信平台： 用戶相信 Steam 會分發安全的軟體
• 兒童受害者： 年輕用戶可能無法辨識惡意軟體症狀
• 家長信託： 家長認為 Steam 遊戲是安全的
• 面臨風險的數據： 惡意軟體可竊取家庭財務資訊和密碼
• 沒有家長監護： 沒有針對年輕用戶的警告或保護
• 教育危害： 告訴用戶官方平台不可信任

為什麼這是重大過失

• 已知漏洞： 自 2018 年以來記錄的攻擊向量，尚未實施修復
• 重複事件： 7 年來，同一襲擊多次得逞
• 技術存在： 自動惡意軟體掃描和行為分析是標準做法
• 可用資源： Valve利潤豐厚，成本不是藉口
• 競爭對手標準： 其他平台（Apple App Store、Google Play）的驗證則更為嚴格
• 可預見的危害： 每次事件都會導致用戶資料被盜、財務損失
• 無緩解措施： 不向受害者提供補償、援助或保護

法律案件

這不是一項指控——這是法院確認的 Valve 違反消費者保護法的裁定：

• 原告： 澳洲競爭與消費者委員會（ACCC）－政府監管機構
• 被告： 閥門公司
• 要求： 違反澳洲消費者法中關於退款權利的規定
• 時間段： 2014-2018 年（違規超過 4 年）
• 法庭： 澳洲聯邦法院
• 判決： 有罪——Valve 違反了消費者法
• 懲罰： 罰款3萬澳幣

Valve 做錯了什麼

法院發現 Valve 對消費者權益做出了虛假和誤導性的陳述：

• 澳洲消費者法規定： 顧客有權因有缺陷的產品而獲得退款
• Valve 的政策規定： 不退款（或退款極為有限）
• 誤導性陳述： Valve 告訴澳洲客戶他們沒有退款權利
• 虛假聲明： Valve 的服務條款違反澳洲法律
• 消費者損害： 澳洲消費者被剝奪合法保障的權利
• 時間： 儘管了解澳洲法律，侵權行為仍持續多年

Valve 的辯護理由：“我們不在澳洲運營”

Valve 的法律論點以及法院駁回該論點的原因：

• Valve 的聲明： “我們不在澳大利亞開展業務，因此不適用澳大利亞法律”
• 法院的裁決： 被拒絕—Valve 顯然在澳洲開展業務
• 針對 Valve 的證據：
  • 數百萬澳洲用戶使用 Steam
  • 以澳元向澳洲客戶銷售
  • 針對澳洲用戶的行銷與推廣
  • 大量收入來自澳洲市場
• 法院結論： Valve 的辯解是為了逃避法律責任

對消費者的影響

多年來，數百萬澳洲消費者被剝奪了合法權利：

• 拒絕退款： 對於有缺陷的遊戲和產品，他們有權合法退貨
• 受困於破損產品： 必須保留無法運作或被歪曲的遊戲
• 經濟損失： 支付了無法使用且無法退款的產品費用
• 權利誤導： 被告知他們沒有退款權利，儘管法律保障他們有退款權利
• 違規年資： 從 2014 年到 2018 年，無數交易受到影響
• 廣泛影響： 每個澳洲 Steam 用戶都可能受到影響

其他國家的類似問題

澳洲並非唯一面臨此類法律挑戰的國家——Valve 在其他地方也面臨類似的法律挑戰：

• 法國： Valve 因類似退費政策違規被消費者保護機構罰款
• 德國： 消費者團體對 Valve 的服務條款提出質疑
• 歐洲聯盟： 必須遵守歐盟消費者保護指令
• 模式： Valve 在全球範圍內持續抵制消費者保護法
• 僅在強制時更改： 僅在法律訴訟、罰款或法院命令後才遵守

為什麼這一點很重要

• 法律確認： 並非指控——法院確認有不當行為
• 故意違規： Valve 明知法律卻選擇違反法律
• 全局格局： 多個國家存在類似問題，建議採取系統性措施
• 企業文化： 揭示公司優先考慮利潤而非法律合規性
• 僅對力量作出反應： 只有在受到法院經濟處罰時才會改變行為
• 持續風險： 模式表明 Valve 會違反法律，直到被抓到並受到懲罰

發生了什麼

《反恐精英 2》發布後，數千名合法玩家在沒有違反任何規則的情況下遭到 VAC（Valve 反作弊）封鎖。

• 時間段： 2023 年 10 月 - 12 月（持續進行）
• 觸發事件： 《反恐精英 2》發布
• 規模： 數千名合法玩家被禁賽
• 主要原因： VAC 與 AMD 的 Anti-Lag+ 驅動程式功能之間的衝突
• 其他原因： 各種軟體不相容且故障
• 影響： 完全失去對 CS2 的訪問權限，對其他遊戲的潛在限制，庫存被鎖定

AMD Anti-Lag+ 問題

VAC 錯誤地將 AMD 的合法圖形驅動程式功能偵測為作弊軟體：

• Anti-Lag+ 功能： 合法的 AMD 驅動程式功能可減少輸入延遲
• 錯誤檢測： VAC 錯誤地將其標記為未經授權的修改
• 自動禁止： 無需人工審核，立即禁止用戶
• 無警告： 用戶不知道使用 AMD 驅動程式功能會導致禁令
• 普遍存在的問題： 所有啟用 Anti-Lag+ 的 AMD GPU 用戶都會受到影響
• AMD回應： 為了保護用戶，AMD 迅速禁用了 CS2 的 Anti-Lag+

失效的上訴制度

當被錯誤封鎖時，使用者發現沒有有效的申訴方式：

• 沒有人工評論： 透過自動回覆回答的支援票
• 模板響應： “VAC 禁令是永久性的，無法取消”
• 未調查： 不實際審查個案
• 無透明度： 用戶不知道是什麼引發了禁令
• 無追索權： 上訴制度旨在拒絕，而不是調查
• 數週的懸而未決： 用戶禁言數週後才大規模撤銷
• 需要社區壓力： 僅在民眾強烈抗議後才解決

根本問題：自動化不透明，缺乏問責

這一事件暴露了缺乏人工監督或有效呼籲的自動化系統的危險：

• 自動判斷： 系統立即禁止用戶，無需人工審核
• 無透明度： 用戶從未被告知導致禁令的原因
• 絕對權力： 可以撤銷數千美元的購買和物品
• 未提出有效申訴： 旨在否認而非調查的流程
• 使用者負擔： 無辜用戶必須在沒有資訊的情況下證明其無辜
• 不承擔責任： Valve 並未因虛假禁令承擔任何後果
• 可預見的錯誤： 軟體不相容是已知風險，無法預防

使用者影響：真實的人，真實的傷害

虛假的 VAC 禁令會對無辜玩家造成嚴重傷害：

• 完全禁止遊戲： 無法玩 CS2 或其他受 VAC 保護的遊戲
• 庫存鎖定： 貴重物品無法取用
• 經濟損失： 數千款遊戲和物品變得毫無價值
• 名譽損失： 個人資料永久標記為作弊者
• 社會影響： 被社群、團隊、錦標賽踢出
• 失去的機會： 錯過競賽活動、球隊選拔賽
• 情緒困擾： 數週的壓力、無助和誣告
• 無補償： 即使禁令解除後，損失也不會得到補償

為什麼這一點很重要

• 系統不可靠： 數千個誤報證明 VAC 有錯誤
• 無需人工監督： 不受控制的權力自動化系統
• 無透明度： 用戶不知道自己被指控什麼
• 未提出有效申訴： 流程旨在拒絕，而不是審查
• 不承擔責任： Valve 不會因虛假禁令而承擔任何後果
• 反覆發生： 類似的假禁令浪潮以前也發生過
• 將會再次發生： 未宣布任何系統改進措施以防止再次發生

其他 VAC 誤報事件

這並不是 VAC 第一次錯誤地禁止無辜使用者：

• 現代戰爭2（2010）： 12,000 起虛假 VAC 禁令隨後被撤銷
• 各種軟體衝突： 已標記錄音軟體、疊圖和輔助工具
• 模式已建立： VAC 經常錯誤封禁，Valve 在強烈抗議後默默撤銷
• 沒有學習： 每隔幾年就會重複相同的模式，但觸發因素不同

Steam 如何催生了非法賭博業

Steam 在 CS:GO 中引入了可交易的武器“皮膚”，創造出具有真實貨幣價值的物品，成為不受監管的賭場的賭博籌碼：

• CS:GO 皮膚介紹： ~2013 年，具有市場價值的可交易化妝品
• 博彩生態系應運而生： 到 2015 年，數百個賭博網站使用皮膚作為貨幣
• 不受監管的賭場： 輪盤、拋硬幣、累積獎金網站 - 全部使用 Steam 物品
• 針對未成年人： 無需年齡驗證，透過 YouTube 用戶和串流媒體向兒童推銷
• 數十億美元的產業： 據估計，每年有數十億美元的賭博
• 100% 依賴 Steam： 每個賭博網站都需要 Steam API、登入和市場

Steam API 和身份驗證：支援賭博的基礎設施

如果沒有 Steam 的基礎設施，賭博網站就無法運作 - 但 Steam 仍在繼續提供它：

• Steam API： 賭博網站使用 Steam API 存取用戶庫存、驗證物品、執行交易
• Steam 登入/OAuth： 網站使用「使用 Steam 登入」進行使用者身份驗證
• Steam交易系統： 所有存款/提款均透過 Steam 的交易基礎設施進行
• Steam市場： 提供皮膚價值的定價數據和流動性
• 關鍵事實： 如果 Steam 關閉賭博網站的 API 存取權限，所有賭博網站將立即停止運營
• 但他們沒有： 賭博網站至今（2025 年）仍在使用 Steam API 和登錄

訴訟和法律行動

多起訴訟指控 Valve 助長非法賭博並從中獲利：

• 提起的訴訟： 自 2016 年以來，多起集體訴訟
• 指控： Valve 明知故犯地創造了非法賭博生態系統並從中獲利
• 未成年受害者： 未成年用戶未經年齡檢查就接觸無牌賭博
• Valve 的共謀： 整個系統依賴 Steam 基礎設施閥門控制
• 大多數訴訟被駁回： 通常是技術問題，而不是實質問題
• 問題仍然存在： 法律糾紛並沒有阻止賭博生態系統

證據：賭博網站仍在使用 Steam 基礎設施（2025 年）

自 2025 年起，賭博網站將繼續與 Steam 進行全面整合：

• “使用 Steam 登入”按鈕： 仍然存在於賭博網站上
• 庫存訪問： 網站仍然可以查看和驗證用戶的 Steam 庫存
• 交易功能： 存款和提款仍透過 Steam 交易進行
• 無 API 區塊： Valve 尚未對賭博域名實施系統性屏蔽
• 簡單驗證： 造訪任何 CS:GO 賭博網站 - 它們都使用 Steam 登入和 API
• 9年不變： 自 2015 年以來，相同的基礎設施支援賭博

針對兒童：為未成年人提供賭博的平台

賭博生態系統專門針對 Steam 的年輕用戶群：

• Steam 的使用者群體： 數百萬用戶是未成年人和兒童
• 無需年齡驗證： 賭博網站不驗證年齡 - Steam 登入即可
• 影響者營銷： YouTube 部落客和主播向兒童觀眾宣傳賭博
• 成癮目標： 華麗的圖形和聲音旨在吸引年輕用戶
• 不受管制的訪問： 孩子們可以在父母不知情的情況下賭博
• 毀滅人生的後果： 紀錄顯示，未成年人損失數千美元，染上賭博癮
• 無保護： Steam 實施零安全措施以防止未成年人賭博

為什麼這是刑事疏忽和共謀

• Valve 創建了這個系統： 引進可交易物品，成為賭博貨幣
• Valve 控制基礎設施： API、登入、交易——全部由 Valve 控制
• Valve 可以立即關閉： 阻止對賭博域的 API 存取 - 問題已解決
• Valve 選擇不： 賭博生態系在九年後仍然運作
• Valve直接獲利： 賭博驅動交易的市場費用
• Valve 了解未成年人： 訴訟和媒體報道廣泛記錄了兒童賭博
• 在大多數司法管轄區都是非法的： 無證賭博，特別是針對未成年人的賭博，是犯罪行為
• 沒有有意義的行動： 「Crackdown」 是表演性的 - 網站仍然透過 Steam 整合運行

財務動機：Valve 為何不願意關閉它

Valve 有強大的經濟動機來維持賭博生態系統的活力：

• 市場交易費用： Steam 市場每筆交易收取 5% 手續費——賭博推動交易量大幅成長
• 皮膚需求增加： 賭博創造了人為需求，提高了價格，並導致 Valve 抽成
• 用戶參與： 賭博讓 Steam 平台用戶保持活躍
• 開案收入： 賭博文化鼓勵購買 CS:GO 機箱（Valve 的收入）
• 生態系網路效應： 賭博吸引用戶、內容創作者以及對 CS:GO 的關注
• 預計利潤： Valve 每年可能從與賭博相關的生態系統活動中賺取數千萬美元

Valve 的所作所為：非法市場劃分

Valve 使用 Steam 啟動金鑰非法分割歐盟單一市場：

• 方案： 區域鎖定的 Steam 啟動金鑰阻止跨境購買
• 它是如何運作的： 在波蘭（較便宜）購買的遊戲無法在德國（較貴）啟動/玩
• 參與者： Valve + 5 家主要發行商（Bandai Namco、Capcom、Focus Home、Koch Media、ZeniMax）
• 違規行為： 阻止歐盟消費者跨境購物以獲得更優惠的價格
• 影響： 歐盟富裕國家人為提高價格
• 時間： 在調查之前，這種做法已經持續多年

歐盟執委會裁定：明顯違反競爭法

這不是一項指控——歐盟委員會依法確認 Valve 違反了反壟斷法：

• 官方裁決： 歐盟委員會反壟斷決定（2021年1月）
• 發現： Valve 違反歐盟競賽規則
• 違規類型： 非法地理封鎖限制跨境貿易
• 法律基礎： 《歐洲聯盟運作條約》第 101 條
• Valve 的處罰： 罰款 1.6 億歐元
• 罰款總額： 所有參與公司共 7.8 萬歐元

Valve 拒絕配合調查

在調查期間，Valve 積極阻撓歐盟委員會的調查：

• 拒絕合作： Valve 拒絕與歐盟調查人員合作
• 加重處罰： 由於不合作，罰款更高
• 阻撓戰術： 沒有提供所要求的資訊或幫助
• 表示輕蔑： 明顯無視歐盟監管機構
• 行為模式： 與澳洲的案例類似——Valve 認為自己凌駕於法律之上

消費者影響

• 被迫多付： 歐盟富裕國家的消費者支付了人為的高價
• 失去消費者權益： 無法行使歐盟跨境購物的權利
• 市場扭曲： 阻止合法的價格競爭
• 違規年資： 執法前，該做法持續了較長時間
• 無補償： 多付錢的消費者沒有得到任何退款

ADL 2024 年報告：極端組織使用者超過 1 萬

反誹謗聯盟官方調查記錄了 Steam 上大規模的極端主義生態系統：

• 報告發布： 反誹謗聯盟（ADL）於2024年
• 規模發現： 數千個極端組織在 Steam 上活動
• 用戶參與： 超過 1 萬個 Steam 帳號與仇恨團體有關
• 發現的意識形態： 白人至上主義、納粹主義、反猶太主義、暴力極端主義
• 內容類型： 納粹標誌、仇恨言論、招募資料、極端主義宣傳
• 所利用的平台功能： Steam 群組、個人資料、論壇、創意工作坊內容
• 時間： 團體運作多年，無人監管

ADL 在 Steam 上發現了什麼

調查的詳細結果：

• 隨處可見的納粹形象： 納粹黨徽、黨衛軍標誌和希特勒圖像被公開使用
• 仇恨團體招募： Steam 上積極招募新成員的團體
• 極端主義網絡： 用於協調和組織仇恨活動的平台
• 無年齡限制： Steam 上兒童可訪問的極端主義內容
• 很容易找到： 透過 Steam 搜尋發現仇恨團體
• 閥門意識： 社區報告提交多年卻被忽視

案例研究：《強姦日》－獲批准的強姦/謀殺模擬器（2019）

Steam 批准的遊戲，玩家在其中強姦和謀殺女性 - 僅在引起公眾強烈憤怒後才被刪除：

• 遊戲名稱： “強姦日”
• 內容： 玩家模擬強暴、殺害和言語騷擾女性
• 開發者描述： 公開宣傳為強姦/謀殺幻想模擬器
• Steam 的批准： 遊戲已通過 Steam 審核
• 商店列出： 公開提供願望清單和購買
• 公眾發現： 媒體報導曝光了這場比賽（2019年3月）
• 強烈抗議： 國際社會對媒體、倡議團體和公眾的譴責
• Valve的回應： 迫於民眾壓力下架遊戲－沒有道歉
• 不承擔責任： 從未解釋過這是如何通過審查的

極端主義兒童收容平台

Steam 被數百萬未成年人使用，但卻承載著龐大的極端主義生態系統：

• 年輕用戶群： 數百萬 Steam 用戶是兒童和青少年
• 極端主義暴露： 年輕用戶接觸納粹宣傳和仇恨言論
• 招募目標： 極端組織積極招募弱勢年輕用戶
• 激進化管道： Steam 成為極端主義意識形態的切入點
• 沒有家長監護： 沒有有效的工具來保護兒童免受仇恨內容的侵害
• 正常化的仇恨： 極端主義符號對年輕用戶來說變得正常化
• 無警告： 兒童可以在沒有任何警告的情況下加入極端組織

Valve 為何不採取行動：缺乏問責機制

Valve 的「扁平結構」意味著沒有人對平台安全負責：

• 沒有內容審核團隊： 沒有專門的平台安全部門
• 沒有管理監督： 沒有人審查員工批准遊戲的決定
• 沒有後果： 批准「強姦日」的員工無需承擔任何責任
• 沒有信任和安全導致： 沒有高階主管負責用戶安全
• 不執行政策： 即使有政策，也沒有人執行
• 削減成本： 審核需要資源－Valve 選擇不投資

法律和道德的失敗

• 違反平台責任： 各大平台可望對有害內容進行審核
• 潛在的法律責任： 在許多司法管轄區，承載仇恨言論和極端主義內容是違法的
• 危害用戶： 尤其是受到極端主義影響的兒童
• 造成現實世界的傷害： Steam 上形成的極端主義網絡可能導致暴力
• 道德破產： 明知故犯地託管強姦模擬器和納粹團體以獲取利潤
• 行業異常值： 其他主要平台（YouTube、Facebook、Discord）則積極審查仇恨內容

發生了什麼：Steam 向用戶展示了其他人的私人數據

Valve 的快取配置錯誤導致用戶看到隨機陌生人的帳戶資訊：

• 日期： 2015年12月25日（聖誕節）
• 時間： 大約90分鐘
• 錯誤： 快取系統提供了錯誤使用者的帳戶頁面
• 用戶看到的內容： 隨機其他用戶的個人 Steam 帳戶訊息
• 規模： 約有 34,000 名用戶因查看他人資料而受到影響
• 原因： Valve 的網路快取系統配置錯誤
• 不是駭客行為： 這是 Valve 自身的技術故障，而非外部攻擊

哪些私人資料外洩

隨機陌生人可見的敏感個人資訊：

• 電子郵件地址： 用戶註冊郵箱地址洩露
• 購買歷史： 購買的遊戲和物品的完整列表
• Steam 錢包餘額： 用戶的 Steam 錢包裡有多少錢
• 帳單地址： 與帳戶關聯的實體地址
• 部分付款資訊： 信用卡/付款方式的末位數字
• 帳戶詳細資料： 個人資料資訊、願望清單、交易歷史
• 電話號碼： 對於已啟用電話驗證的帳戶

技術故障：Valve 的無能

這不是複雜的攻擊 - 這是基本的配置錯誤：

• 快取配置錯誤： 高流量期間 Web 快取配置不正確
• 會話處理失敗： 系統未能正確分離使用者會話
• 未測試： 在沒有充分測試隱私影響的情況下部署了變更
• 無保障措施： 沒有機制來檢測是否提供了錯誤的數據
• 響應緩慢： 花了 90 分鐘來識別並解決問題
• 基本錯誤： 這種快取錯誤被認為是業餘水平

使用者面臨的風險

暴露的數據可能被用於各種惡意目的：

• 網絡釣魚攻擊： 電子郵件地址 + 購買歷史記錄 = 有針對性的網路釣魚
• 社會工程學： 攻擊者可能利用暴露的詳細資訊來冒充用戶
• 帳戶定位： 已確定遭受駭客攻擊的高價值帳戶（高價購買）
• 財務詐欺： 部分付款資訊+帳單地址助長欺詐
• 侵犯隱私： 陌生人可以看到用戶的完整遊戲和消費歷史
• 長期風險： 洩漏的資訊多年後仍然有效

為什麼這一點很重要

• 基本安全故障： 透過適當的測試可以避免快取錯誤
• 數百萬人面臨風險： 如果 34K 發生這種情況，配置可能會影響所有用戶
• 違反信任： 使用者信任 Valve 提供的付款資訊、電子郵件和地址
• 不承擔責任： Valve 承認錯誤但未提供任何賠償
• 可能再次發生： 沒有證據顯示系統性改進可以防止復發
• 工業標準： 其他平台提供資料外洩賠償，但 Valve 沒有

掠奪性經濟模式

Artifact 的獲利方式旨在利用一切可能的時機來賺錢：

• 入場費： 需要預付 20 美元購買（與競爭對手的免費遊戲模式不同）
• 付費參與： 玩家必須為每種競技遊戲模式支付 1 美元的門票
• 購買卡包： 每包 2 美元，僅限真錢 - 無法透過遊戲賺取包
• 沒有免費收入： 與競爭對手（《爐石戰記》、《MTG Arena》）不同，無法透過玩遊戲建立收藏
• Steam市場壟斷： 完成收藏的唯一方法是在 Steam 市場上買賣
• Valve 到處都有削減： 每筆市場交易的佣金
• 三重浸漬： 付費購買遊戲 + 支付遊戲包 + 支付 Valve 交易費用

Valve 如何從每筆交易中獲利

此經濟體系旨在透過 Valve 的佣金系統引導所有玩家的支出：

• 初次購買： 20 美元 × 每位玩家 = Valve 直接利潤
• 卡包銷售： 每包 2 美元 × 平均玩家需要數十個 = 平均每個玩家數百個
• 活動門票： 每場競技比賽 1 美元 × 認真的玩家玩很多
• Steam 市集費用： 每張卡售出/購買約 15% 佣金
• 強制市場使用： 設計讓玩家必須使用市場來取得特定卡牌
• 別無選擇： 無法直接交易卡牌，無法透過遊戲賺取
• 預計支出： 競技玩家需要花費 200-300 美元以上來建立元卡組

社區強烈反對：“經濟才是問題所在”

玩家和評論家立即譴責了這種掠奪性模式：

• 廣泛的批評： 遊戲媒體、主播、玩家都對經濟發動了攻擊
• 付費獲勝指控： 有錢的玩家有巨大的優勢
• 相比之下不利的是： 比競爭對手的遊戲獲利能力更差
• 多邊形文章： “Artifact 的經濟問題比遊戲玩法更嚴重”
• 玩家流失： 遊戲在幾週內失去了 95% 以上的玩家
• 評論轟炸： 負面評論特別提到掠奪性經濟
• 社區裁決： Valve 更關心利潤而不是製作優秀的遊戲

為什麼這一點很重要

• 掠奪性設計： 故意設計經濟以榨取最大利潤
• 貪婪勝過遊戲玩法： Valve 優先考慮盈利而不是製作有趣的遊戲
• 殺死自己的產品： 掠奪性模型太糟糕，毀掉了遊戲
• 受害者不退款： 花費數百美元的玩家失去了一切
• 開發模式： 表示 Valve 願意利用玩家牟利
• 不承擔責任： 被遺棄的遊戲，玩家從未承擔責任
• 揭示優先事項： 短期利潤>長期成功>玩家滿意度

訴訟：前翻譯的指控

前承包商起訴Valve，揭露「扁平層級」文化的陰暗面：

• 原告： 前 Valve 翻譯/承包商
• 索償金額： $ 3.1萬美元賠償金
• 時間段： 2016-2017
• 主要主張： 透過欺騙性招募手段進行剝削
• 次要主張： 可能基於歧視的錯誤解僱
• 涉嫌模式： Valve 對合約工的系統性剝削

指控：「扁平層級」是謊言

訴訟稱 Valve 著名的組織模式是一種欺騙性的剝削工具：

• 「扁平層級」的謊言： 以創新與賦能著稱的著名建築
• 事實指控： 用虛假承諾剝削承包商
• 欺騙性招募： 以全職工作的承諾引誘工人
• 保留為承包商： 工人仍然是合約工，沒有福利
• 沒有就業途徑： 據稱全職職位的承諾是虛假的
• 法律漏洞： 承包商身分剝奪了工人的勞動保護和福利
• 節約成本： Valve 透過避免員工福利和保護來節省資金

歧視指控：變性手術後被解僱

原告聲稱醫療轉變後不久就被解僱：

• 醫療程序： 原告接受了變性手術
• 終止時間： 手術後不久被解僱
• 歧視指控： 可能基於性別認同而終止合約
• 未給出解釋： Valve 據稱沒有提供明確的解僱理由
• 受保護類別： 性別認同歧視在許多司法管轄區都是非法的
• 模式關注： 質疑 Valve 對待 LGBTQ+ 員工的方式

為什麼「扁平結構」會導致剝削

該訴訟揭露了 Valve 的組織模式如何助長了對員工的虐待：

• 缺乏人力資源監督： 「扁平結構」意味著沒有人力資源部門來保護員工
• 沒有管理責任： 沒有人負責公平對待員工
• 無上訴程序： 工人無法就不公平待遇尋求救濟
• 無就業標準： 沒有人執行一致的招聘/解僱政策
• 任意決定： 解僱可能在沒有監督或理由的情況下發生
• 允許歧視： 不檢查歧視行為
• 承包商剝削： 輕鬆使用和拋棄合約工

更廣泛的模式：任何地方都沒有問責制

對工人的剝削符合 Valve 拒絕承擔責任的模式：

• 用戶： 物品被竊、惡意軟體傳播、兒童接觸極端主義，無人問責
• 員工人數： 工人遭受剝削或歧視時無須承擔責任
• 法律： 未經法院強制要求，不承擔責任（澳洲、歐盟）
• 「扁平結構」： 旨在確保沒有人對任何事情負責
• 獲利模式： 逃避責任可以節省金錢並保護高階主管
• 到處都是受害者： Valve 拒絕承擔責任，使用者、員工、競爭對手均受到損害

為什麼這一點很重要

• 工人剝削： 據稱「扁平層級」被用來欺騙和剝削承包商
• 潛在的歧視： 基於性別認同而被解僱的嚴重指控
• 沒有工人保護： 結構確保員工處理不受監督
• 系統性問題： 訴訟顯示存在規律，而非孤立事件
• 零責任： 沒有人負責確保公平待遇
• 隱藏的有毒文化： 「創新」的外表可能隱藏著剝削行為
• 與使用者相同的模式： 正如 Valve 拋棄用戶一樣，據稱它也拋棄了員工