makedream
15:27The PrimeTime
Log in to leave a comment
No posts yet
मुफ्त छूट का वादा करते हुए दुनिया भर के 1.7 करोड़ लोगों के ब्राउज़र में अपनी जगह बनाने वाला शॉपिंग टूल Honey (हनी)। PayPal द्वारा 4 अरब डॉलर की भारी भरकम राशि में अधिग्रहित इस सेवा के पीछे एक बारीकी से तैयार किया गया धोखाधड़ी का तंत्र छिपा था। यह कोई साधारण तकनीकी त्रुटि नहीं है। 5 साल के सोर्स कोड के रिवर्स-इंजीनियरिंग विश्लेषण से पता चला है कि दूसरों की कमाई हड़पने के लिए वर्षों से परिष्कृत इंजीनियरिंग के दुरुपयोग का सहारा लिया जा रहा था।
एफिलिएट मार्केटिंग मार्केट में कुछ नैतिक सिद्धांत होते हैं। इनमें से एक 'स्टैंडडाउन' सिद्धांत है, जिसके तहत यदि कोई उपयोगकर्ता पहले से ही किसी अन्य माध्यम से आया है, तो उसके कुकीज़ को ओवरराइट नहीं किया जाता है। हालांकि, हनी ने अपने कोड के माध्यम से चुनिंदा रूप से इस सिद्धांत की अनदेखी की। विशेष रूप से, निगरानी से बचने के लिए इसने एक 'प्रोफाइलिंग इंजन' भी चलाया जो यह पहचानता था कि उपयोगकर्ता कोई सुरक्षा विशेषज्ञ है या सामान्य उपभोक्ता।
समय के साथ हनी का सिस्टम और भी चालाक होता गया। यह केवल कोड के रखरखाव का स्तर नहीं था, बल्कि हर साल धोखाधड़ी को छिपाने के लिए तकनीकी छलांग लगाई गई।
| विकास चरण | अवधि | प्रमुख तकनीकी परिवर्तन | एफिलिएट लॉजिक नियंत्रण विधि |
|---|---|---|---|
| प्रारंभिक चरण | ~2019 | साधारण if-else आधारित हार्डकोडिंग | स्थिर नियमों का अनुप्रयोग |
| स्थिरता काल | 2020-2021 | PayPal अधिग्रहण के बाद सिस्टम स्थिरीकरण | बुनियादी कार्यों पर ध्यान |
| गतिशील संक्रमण | 2022-2023 | JSON आधारित डायनेमिक कॉन्फ़िगरेशन | सर्वर से रियल-टाइम नियंत्रण |
| सुरक्षा बाईपास | 2024~ | VIM इंजन (इंटरप्रेटर) का समावेश | Manifest V3 नियमों को बेअसर करना |
गूगल ने एक्सटेंशन की सुरक्षा बढ़ाने के लिए बाहरी कोड को लाकर चलाने की प्रक्रिया पर कड़ा प्रतिबंध लगा दिया है। इसे Manifest V3 नियम कहा जाता है। हनी ने इन नियमों का सीधा उल्लंघन करने के बजाय, एक्सटेंशन के भीतर अपना स्वयं का जावास्क्रिप्ट निष्पादन वातावरण (execution environment) बनाने का असामान्य विकल्प चुना।
हनी के भीतर लगा Acorn जावास्क्रिप्ट पार्सर सर्वर से प्राप्त JSON डेटा को केवल जानकारी के रूप में नहीं, बल्कि निष्पादन योग्य लॉजिक (executable logic) के रूप में व्याख्या करता है। गूगल के स्थिर विश्लेषण उपकरण इसे केवल डेटा मानकर पास कर देते हैं। परिणामस्वरूप, हनी के पास एक्सटेंशन को अपडेट किए बिना ही वास्तविक समय में उपयोगकर्ता के ब्राउज़र व्यवहार में हेरफेर करने का पूर्ण अधिकार आ गया।
हनी द्वारा राजस्व चोरी करने का तरीका गुप्त और घातक है। जिस क्षण उपयोगकर्ता भुगतान (checkout) पेज पर पहुँचता है, हनी बैकग्राउंड में एक अदृश्य 1x1 पिक्सेल का टैब खोलकर एफिलिएट लिंक को जबरन कॉल करता है। इस प्रक्रिया में, मूल कंटेंट क्रिएटर को मिलने वाली रेफरल कुकी हटा दी जाती है और हनी का आइडेंटिफ़ायर उसकी जगह ले लेता है।
एक वास्तविक विश्लेषण के मामले के अनुसार, हनी ने उपयोगकर्ता को केवल 0.89 डॉलर का रिवॉर्ड दिया, जबकि बैकग्राउंड में क्रिएटर के हिस्से का पूरा 35.60 डॉलर का कमीशन खुद हड़प लिया। उपयोगकर्ता द्वारा कूपन बटन दबाने से पहले ही कोड को सर्वर पर भेजकर, यह उन VIP कोड या वन-टाइम कोड को भी सार्वजनिक डेटाबेस में लीक कर रहा है जो छोटे व्यापारियों ने केवल विशिष्ट ग्राहकों के लिए जारी किए थे।
हनी का मामला यह दर्शाता है कि जब तकनीक नैतिक दिशानिर्देशों से भटक जाती है, तो उसके परिणाम कितने विनाशकारी हो सकते हैं। वर्तमान में, Rakuten सहित बड़े एफिलिएट नेटवर्कों ने हनी को स्थायी रूप से प्रतिबंधित कर दिया है, और प्रभावित कंटेंट क्रिएटर्स द्वारा सामूहिक मुकदमे (class-action lawsuits) दायर किए जा रहे हैं।
हमें यह याद रखना चाहिए कि 'मुफ्त' सेवाएं अक्सर दूसरों के उचित श्रम की चोरी की कीमत पर मिल सकती हैं। यदि कोई ब्राउज़र एक्सटेंशन आपकी सभी वेबसाइटों के डेटा को पढ़ने और बदलने की अनुमति मांगता है, तो उसके इरादों पर संदेह करें। हनी का यह व्यवहार कोई साधारण गलती नहीं है, बल्कि मुनाफ़ा बढ़ाने के लिए बारीकी से की गई गणना और डिज़ाइन का परिणाम है।