Bújócska a tesztelőkkel: YouTuber és digitális törvényszéki szakértő új mézbotrányt fedez fel

2024 végén a YouTuber MegaLag kiadott egy videót amely leleplez egy olyan rendszert, amely messze túlmutat az egyszerű jutalékos trükkökön. A Honey felhasználói bázisa azóta meredeken csökken. Az egykor körülbelül 17-20 millió Chrome-bővítmény-felhasználóból a jelenlegi Chrome Web Store szerint mindössze 12 millió maradt adatok. Egy új videóbana YouTuber súlyos vádakat fogalmaz meg a céggel szemben. Technikai megállapításainak biztosítására a MegaLag a neves biztonsági kutatót, Ben Edelmant hívta segítségül, aki első kézből ellenőrizte a felfedezéseket.

Együtt egy olyan rendszert lepleztek le, amely állítólag arányaiban hasonlít a Dieselgate botrányra. Az úgynevezett SSD rendszer (Selective Standdown) állítólag egy rejtett logika a forráskódban, amelyet Honey digitális köpenyként használ. Az elv állítólag éppoly egyszerű, mint amennyire alattomos: a böngészőbővítmény állítólag felismer bizonyos jellemzőket, hogy megállapítsa, tesztelő vagy rendszeres felhasználó használja. Az elemzések szerint állítólag négy központi kritériumot ellenőriznek a potenciális tesztelők azonosítására: a fiók életkora, a pontegyenleg, egy szerveroldali feketelista, valamint az olyan professzionális partnerhálózatoktól származó cookie-k jelenléte, mint a CJ vagy az Awin. Ha a Honey azt gyanítja, hogy egy iparági bennfentes figyeli, a bővítmény állítólag teljes mértékben szabályszerűen viselkedik, és tartózkodik a harmadik féltől származó nyomkövető linkek felülírásától. Amint azonban a szoftver azonosít egy normális vásárlót - például olyat, akinek sok hűségpontja van, és nincsenek profi cookie-k -, a hírek szerint támadó üzemmódba kapcsol, és saját kódokat fecskendez be, hogy olyan jutalékokat ragadjon meg, amelyek valójában a befolyásosokéi lennének.

Edelman ezt a viselkedést a Volkswagen Dieselgate-botrányához hasonlítja, mivel a szoftvert állítólag kifejezetten arra programozták, hogy felismerje és manipulálja a teszthelyzeteket. A bizonyítékok állítólag súlyosak, mivel nem találgatásokon alapulnak, hanem közvetlenül a bővítmény konfigurációs fájljaiból és JavaScript-kódjából nyerték ki őket. Ezt a manipulációs logikát állítólag az évek során finomították; például a manipuláció kiváltásához szükséges ponthatár a 2022-es 501 pont körüli értékről jelenleg több mint 65 000 pontra emelkedett, ami szinte lehetetlenné teszi a felfedezést az alkalmi tesztelők számára. A nyomozók számára a tesztelők elől való célzott elrejtés mindenekelőtt azt bizonyítja, hogy a Honey pontosan tudta, hogy saját viselkedése sérti az aktuális hálózati szabályokat, és mindent megtett azért, hogy ne bukjon le. A jelentések szerint a szelektív leállási protokoll bizonyítékai 2017-re nyúlnak vissza. Ez egészen azelőttre nyúlik vissza, hogy a PayPal birtokolta volna az üzlet egy részét.

A videó másik kritikapontja a felhasználók szándékos megtévesztése a mesterségesen felduzzasztott kuponadatbázis révén. A MegaLag rámutat, hogy a Honey gyakran lezárt vagy akár nem működő kódokat álcáz exkluzívnak, csak azért, hogy a felhasználót a kiterjesztésben tartsa. Miközben az automatizált ellenőrzési folyamat fut, a Honey állítólag saját affiliate cookie-t helyez el a háttérben, és gyakran felülírja az influencerektől vagy tartalomkészítőktől származó linkeket, még akkor is, ha nem találtak működő kedvezményt. Ez az eljárás állítólag biztosítja, hogy a jutalék végül a PayPalnál landoljon, míg az eredeti közvetítő üres kézzel távozik. Egy másik videóban a MegaLag azt is megmutatta, hogy a Honey állítólag kuponokat ragad ki a felhasználói bejegyzésekből, és szétosztja azokat más felhasználók között. Ha az üzletek üzemeltetői megpróbálnak ez ellen fellépni, a beszámolók szerint arra kényszerítik őket, hogy partnerséget kössenek a Honey-val. A Honey viselkedése összességében megkérdőjelezhető. A felhasználó szemszögéből elsősorban az adatvédelem megsértése kellemetlen. A kiskereskedők számára a legkellemetlenebb következmény valószínűleg a marketingstratégiáik szisztematikus tönkretétele. A magánjellegű kuponkódok jogosulatlan közzététele állítólag hatalmas bevételkiesést okoz. Hogy visszaszerezzék a saját kedvezményrendszerük feletti ellenőrzést, a kiskereskedőket ezután partnerségre csábítják a Honey-val. Az affiliate marketing bevételekre támaszkodó cégeket és tartalomkészítőket szisztematikusan megfosztják bevételeiktől, mivel a Honey állítólag csak a fizetés pillanatában biztosítja a már biztosnak hitt eladások jutalékát.