Verrat durch die Honey-Browsererweiterung: Quellcode-Analyse belegt systematischen Diebstahl von Affiliate-Einnahmen

Das Shopping-Tool Honey hat sich mit dem Versprechen kostenloser Rabatte in den Browsern von weltweit 17 Millionen Nutzern eingenistet. Doch hinter diesem Dienst, den PayPal für die gewaltige Summe von 4 Milliarden Dollar übernahm, verbarg sich ein raffiniert konstruiertes System der Täuschung. Es handelt sich nicht um einen einfachen technischen Fehler. Eine Reverse-Engineering-Analyse von fünf Jahren Quellcode hat das Ausmaß eines hochentwickelten Engineering-Missbrauchs offengelegt, der über Jahre hinweg perfektioniert wurde, um die Einnahmen Dritter abzugreifen.

Selektives „Stand-down“ und die Täuschung von Testern

Im Affiliate-Marketing gibt es einen Ehrenkodex: das Stand-down-Prinzip. Es besagt, dass ein Tool zurücktreten sollte, anstatt die Cookies von Nutzern zu überschreiben, die bereits über einen anderen Kanal gekommen sind. Honey ignorierte dieses Prinzip jedoch gezielt per Code. Um Entdeckung zu vermeiden, nutzte das Tool sogar eine Profiling-Engine, die analysierte, ob es sich beim Nutzer um einen Sicherheitsexperten oder einen gewöhnlichen Verbraucher handelt.

• Die Schwelle von 65.000 Honey Gold: Konten mit einem Guthaben von weniger als ca. 650 Dollar wurden als Tester eingestuft. Bei diesen Konten wurde die Betrugslogik deaktiviert, um unter dem Radar von Aufsichtsbehörden zu bleiben.
• Erkennung industrieller Cookies: Sobald Login-Datensätze für Dashboards von Affiliate-Netzwerken wie Rakuten oder Awin im Browser gefunden wurden, verhielt sich Honey sofort wie eine „brave“ App und stellte alle verdächtigen Aktivitäten ein.

Die Geschichte der Betrugslogik in 6 Evolutionsstufen

Honeys System wurde mit der Zeit immer hinterhältiger. Es war keine bloße Wartung des Codes, sondern jedes Jahr gab es technologische Sprünge, um die betrügerischen Aktivitäten zu verschleiern.

Evolutionsstufe	Zeitraum	Wichtige technische Änderungen	Steuerung der Affiliate-Logik
Frühphase	~2019	Einfaches Hardcoding auf if-else-Basis	Anwendung statischer Regeln
Stagnation	2020-2021	Systemstabilität nach PayPal-Übernahme	Fokus auf Kernfunktionen
Dynamischer Wechsel	2022-2023	Einführung JSON-basierter dynamischer Setups	Echtzeitsteuerung über den Server
Sicherheitsumgehung	2024~	Integration der VIM-Engine (Interpreter)	Außerkraftsetzung der Manifest V3-Regeln

Die VIM-Engine: Wie Googles Sicherheitsregeln ausgehebelt wurden

Um die Sicherheit von Erweiterungen zu erhöhen, hat Google das Ausführen von extern nachgeladenem Code strikt untersagt – die sogenannte Manifest V3-Regelung. Anstatt sich an diese Regeln zu halten, wählte Honey einen bizarren Weg: Sie bauten eine eigene JavaScript-Laufzeitumgebung direkt in die Erweiterung ein.

Der in Honey integrierte Acorn-JavaScript-Parser interpretiert vom Server empfangene JSON-Daten nicht als bloße Informationen, sondern als ausführbare Logik. Googles statische Analysetools erkennen dies lediglich als Daten und lassen es passieren. Im Ergebnis erhielt Honey die volle Kontrolle, um das Browserverhalten der Nutzer in Echtzeit zu manipulieren, ohne jemals die Erweiterung selbst aktualisieren zu müssen.

Attribution Hacking und Einnahmendiebstahl

Die Art und Weise, wie Honey Einnahmen stiehlt, ist diskret und fatal. In dem Moment, in dem ein Nutzer die Bezahlseite erreicht, öffnet Honey im Hintergrund einen unsichtbaren Tab in der Größe von 1x1 Pixel, um zwangsweise einen Affiliate-Link aufzurufen. Dabei werden die Empfehlungs-Cookies der ursprünglichen Content-Ersteller gelöscht und durch Honeys eigene Kennung ersetzt.

Ein konkreter Analysefall zeigt: Während Honey dem Nutzer lediglich 0,89 Dollar Gutschrift gewährte, sackte das Unternehmen im Hintergrund die gesamte Provision von 35,60 Dollar ein, die eigentlich dem Ersteller zugestanden hätte. Noch bevor der Nutzer überhaupt auf den Button „Gutschein anwenden“ klickt, wird der Code an den Server übertragen. So werden selbst VIP-Codes oder Einmal-Codes, die kleine Unternehmen nur für bestimmte Kunden ausgegeben haben, in die öffentliche Datenbank geleakt.

Technologische Überlegenheit bei fehlender Ethik

Der Fall Honey zeigt, welche zerstörerischen Folgen es hat, wenn Technologie sich von ethischen Leitplanken löst. Große Affiliate-Netzwerke wie Rakuten haben Honey mittlerweile dauerhaft ausgeschlossen, und es folgen Sammelklagen von geschädigten Content-Erstellern.

Man muss sich vor Augen führen: Ein kostenloser Dienst kann in Wahrheit der Preis für den Diebstahl der rechtmäßigen Arbeit anderer sein. Wenn eine Browsererweiterung die Berechtigung verlangt, Daten auf allen Websites zu lesen und zu ändern, sollten Sie misstrauisch sein. Das unangemessene Verhalten von Honey ist kein Versehen, sondern das Produkt eines akribisch kalkulierten Designs zur Gewinnmaximierung.