Zabawa w chowanego z testerami: YouTuber i ekspert ds. kryminalistyki cyfrowej odkrywają nowy skandal z miodem

Pod koniec 2024 roku, YouTuber MegaLag opublikował wideo ujawniający system, który wykracza daleko poza proste sztuczki prowizyjne. Od tego czasu baza użytkowników Honey gwałtownie spadła. Według aktualnych danych Chrome Web Store, z około 17 do 20 milionów użytkowników rozszerzeń Chrome pozostało tylko 12 milionów dane liczbowe. W nowym filmieyouTuber wysuwa poważne zarzuty wobec firmy. Aby zabezpieczyć swoje odkrycia techniczne, MegaLag zaprosił na pokład znanego badacza bezpieczeństwa Bena Edelmana, który zweryfikował odkrycia z pierwszej ręki.

Wspólnie ujawnili system, o którym mówi się, że w swoich proporcjach przypomina skandal Dieselgate. Tak zwany system SSD (Selective Standdown) jest podobno ukrytą logiką w kodzie źródłowym, której Honey używa jak cyfrowego płaszcza. Zasada jest rzekomo tak prosta, jak perfidna: rozszerzenie przeglądarki ma rozpoznawać określone cechy, aby określić, czy jest używane przez testera, czy zwykłego użytkownika. Według analiz, cztery główne kryteria są podobno sprawdzane w celu identyfikacji potencjalnych testerów: wiek konta, saldo punktów, czarna lista po stronie serwera oraz obecność plików cookie z profesjonalnych sieci afiliacyjnych, takich jak CJ lub Awin. Jeśli Honey podejrzewa, że ktoś z branży obserwuje, rozszerzenie zachowuje się w pełni zgodnie z przepisami i powstrzymuje się od nadpisywania linków śledzących innych firm. Jednakże, gdy tylko oprogramowanie zidentyfikuje normalnego kupującego - takiego jak ktoś z wieloma punktami lojalnościowymi i bez profesjonalnych plików cookie - podobno przełącza się w tryb ataku i wstrzykuje własne kody, aby przejąć prowizje, które w rzeczywistości należałyby do influencerów.

Edelman porównuje to zachowanie do skandalu Dieselgate Volkswagena, ponieważ oprogramowanie zostało podobno specjalnie zaprogramowane do rozpoznawania i manipulowania sytuacjami testowymi. Mówi się, że dowody są ciężkie, ponieważ nie opierają się na domysłach, ale zostały wyodrębnione bezpośrednio z plików konfiguracyjnych rozszerzenia i kodu JavaScript. Ta logika manipulacyjna została podobno udoskonalona na przestrzeni lat; na przykład próg punktowy wymagany do uruchomienia manipulacji wzrósł z około 501 punktów w 2022 roku do ponad 65 000 punktów obecnie, co sprawia, że odkrycie przez przypadkowych testerów jest prawie niemożliwe. Dla śledczych ukierunkowane ukrywanie przed testerami dowodzi przede wszystkim, że Honey dokładnie wiedziała, że jej własne zachowanie narusza obecne zasady sieciowe i dołożyła wszelkich starań, aby nie dać się złapać. Podobno dowody na istnienie protokołu Selective Standdown pochodzą z 2017 roku. To sięga aż do czasów, zanim PayPal stał się właścicielem części firmy.

Kolejnym punktem krytyki w filmie jest celowe oszukiwanie użytkowników poprzez sztucznie zawyżoną bazę danych kuponów. MegaLag zwraca uwagę, że Honey często ukrywa wygasłe lub nawet niedziałające kody jako ekskluzywne, tylko po to, aby utrzymać użytkownika w rozszerzeniu. Podczas gdy automatyczny proces sprawdzania jest uruchomiony, Honey podobno umieszcza w tle własny afiliacyjny plik cookie i często nadpisuje linki od influencerów lub twórców treści, nawet jeśli nie znaleziono żadnej działającej zniżki. Procedura ta ma zapewnić, że prowizja ostatecznie trafi do PayPal, podczas gdy pierwotny pośrednik odejdzie z pustymi rękami. W innym filmie MegaLag pokazał również, że Honey podobno pobiera kupony z danych wprowadzanych przez użytkowników i dystrybuuje je do innych użytkowników. Jeśli operatorzy sklepów próbują podjąć działania przeciwko temu, są podobno zmuszani do nawiązania współpracy z Honey. Zachowanie Honey jest ogólnie wątpliwe. Z perspektywy użytkownika naruszenie prywatności jest przede wszystkim nieprzyjemne. Najbardziej nieprzyjemną konsekwencją dla sprzedawców detalicznych jest prawdopodobnie systematyczne niszczenie ich strategii marketingowych. Według doniesień, nieautoryzowana publikacja prywatnych kodów kuponów powoduje ogromne straty w przychodach. Aby odzyskać kontrolę nad własnym systemem rabatowym, sprzedawcy detaliczni są następnie wabieni do partnerstwa z Honey. Firmy i twórcy treści, którzy polegają na dochodach z marketingu afiliacyjnego, są systematycznie pozbawiani swoich zarobków, ponieważ Honey podobno zabezpiecza prowizję za sprzedaż już uznaną za bezpieczną dopiero w momencie płatności.