Ayaneo's Privacy Issue: Unauthorized SteamID Data Collection

아야네오의 개인정보 문제: 비동의SteamID수집

Overview

소개

- This analysis report is based on observed behavior and may be incomplete or inaccurate. It is an observation for the purpose of raising issues and verifying facts. -

This post is of no value to those who are not concerned about privacy

Recently, while developing an independent app to replace AYASpace, an app exclusively for AYANEO, we observed network behavior where AYASpace continuously transmitted SteamID, a personally identifiable information, to an AWS server (api.pc.ayaneo.com) controlled by AYANEO without the user's explicit consent.

- 이 분석 보고서는 관측된 동작을 기반으로 하며, 불완전하거나 부정확할 수 있으며 문제 제기 및 사실 확인을 위한 관찰 내용 입니다. -

이 글은 개인 정보 보호에 관심이 없는 사람들에게는 가치가 없습니다.

최근 아야네오(AYANEO) 전용 앱 아야스페이스(AYASpace)를 대체할 독립적인 앱을 제작하던 과정에서, AYASpace가 사용자의 명시적 동의 없이 개인 식별 정보인 SteamID를 AYANEO 통제 하의 AWS 서버(api.pc.ayaneo.com)로 지속적으로 전송하는 네트워크 동작을 확인하였습니다.

Temporary Workaround

임시 조치 방법

Malfunctions may occur in AYASpace or its sub-features (updates, game libraries, etc.), and you are solely responsible for any issues caused by applying this method.
Run Notepad as Administrator
Open the file: c:\Windows\System32\drivers\etc\hosts
Add "127.0.0.1 api.pc.ayaneo.com" to the bottom line
Save and restart your system
To restore, simply remove the added line and restart your system

AYASapce 자체나 하위 기능인 업데이트, 게임 라이브러리 등 오작동 문제가 발생할 수 있으며 책임은 이 방법을 적용하시는 본인에게 있습니다.
관리자 권한으로 메모장 실행
열기 c:\Windows\System32\drivers\etc\hosts
127.0.0.1 api.pc.ayaneo.com 맨 아래 라인에 추가
저장 후 재부팅
문제가 발생한다면 추가한 라인을 지우고 재부팅 하시면 원상복구

Log Data Verification (Unauthorized SteamID Collection)

로그 데이터 확인(SteamID 무단 수집)

Extracts and immediately transmits SteamID3, a unique personal identifier, during AYASpace execution.
Occurs continuously after execution for both existing and newly installed users.
Captured Log: 2025-12-20 20:40:21.796 INFO [ServerService.cpp:363] get url: https://api.pc.ayaneo.com/AYASpace/pcgame/getSteamIdInfo?steamID3=XXXXXXXXX (XXXXXXXXX is the user's unique Steam account number.)
AYASpace log location -> %appdata%\ayaspace\log\main.log

Ayaspace 실행 중 사용자의 고유 식별 정보인 SteamID3를 추출하여 즉시 서버로 전송
이미 사용 중인 유저나, 새로 설치한 유저 모두에게 실행 이후 지속적으로 발생
포착된 로그: 2025-12-20 20:40:21.796 INFO [ServerService.cpp:363] get url: https://api.pc.ayaneo.com/AYASpace/pcgame/getSteamIdInfo?steamID3=XXXXXXXXX (XXXXXXXXX는 사용자의 고유 스팀 계정 번호입니다.)
Ayaspace 의 로그 생성 위치 -> %appdata%\ayaspace\log\main.log

Network Packet Transmission Confirmation

네트워크 패킷 전송 확인

Network packet analysis via Wireshark confirms that AYASpace is maintaining a continuous TLS 1.2 encrypted connection with the api.pc.ayaneo.com server. The packet size is approximately 211 bytes, which strongly supports the evidence that the SteamID collection found in the logs is being transmitted in real-time. Since this is only what is visible on the surface, there are serious concerns about how much more information might be sent behind the scenes.

Analysis filtered through Wireshark shows that a total of 413 packets were transmitted to the server over approximately 3 minutes, starting from the first packet at 19.45 seconds. This represents an abnormal communication frequency of 4 to 5 times every 2 seconds on average. As evidenced by the scroll bar shrinking almost instantly, AYASpace is incessantly broadcasting user data to the server in the background. This goes beyond simple data collection; it has reached a level of unauthorized hogging of device resources and network bandwidth.

와이어샤크(Wireshark)를 통해 확인한 결과, AYASpace 앱은 api.pc.ayaneo.com 서버와 지속적으로 TLS 1.2 암호화 통신을 주고받고 있습니다. 패킷 크기는 약 211바이트로, 앞서 로그 파일에서 발견한 SteamID 수집 정보가 실시간으로 전송되고 있음을 뒷받침 합니다. 겉으로 드러난 로그가 이 정도라면, 보이지 않는 곳에서 얼마나 더 많은 정보가 전송되고 있을지 우려됩니다.

와이어샤크로 필터링하여 분석한 결과, 첫 패킷이 기록된 19.45초부터 종료 시점까지 약 3분간 총 413개의 패킷이 해당 서버로 송출되었습니다. 이는 평균 2초마다 4~5회꼴로 발생하는 비정상적인 통신 빈도입니다. 우측의 스크롤바가 순식간에 작아진 것만 봐도 알 수 있듯이, AYASpace는 백그라운드에서 사용자의 정보를 쉴 새 없이 서버로 쏘아 올리고 있습니다. 이는 단순한 정보 수집을 넘어 기기 자원과 네트워크 대역폭을 무단으로 점유하는 수준입니다.

nslookup result:

api.pc.ayaneo.com (whois)


Non-authoritative answer:

Name:    a4ff72e7a8114ed75.awsglobalaccelerator.com

Addresses:  15.197.146.117

          3.33.154.21

Aliases:  api.pc.ayaneo.com

ayaneo.com (whois)


Non-authoritative answer:

Name:    a64e40a7f7229ee65.awsglobalaccelerator.com

Addresses:  13.248.199.108

          76.223.69.6

Aliases:  ayaneo.com

Separation of Web and Data Collection Infrastructure:
- The main website (ayaneo.com) and the API server (api.pc.ayaneo.com) utilize distinct AWS Global Accelerator IDs. This indicates the deliberate architecture of a dedicated pipeline specifically for data exfiltration, isolated from standard web traffic.
Suspected Collusion by Amazon (AWS):
- Despite the destination resolving clearly to AWS Global Accelerator infrastructure, AWS continues to claim "IP Spoofing" as a defense. This blatant dismissal of verifiable network evidence raises serious concerns that Amazon may be willfully ignoring or facilitating the unauthorized collection of personal data by Chinese entities.
DNS Control under Chinese Jurisdiction:
- The authoritative name servers are set to hichina.com (Alibaba Cloud). This confirms that the domain control is hosted within mainland China, providing direct evidence that the traffic routing to AWS infrastructure is managed by Chinese entities.
ByteDance (Feishu) Email Infrastructure:
- The MX records point to feishu.cn (operated by ByteDance, the parent company of TikTok). The entire corporate infrastructure is integrated with entities subject to the Chinese National Intelligence Law.

웹 서버와 데이터 수집 서버의 분리:
- 메인 페이지(ayaneo.com)와 API 서버(api.pc.ayaneo.com)가 서로 다른 AWS 가속기 ID를 사용하고 있음. 즉, 정보 수집을 위한 별도의 파이프라인을 구축한 것.
아마존의 공조 의혹:
- 명확하게 AWS 가속기 서비스 주소가 찍히는데도 AWS에서 스푸핑이라 주장하는 것은, 아마존이 중국 기업의 개인정보 수집 행위를 묵인하거나 공조하고 있다는 의심을 사기에 충분함.
중국 정부 영향력 하의 DNS 관리:
- 네임서버가 알리바바 클라우드 계열의 hichina.com으로 설정되어 있으며, 이는 도메인 제어권이 중국 본토에 있음을 의미하며, AWS 인프라로의 트래픽 유도를 중국 측에서 직접 관리하고 있다는 증거.
바이트댄스(Feishu) 이메일 인프라 사용:
- MX 레코드가 feishu.cn(틱톡 모기업 바이트댄스 서비스)으로 확인. 기업 운영 인프라 전체가 중국 국가 정보법의 영향을 받는 기업들로 구성되어 있음.

Legal Basis for Forced Data Collection by the Chinese Government:
- National Intelligence Law (Articles 7 & 14): Mandates that all organizations and citizens must support and cooperate with state intelligence efforts. Companies like Alibaba (DNS) and ByteDance (Mail) have no legal standing to refuse government demands for AYANEO server logs or SteamID data.
- Data Security Law (Articles 35 & 36): Declares state sovereignty over data, requiring companies to comply with data access requests from public security organs for national security purposes. Even when using U.S.-based AWS infrastructure, the data remains subject to this law as long as administrative control resides within China.
- Anti-Espionage Law (2023 Amendment): Broadly defines "data related to national security and interests." Paradoxically, if a company attempts to withhold user data from the state, it risks criminal prosecution, effectively forcing private entities to preemptively surrender data to ensure corporate survival.

중국 정부의 데이터 강제 수집 근거법:
- 국가정보법(National Intelligence Law) 제7조 및 제14조: 모든 조직과 시민은 국가 정보 활동에 협조할 의무가 있음. 중국 정부가 알리바바(DNS)나 바이트댄스(Mail)에 AYANEO 서버의 SteamID와 트래픽 로그 제출을 명령할 경우, 해당 기업은 법적으로 거부할 권한이 전무함.
- 데이터보안법(Data Security Law) 제35조 및 제36조: 국가 안보를 위해 공안기관이 데이터 조회를 요청할 시 기업은 반드시 응해야 함. 특히 AWS(미국 서버)를 사용하더라도 관리 권한(DNS/계정)이 중국 내에 있다면 이 법의 직접적인 통제 대상이 됨.
- 반간첩법(Anti-Espionage Law) 2023년 개정안: 국가 안보와 이익에 관련된 데이터의 정의를 광범위하게 적용. 만약 기업이 유저 데이터를 정부에 공유하지 않고 은폐하려 할 경우, 오히려 반간첩법 위반으로 처벌받을 수 있는 구조. 즉, 기업 생존을 위해서라도 데이터를 상납해야만 함.

Deceptive License Agreement Process

기만적인 라이선스 동의 과정

Even in the global installation file (AYASpaceGlobalSetup3.0.0.30.exe),
The license and agreement terms provided during installation are entirely in Chinese.
To fulfill the legal duty of disclosure, the agreement must be provided in the same language as the installation. (English)
Collecting 'unique identifiable information' behind an unreadable agreement lacks procedural and legal legitimacy.
This data is completely unnecessary for improving user experience or statistical purposes.
It is questionable why a personally identifiable SteamID must be collected.

글로벌 설치 파일(AYASpaceGlobalSetup3.0.0.30.exe)임에도
설치 과정에서 제시되는 라이선스 및 동의 내용은 전부 중국어
글로벌 판이며 설치언어와 같은 영어로 제공되어야 고지 의무가 성립
읽을 수 없는 언어로 된 약관 뒤에 숨어 '고유 식별 정보'를 수집하는 것은 절차적, 법적 으로 정당성 성립이 어려워 보임
해당 데이터는 사용 경험 개선이나 통계 목적에 전혀 불필요한 정보
왜 굳이 개인 식별이 가능한 SteamID를 가져가야 하는지 의문

Technical Information Related to AYASpace Application and Steam API Usage

아야스페이스 앱의 Steam API 관련 기술 자료

steamID64 - 64-bit Steam unique identifier
steamID3 - Steam account number
/pcgame/getSteamIdInfo - Steam ID collection endpoint
GetSteamID64 - Steam ID extraction function
GetOwnedGames - Full list of owned games
GetOwnedGames log game - Per-game play data
games - Game list
appKey - Steam API key exfiltration (exploited for unauthorized access to user Steam account data)
jsonxx::json_exception - JSON parsing trace, collected data structuring

steamID64 - 64비트 Steam 고유 식별자
steamID3 - Steam 계정 번호
/pcgame/getSteamIdInfo - Steam ID 수집 엔드포인트
GetSteamID64 - Steam ID 추출 함수
GetOwnedGames - 보유 게임 목록 전체
GetOwnedGames log game - 게임별 플레이 데이터
games - 게임 리스트
appKey - Steam API 키 유출 (사용자 Steam 계정 데이터 무단 접근에 악용)
jsonxx::json_exception - JSON 파싱 흔적, 수집 데이터 구조화

Steam Web API Terms of Use Violations

Steam Web API 약관 위반 사항

Directly confirmed clauses from Steam Web API Terms of Use (https://steamcommunity.com/dev/apiterms):

API Key Confidentiality
"You agree to keep your Steam Web API key confidential, and not to share it with any third party. This license is personal to you and specific to your Application. You agree that you will be personally responsible for the use of your Steam Web API key." (Steam Community)
-> API Key must not be shared with third parties and may only be used in your own application
No Third-Party Delegation
"You may not transfer, assign, or delegate the API Terms of Use and your Steam Web API key to any third party." (Steam Community)
-> API Key may not be transferred or delegated to any third party
Publisher Key Security
"Publisher Web API keys provide access to sensitive user data and protected methods. These keys are intended to be used for Web API requests that originate from secure publisher servers. The keys must be stored securely, and must not be distributed with a game client." (Steam)
-> Distribution of keys within a game client is strictly prohibited

Steam Web API Terms of Use (https://steamcommunity.com/dev/apiterms)에서 직접 확인되는 조항들입니다:

API Key 기밀 유지
"You agree to keep your Steam Web API key confidential, and not to share it with any third party. This license is personal to you and specific to your Application. You agree that you will be personally responsible for the use of your Steam Web API key." (Steam Community)
-> API Key는 제3자와 공유 금지, 본인 앱에만 사용
제3자 위임 금지
"You may not transfer, assign, or delegate the API Terms of Use and your Steam Web API key to any third party." (Steam Community)
-> API Key를 제3자에게 양도/위임 불가
Publisher Key 보안
"Publisher Web API keys provide access to sensitive user data and protected methods. These keys are intended to be used for Web API requests that originate from secure publisher servers. The keys must be stored securely, and must not be distributed with a game client." (Steam)
-> 게임 클라이언트에 키 배포 자체가 금지

Steam's Privacy Agreement

Steam의 개인정보 보호 정책

https://store.steampowered.com/privacy_agreement/
- Section 1
  - any information that can either itself identify you as an individual ("Personally Identifying Information") or that can be connected to you indirectly by linking it to Personally Identifying Information
- Section 3.1
  - During setup of your account, the account is automatically assigned a number (the "Steam ID") that is later used to reference your user account without directly exposing Personally Identifying Information about you.
- Section 3.5
  - Content-Related Information includes your Steam ID

Is This a Legal Problem?

AYANEO has already entered the U.S. market directly through the following channels:
- Best Buy retail sales (physical commerce within the United States)
- Indiegogo crowdfunding platform sales (U.S.-headquartered platform)
- Worldwide sales targeting the U.S., Europe, Asia, and other regions
- "Global" explicitly stated in the installer filename (AYASpaceGlobalSetup3.0.0.30.exe)

SteamID Is Personal Data

"SteamID is public information, so there is no problem" - this argument does not hold:
- Section 3.1: SteamID is a unique identifier automatically assigned upon account creation
- Section 3.5: SteamID is explicitly classified as Content-Related Information and categorized as personal data
- Section 1: Includes information that can directly or indirectly identify an individual
- Steam itself - the creator of SteamID - classifies it as personal data. It is therefore difficult for any third party to claim it is merely "public information."

Violation of DOJ Bulk Data Rule

Finalized under Executive Order 14117 and effective April 2025, this DOJ regulation prohibits the bulk transfer of sensitive personal data of U.S. persons to countries of concern, including China.
- Transfer of personal identifier: SteamID - directly classified as personal data by Steam
- AWS server under AYANEO control: api.pc.ayaneo.com - confirmed by packet capture
- Transfer without consent: Chinese-only terms of service = no valid consent established
- Qualifies as bulk: affects all users, begins automatically before setup, repeated 413 times in 3 minutes
- Intentional design:
  - Code path at ServerService.cpp:363 clearly identified
  - SteamApi.cpp confirms deliberate implementation of:
    - Steam ID extraction
    - Game library collection
    - API key exfiltration
- Includes U.S. persons: direct U.S. sales via Best Buy and Indiegogo
On the bulk requirement: this is not merely about a high packet count. The transmission occurs automatically for every user who purchases the device or installs the app, beginning before setup is complete. Given AYANEO's global sales volume, the scale of data collected clearly qualifies as "bulk."
Penalties:
- Civil: up to $368,136 per violation or twice the transaction value
- Criminal: up to $1,000,000 fine or 20 years imprisonment

Violation of FTC Act Section 5 (Unfair or Deceptive Acts)

Providing terms of service exclusively in Chinese for a globally distributed installer may constitute a deceptive act under FTC standards.
- Installer filename: AYASpaceGlobalSetup3.0.0.30.exe
- Language of terms: Chinese only
- Non-Chinese-speaking users have no means of understanding the terms they are presented with
Terms of service agreed to by users who cannot read Chinese are unlikely to constitute valid consent under FTC standards.

Violation of GDPR (EU Users)

GDPR applies given that AYANEO products are sold officially in Europe.
- Art. 6: No lawful basis for processing personal data
- Art. 7: Valid consent requirements not met (Chinese-only terms of service)
- Art. 13: Failure to provide information at the time of data collection
- Art. 44-49: China has no EU adequacy decision - transfer without appropriate safeguards
Penalties: up to 4% of global annual revenue or 20,000,000 euros, whichever is higher

Precedents: TikTok and Grindr

The U.S. government has already taken strong action against structurally identical cases.
TikTok (ByteDance): Chinese company transferred U.S. user data to Chinese servers -> ordered to divest U.S. operations
Grindr (Kunlun Tech): Chinese company accessed personal identifiers of U.S. users -> CFIUS forced divestiture
The structure of this case is identical:
1. Chinese company
2. Collection of U.S. user data
3. Transfer to a server whose DNS is controlled by a Chinese entity
4. No explicit consent
The scale differs, but the structure of the violation is the same. Scale does not determine legality.

Anticipated Counterarguments

"SteamID is public information." => Steam's own privacy policy classifies it as personal data.
"This is not bulk." => Affects all users, begins at install, repeats continuously - clearly bulk.
"Users gave consent." => Chinese-only terms of service do not constitute valid consent.
"This is not targeted at U.S. users." => Sold at Best Buy physical stores and on Indiegogo in the U.S.
"U.S. law has no jurisdiction." => Physical commerce within the United States establishes jurisdiction.
"It was a bug." => Code path is clearly identified and behavior is reproducible across all installations.
"It was encrypted, so it is fine." => The transmission itself is the violation. Encryption is irrelevant.

Conclusion

This matter goes beyond a simple privacy issue. It is structurally identical to what the U.S. government designated as a national security threat in the TikTok and Grindr cases.

"Global" in the installer filename (self-evidence of worldwide targeting)
Direct U.S. sales via Best Buy and Indiegogo (jurisdiction established)
Automatic collection from all users beginning at install (bulk requirement satisfied)
Transfer to a server whose DNS is controlled by a Chinese entity (direct violation of DOJ Bulk Data Rule)
Chinese-only terms of service (consent invalid)
SteamID classified as personal data by Steam itself (personal data status established)
Intentional design confirmed by code path (negligence defense unavailable)

Given that all of these conditions are simultaneously satisfied, it is difficult to argue that this conduct is legally permissible.

법적으로 문제가 되는가?

AYANEO는 다음 경로로 이미 미국 시장에 직접 진입 상태.
- Best Buy 판매 (미국 내 물리적 상거래)
- Indiegogo 크라우드펀딩 플랫폼 판매 (미국 본사 플랫폼)
- 미국, 유럽, 아시아 등 전 세계 대상 판매
- 설치파일명에 "Global" 명시 (AYASpaceGlobalSetup3.0.0.30.exe)

SteamID는 개인정보가 맞다

SteamID는 공개 정보라 문제없다?
- Section 3.1: SteamID는 계정 설정 시 자동 부여되는 고유 식별 번호
- Section 3.5: SteamID는 Content-Related Information으로 개인정보로 명시 분류
- Section 1: 개인을 직접 또는 간접적으로 식별할 수 있는 정보 포함
- SteamID를 만든 Steam 스스로가 개인정보로 분류한 이상, 제3자가 "공개 정보"라고 주장하기 어려움

DOJ Bulk Data Rule 위반

Executive Order 14117에 기반하여 2025년 4월 시행된 DOJ 규정으로, 중국을 포함한 우려 국가로의 미국인 민감 데이터 대량 전송을 금지.
- 개인 식별자 전송: SteamID — Steam이 직접 개인정보로 분류
- AYANEO 통제 하의 AWS 서버: api.pc.ayaneo.com — 패킷으로 실증
- 동의 없는 전송: 중국어 전용 약관 = 유효한 동의 불성립
- Bulk(대량) 해당: 전 사용자, 설치 즉시, 3분간 413회 반복
- 의도적 설계:
  - ServerService.cpp:363 코드 경로 명확히 확인
  - SteamApi.cpp에서 다음 기능의 의도적 구현 확인:
    - Steam ID 추출
    - 보유 게임 목록 수집
    - API 키 탈취
- 미국 사용자 포함: Best Buy, Indiegogo 미국 직접 판매
Bulk 요건: 단순히 패킷이 많다는 것이 아닌, 기기를 구매하거나 앱을 설치한 모든 사용자에게 설정 완료 전부터 자동으로 발생. 전 세계 AYANEO 기기 판매량을 고려하면 수집된 데이터 규모는 명백히 "bulk"에 해당.
처벌 수위:
- 민사: 위반 건당 최대 $368,136 또는 거래액의 2배
- 형사: 최대 $1,000,000 또는 징역 20년

FTC Act Section 5 위반 (불공정·기만적 행위)

글로벌 설치 파일임에도 약관이 전부 중국어로만 제공된 것은 FTC 기준상 기만적 행위에 해당할 수 있음
- 설치파일명: AYASpaceGlobalSetup3.0.0.30.exe
- 약관 언어: 중국어 전용
- 비중국어권 사용자는 약관 내용을 인지 불가능
"중국어를 읽을 수 없는 사용자가 동의한 약관"은 FTC 기준상 유효한 동의로 인정받기 어려움

GDPR 위반 (EU 사용자 대상)

유럽에서 정식 판매하는 이상 GDPR이 적용됨.
- Art. 6: 개인정보 처리의 적법한 근거 없음
- Art. 7: 유효한 동의 요건 미충족 (중국어 전용 약관)
- Art. 13: 수집 시 정보 제공 의무 위반
- Art. 44-49: 중국은 EU 적정성 결정 없음 — 적절한 안전장치 없는 국외 이전
처벌 수위: 전 세계 연간 매출의 4% 또는 2,000만 유로 중 높은 금액

선례: TikTok, Grindr

미국 정부는 이미 유사한 구조의 사안에 대해 강력한 조치를 취하였음.
TikTok (ByteDance): 중국 기업이 미국 사용자 데이터를 중국 서버로 전송 -> 미국 사업 매각 명령
Grindr (Kunlun Tech): 중국 기업의 미국 사용자 개인 식별자 접근 -> CFIUS가 매각 강제
본 사안의 구조는 동일:
1. 중국 기업
2. 미국 사용자 데이터 수집
3. 중국 기업이 DNS를 통제하는 서버로 전송
4. 명시적 동의 없음
규모는 다르지만 위반의 구조 자체는 동일하며, 규모가 합법성을 결정하지는 않음

예상 반박

"SteamID는 공개 정보다" => Steam 약관이 직접 개인정보로 분류
"Bulk가 아니다" => 전 사용자, 설치 즉시, 지속 반복 - 명백한 bulk
"동의했다" => 중국어 전용 약관, 유효한 동의 불성립
"미국 사용자 대상 아니다" => Best Buy 오프라인 판매, Indiegogo 미국 판매
"미국 법 관할권 없다" => 미국 내 물리적 상거래 성립
"버그다" => 코드 경로 명확, 모든 설치에서 재현 가능
"암호화했으니 괜찮다" => 전송 자체가 위반 - 암호화 여부 무관

결론

이 사안은 단순한 개인정보 보호 문제를 넘어, 미국이 TikTok과 Grindr 사례에서 국가안보 위협으로 규정한 것과 구조적으로 동일한 문제.

GlobalSetup 파일명 (전 세계 타겟 자기 입증)
Best Buy, Indiegogo 미국 직접 판매 (관할권 확립)
설치 즉시 전 사용자 자동 수집 (Bulk 요건 충족)
중국 기업이 DNS를 통제하는 서버로 전송 (DOJ Bulk Data Rule 직격)
중국어 전용 약관 (동의 무효)
Steam이 직접 개인정보로 분류한 SteamID (개인정보성 확립)
코드 경로로 입증된 의도적 설계 (과실 성립 불가)

이 모든 조건이 동시에 성립하는 구조에서, 법적으로 문제없다고 주장하기 어려움

Anticipated Rebuttals & Preemptive Counter-Arguments

예상되는 반박 및 선제적 반론

Q1. Purpose of SteamID3 collection
- Expected Response: "For device improvement, statistics, it could be a bug, or other users do not experience this issue."
- Explanation: Collected immediately after first launch via HTTP GET. Logs and packet captures confirm reproducibility. Not a bug. Code path (ServerService.cpp:363) explicitly implements collection.
Q2. Legal basis / License agreement consent
- Expected Response: "It is stated in the license agreement" or "The user has agreed"
- Explanation: International installation package (AYASpaceGlobalSetup3.0.0.30.exe) displays license only in Chinese, preventing users from fully understanding. Legal consent is likely invalid under GDPR and Korean privacy laws.
Q3. Anonymization / Personal data protection
- Expected Response: "Data is safely handled" or "Anonymized"
- Explanation: SteamID3 is included directly in the URL query string, recorded in server logs and analysis systems. HTTPS encryption does not constitute anonymization.
Q4. Bug claim
- Expected Response: "It may be an unintended bug"
- Explanation: Log location and function are clear and reproducible. Occurs on every new installation. Cannot reasonably be considered a bug.
Q5. Evasive response (return suggestion, unreproducible)
- Expected Response: "We cannot reproduce the issue. Return the device for testing."
- Explanation: Claims other users do not experience the issue. Personal investigation logs and packet captures confirm reproducibility. Likely an evasive strategy.
Q6. User options to prevent automatic transmission
- Expected Response: "There is no option to stop automatic transmission"
- Explanation: Automatic collection and transmission are mandatory. No user choice exists.

Q1. SteamID3 수집 목적
- AYANEO 예상 답변: "기기 개선, 통계 목적, 버그일 수 있음, 다른 유저 문제 없음"
- 설명: 설치 직후·즉시 HTTP GET 형식으로 수집되며, 로그와 패킷 캡처로 재현 가능. 버그 주장 불가. 코드 경로(ServerService.cpp:363)에서 명확히 수집 기능 존재.
Q2. 법적 근거 / 약관 동의
- AYANEO 예상 답변: "약관에 명시되어 있음" 또는 "사용자가 동의했음"
- 설명: 국제 설치판(AYASpaceGlobalSetup3.0.0.30.exe) 약관이 중국어만 제공되어 사용자 이해 불가. 법적 동의 효력 미약(GDPR, 한국 개인정보보호법 기준).
Q3. 익명화 여부 / 개인정보 안전성
- AYANEO 예상 답변: "데이터는 안전하게 처리됨" 또는 "익명화됨"
- 설명: SteamID3가 URL 쿼리 스트링에 그대로 포함되어 서버 로그 및 분석 시스템에 기록됨. HTTPS 암호화만 존재, 익명화 불가.
Q4. 버그 주장
- AYANEO 예상 답변: "의도치 않게 발생한 버그일 수 있음"
- 설명: 로그 위치와 함수가 명확하며 재현 가능. 모든 새 설치에서 동일하게 발생. 버그로 보기 어려움.
Q5. 회피성 대응 (반품 권유, 재현 불가)
- AYANEO 예상 답변: "문제를 재현할 수 없음. 반품 후 테스트 권장"
- 설명: 다른 사용자는 동일 문제 보고가 없다는 주장으로 회피. 개인 조사 로그 + 패킷 증거로 사실 확인 가능. 회피 전략 가능성 높음.
Q6. 사용자 선택권
- AYANEO 예상 답변: "자동 전송을 막는 옵션은 없음"
- 설명: 자동 수집 및 전송 강제, 사용자 선택권 부재.

Investigation & Response Status

CISA: Report Filed / Pending Review - Formally reported with technical evidence in March 2026.
FTC: No Response - No official action or reply following the report.
AWS Trust & Safety: Communication Ceased - Ceased all communication after being presented with evidence refuting their "spoofing" claim.

조사 및 대응 현황 (Status Tracking)

CISA (미국 사이버보안국): 공식 제보 접수 완료 (Report Filed / Pending Review) - 2026년 3월, 데이터 유출 증거와 함께 정식 제보 접수 완료.
FTC (미국 연방거래위원회): 무응답 (No Response) - 기만적 행위 및 데이터 유출 제보 후 응답 없음.
AWS Trust & Safety: 대응 중단 (Ignored) - 기술적 반박 메일 발송 이후 추가 답변 거부 및 무시.

AYANEO Actual Final Answer

AYANEO 실제 최종 답변

2026. 1. 11. AM 12:07
We are experiencing a high volume of service requests right now.
We are so sorry for all inconvenience it had caused.

I am checking with the tech about issue of collecting SteamID3.
For the license agreement in Chinese, I reflect it to the software colleague and he will fix it.
Sorry again for it.
Will keep you updated.
Actually, there was no answer.
I've sent several emails in addition to this one over the past few months, but I haven't received a reply.

AWS’s Irresponsible Response Timeline: Dismissing a Privacy Breach as an "Attack"

The following is the result of reporting a data exfiltration incident by the Chinese entity AYANEO to their server hosting provider, AWS (Amazon Web Services).

Step 1: Initial Investigation Refusal (Jan 13)
- Content: Despite providing data exfiltration logs, AWS refused to investigate, claiming the originating IP (xxx.xxx.xxx.xxx) was not owned by them.
- The Reality: That IP was the private local IP of my own PC. AWS provided a negligent response, failing to understand the core issue: that data was being exfiltrated TO an AWS-hosted destination server.
Step 2: Submission of Technical Evidence (Jan 16)
- Content: I clarified that the IP was a private one and submitted detailed Wireshark packet captures proving the destination (api.pc.ayaneo.com) was an AWS-owned server.
Step 3: Absurd "IP Spoofing" Claim (Jan 16)
- Content: AWS suddenly claimed, "This appears to be a SYN spoofing attack faking AWS IPs," and suggested I contact my ISP to mitigate the "abusive traffic."
- The Technical Flaw: My logs clearly showed a successfully completed TLS Handshake (Encrypted Connection). It is technically impossible to establish a bidirectional TLS connection using a spoofed (fake) IP.
Step 4: Final Rebuttal and AWS’s Silence (Jan 16 – Present)
- Content: I sent a technical rebuttal asking how this could be "spoofing" when the logs show valid TLS sessions and SNI information for an authorized app-to-server communication.
- Result: After receiving evidence they could not logically refute, AWS has ceased all communication, ignoring even a follow-up email sent in early February.

아마존(AWS)의 무책임한 대응: "개인정보 유출 신고를 '공격'으로 치부"

중국 기업 AYANEO의 데이터 유출 건에 대해 서버 호스팅사인 AWS에 신고한 결과.

1단계: 1차 조사 거부 (1월 13일)
- 내용: 데이터 유출 로그를 보냈으나, AWS는 데이터를 보낸 IP(xxx.xxx.xxx.xxx)가 자기들 소유가 아니라는 이유로 조사 거절.
- 현실: 해당 IP는 본인의 PC의 내부 사설 IP였으며, AWS 서버(목적지)로 데이터가 가고 있다는 핵심을 파악하지 못한 무성의한 답변.
2단계: 기술적 근거 제시 (1월 16일)
- 내용: 사설 IP임을 설명하고, 목적지(api.pc.ayaneo.com)가 명확히 AWS 서버임을 증명하는 Wireshark 패킷 덤프 상세 내역을 제출.
3단계: 황당한 '스푸핑(사칭)' 주장 (1월 16일)
- 내용: AWS는 갑자기 "이건 AWS IP를 사칭한 SYN 스푸핑 공격으로 보인다"며, 통신사에 연락해 공격이나 막으라는 황당한 해결책을 제시.
- 현실(기술적 오류): 제 로그에는 TLS 핸드쉐이크(암호화 연결)가 성공적으로 완료된 기록이 있었으며 가짜 IP(스푸핑)로는 양방향 통신인 TLS 연결을 맺는 것이 기술적으로 불가능.
4단계: 최종 반박 및 아마존의 침묵 (1월 16일 ~ 현재)
- 내용: "TLS 연결과 SNI 정보가 포함된 정상 앱 통신인데 어떻게 스푸핑이냐"라고 논리적으로 재반박 메일을 발송.
- 결과: AWS는 논리적으로 반박할 수 없는 증거를 확인한 뒤, 2월 초 팔로업 메일까지 무시하며 현재까지 무응답 중.