Nascondino con i tester: Uno YouTuber e un esperto di forensics digitale scoprono un nuovo scandalo del miele

Alla fine del 2024, lo YouTuber MegaLag di ha pubblicato un video che espone un sistema che va ben oltre i semplici trucchi di commissione. Da allora, Honey ha visto un calo precipitoso della sua base di utenti. Da circa 17-20 milioni di utenti di estensioni per Chrome, ne sono rimasti solo 12 milioni, secondo i dati attuali del Chrome Web Store https://chromewebstore.google.com/detail/honey-automated-coupons-r/bmnlcjabgnpnenekpadlanbbkooimhnj cifre. In un nuovo videolo YouTuber lancia gravi accuse all'azienda. Per garantire le sue scoperte tecniche, MegaLag ha coinvolto il famoso ricercatore di sicurezza Ben Edelman, che ha verificato le scoperte in prima persona.

Insieme, hanno esposto un sistema che si dice assomigli allo scandalo Dieselgate nelle sue proporzioni. Il cosiddetto sistema SSD (Selective Standdown) sarebbe una logica nascosta nel codice sorgente che Honey utilizza come un mantello digitale. Il principio è presumibilmente tanto semplice quanto perfido: si sostiene che l'estensione del browser riconosca caratteristiche specifiche per determinare se viene utilizzata da un tester o da un utente regolare. Secondo le analisi, quattro criteri centrali vengono controllati per identificare i potenziali tester: l'età dell'account, il saldo punti, una lista nera lato server e la presenza di cookie di reti di affiliazione professionali come CJ o Awin. Se Honey sospetta che un insider del settore stia osservando, si dice che l'estensione si comporti in piena conformità e si astenga dal sovrascrivere i link di tracciamento di terze parti. Tuttavia, non appena il software identifica un acquirente normale, ad esempio una persona con molti punti fedeltà e senza cookie professionali, secondo quanto riferito, passa alla modalità d'attacco e inietta i propri codici per accaparrarsi le commissioni che in realtà apparterrebbero agli influencer.

Edelman paragona questo comportamento allo scandalo Dieselgate di Volkswagen, in quanto il software sarebbe stato specificamente programmato per riconoscere e manipolare le situazioni di test. Si dice che le prove siano pesanti, in quanto non si basano su congetture, ma sono state estratte direttamente dai file di configurazione dell'estensione e dal codice JavaScript. Secondo quanto riferito, questa logica di manipolazione è stata perfezionata nel corso degli anni; ad esempio, la soglia di punti necessaria per innescare la manipolazione è aumentata da circa 501 punti nel 2022 a oltre 65.000 punti attualmente, rendendo quasi impossibile la scoperta da parte di tester occasionali. Per gli investigatori, l'occultamento mirato ai tester dimostra soprattutto che Honey sapeva esattamente che il suo comportamento violava le attuali regole della rete e ha fatto di tutto per non farsi scoprire. Secondo quanto riferito, le prove del protocollo Selective Standdown risalgono al 2017. Questo risale a prima che PayPal possedesse una parte dell'azienda.

Un altro punto di critica nel video è l'inganno deliberato degli utenti attraverso un database di coupon artificialmente gonfiato. MegaLag sottolinea che Honey spesso camuffa codici scaduti o addirittura non funzionanti come esclusivi, solo per mantenere l'utente nell'estensione. Mentre il processo di controllo automatico è in corso, Honey, secondo quanto riferito, inserisce il proprio cookie di affiliazione in background e spesso sovrascrive i link di influencer o creatori di contenuti, anche se non è stato trovato alcuno sconto funzionante. Si dice che questa procedura garantisca che la commissione finisca a PayPal alla fine, mentre l'intermediario originale rimane a mani vuote. In un altro video, MegaLag ha anche mostrato che Honey, secondo quanto riferito, cattura i coupon dagli input degli utenti e li distribuisce ad altri utenti. Se i gestori dei negozi cercano di agire contro questo fenomeno, secondo quanto riferito, vengono costretti a stringere una partnership con Honey. Il comportamento di Honey è complessivamente discutibile. Dal punto di vista dell'utente, le invasioni della privacy sono innanzitutto spiacevoli. La conseguenza più spiacevole per i rivenditori è probabilmente la distruzione sistematica delle loro strategie di marketing. Secondo quanto riferito, la pubblicazione non autorizzata di codici coupon privati provoca massicce perdite di fatturato. Per riacquistare il controllo sul proprio sistema di sconti, i rivenditori vengono attirati in una partnership con Honey. Le aziende e i creatori di contenuti che si affidano alle entrate del marketing di affiliazione vengono sistematicamente privati dei loro guadagni, poiché Honey, secondo quanto riferito, assicura la commissione per le vendite già ritenute sicure solo al momento del pagamento.