Прятки с тестерами: YouTuber и эксперт по цифровой криминалистике раскрывают новый скандал с медом

В конце 2024 года YouTuber MegaLag выпустил видео разоблачающее систему, которая выходит далеко за рамки простых трюков с комиссионными. С тех пор база пользователей Honey стремительно сокращается. По данным сайта Chrome Web Store, с 17-20 миллионов пользователей расширений Chrome осталось только 12 миллионов цифры. В новом видеороликеyouTuber выдвигает серьезные обвинения против компании. Чтобы обезопасить свои технические выводы, MegaLag привлек к работе известного исследователя безопасности Бена Эдельмана (Ben Edelman), который проверил открытия из первых рук.

Вместе они разоблачили систему, которая по своим пропорциям напоминает скандал "Дизельгейт". Так называемая система SSD (Selective Standdown), как сообщается, представляет собой скрытую логику в исходном коде, которую Honey использует как цифровой плащ. Принцип ее работы якобы настолько же прост, насколько и коварен: утверждается, что расширение для браузера распознает определенные характеристики, чтобы определить, кто им пользуется - тестер или обычный пользователь. Согласно аналитическим материалам, для выявления потенциальных тестеров проверяются четыре основных критерия: возраст аккаунта, баланс баллов, черный список на стороне сервера и наличие cookies от профессиональных партнерских сетей, таких как CJ или Awin. Если Honey подозревает, что за ними наблюдает инсайдер, расширение, как утверждается, ведет себя в полном соответствии с правилами и воздерживается от перезаписи сторонних отслеживающих ссылок. Однако как только программа распознает обычного покупателя - например, того, у кого много очков лояльности и нет профессиональных cookies - она, как сообщается, переключается в режим атаки и вводит свои собственные коды, чтобы получить комиссионные, которые на самом деле принадлежат влиятельным лицам.

Эдельман сравнивает такое поведение со скандалом с "дизельгейтом" Volkswagen, поскольку, как сообщается, программное обеспечение было специально запрограммировано на распознавание и манипулирование тестовыми ситуациями. Улики, как утверждается, очень весомы, поскольку они не основаны на догадках, а были извлечены непосредственно из конфигурационных файлов расширения и кода JavaScript. Как сообщается, с годами логика манипуляций совершенствовалась; например, порог баллов, необходимый для запуска манипуляций, вырос с примерно 501 балла в 2022 году до более чем 65 000 баллов в настоящее время, что делает обнаружение случайными тестировщиками практически невозможным. По мнению исследователей, целенаправленное сокрытие информации от тестеров доказывает, прежде всего, что компания Honey точно знала, что ее поведение нарушает действующие правила сети, и приложила все усилия, чтобы не попасться. Как сообщается, доказательства протокола Selective Standdown датируются 2017 годом. Это произошло еще до того, как PayPal стал владельцем части бизнеса.

Еще одним пунктом критики в видео является намеренный обман пользователей с помощью искусственно раздутой базы данных купонов. MegaLag отмечает, что Honey часто маскирует просроченные или даже неработающие коды под эксклюзивные, чтобы удержать пользователя в расширении. Сообщается, что во время автоматического процесса проверки Honey размещает в фоновом режиме свой собственный партнерский cookie и часто перезаписывает ссылки от влиятельных лиц или создателей контента, даже если не было найдено ни одной работающей скидки. Считается, что эта процедура гарантирует, что комиссионные в конечном итоге окажутся у PayPal, а первоначальный посредник уйдет с пустыми руками. В другом видео MegaLag также показал, что Honey, как сообщается, берет купоны из пользовательского ввода и распространяет их среди других пользователей. Если операторы магазинов пытаются принять меры против этого, то, как сообщается, их вынуждают вступить в партнерство с Honey. В целом, поведение Honey вызывает сомнения. С точки зрения пользователя, вторжение в частную жизнь в первую очередь неприятно. Самым неприятным последствием для розничных торговцев, вероятно, является систематическое разрушение их маркетинговых стратегий. Несанкционированная публикация частных кодов купонов, как сообщается, приводит к огромным потерям прибыли. Чтобы вернуть контроль над собственной системой скидок, ритейлеров заманивают в партнерство с Honey. Компании и создатели контента, которые полагаются на доходы от партнерского маркетинга, систематически лишаются своих доходов, поскольку Honey, как сообщается, обеспечивает комиссионные за продажи, которые уже считаются безопасными, только в момент оплаты.