خيانة إضافة هاني (Honey): تحليل الكود المصدري يثبت حقيقة سرقة أرباح التسويق بالعمولة

نجحت أداة التسوق Honey (هاني) في ترسيخ مكانتها في متصفحات 17 مليون مستخدم حول العالم بوعود توفير خصومات مجانية. ولكن خلف هذه الخدمة التي استحوذت عليها PayPal مقابل مبلغ ضخم قدره 4 مليارات دولار، يكمن نظام تضليل مصمم ببراعة. الأمر ليس مجرد خطأ تقني بسيط؛ فنتائج الهندسة العكسية للكود المصدري على مدار 5 سنوات كشفت عن هندسة معقدة أسيء استخدامها لسنوات من أجل الاستيلاء على أرباح الآخرين.

التراجع الانتقائي وخداع المختبرين

هناك أخلاقيات مهنية في سوق التسوق بالعمولة (Affiliate Marketing)، وهي مبدأ "التراجع" (Stand-down)، حيث لا يتم استبدال ملفات تعريف الارتباط (Cookies) الخاصة بالمستخدمين الذين وصلوا بالفعل عبر قنوات أخرى. ومع ذلك، تجاهلت Honey هذا المبدأ بشكل انتقائي عبر الكود الخاص بها. ولتجنب الرقابة، قامت بتشغيل محرك تصنيف (Profiling Engine) يحدد ما إذا كان المستخدم خبيرًا أمنيًا أم مستهلكًا عاديًا.

• عتبة 65,000 Honey Gold: يتم تصنيف الحسابات التي يقل رصيد نقاطها التراكمي عن 650 دولارًا تقريبًا كمختبرين. تم تصميم النظام بحيث لا يعمل منطق الاحتيال في هذه الحسابات لتجنب شبكات المراقبة.
• كشف ملفات تعريف الارتباط الصناعية: إذا تم العثور على سجلات تسجيل دخول للوحات تحكم شبكات التسويق بالعمولة مثل Rakuten أو Awin في المتصفح، تتظاهر Honey فورًا بأنها تطبيق "صالح" وتتوقف عن أي نشاط مشبوه.

تاريخ تطور منطق الاحتيال عبر 6 مراحل

أصبح نظام Honey أكثر دهاءً مع مرور الوقت. لم يقتصر الأمر على صيانة الكود فحسب، بل كانت هناك قفزات تقنية تتم سنويًا لإخفاء السلوكيات الاحتيالية.

مرحلة التطور	الفترة الزمنية	التغيرات التقنية الرئيسية	طريقة التحكم في منطق العمولة
المرحلة الأولية	حتى 2019	برمجة صلبة تعتمد على if-else بسيطة	تطبيق قواعد ثابتة
فترة الركود	2020-2021	استقرار النظام بعد استحواذ PayPal	تنفيذ الوظائف الأساسية فقط
التحول الديناميكي	2022-2023	إدخال إعدادات ديناميكية تعتمد على JSON	تحكم في الوقت الفعلي من الخادم
تجاوز الأمن	2024~	تزويد المحرك بـ VIM (مفسر)	إبطال مفعول لوائح Manifest V3

محرك VIM الذي أبطل لوائح جوجل الأمنية

من أجل تعزيز أمن الإضافات، حظرت جوجل بصرامة تنفيذ أي أكواد خارجية، وهو ما يُعرف بلوائح Manifest V3. بدلاً من مواجهة هذه اللوائح مباشرة، اختارت Honey طريقًا غريبًا وهو بناء بيئة تنفيذ جافا سكريبت خاصة بها داخل الإضافة.

يقوم محلل Acorn JavaScript المدمج في Honey بتفسير بيانات JSON المستلمة من الخادم ليس كمعلومات بسيطة، بل كمنطق قابل للتنفيذ. أدوات التحليل الثابتة من جوجل تتعرف على هذه البيانات كمعلومات عادية وتسمح بمرورها. ونتيجة لذلك، امتلكت Honey السلطة الكاملة للتلاعب بسلوك متصفح المستخدم في الوقت الفعلي دون الحاجة إلى تحديث الإضافة.

اختطاف الإحالة وسرقة الأرباح

طريقة Honey في سرقة الأرباح سرية وقاتلة. في اللحظة التي يصل فيها المستخدم إلى صفحة الدفع، تقوم الإضافة بفتح علامة تبويب مخفية بحجم 1x1 بكسل في الخلفية لاستدعاء رابط العمولة قسريًا. خلال هذه العملية، يتم حذف ملفات تعريف الارتباط الخاصة بصانع المحتوى الأصلي ويحل محلها معرف Honey.

وفقًا لحالات التحليل الفعلي، قدمت Honey للمستخدم مكافأة قدرها 0.89 دولار فقط، بينما استولت في الخفاء على عمولة قدرها 35.60 دولار كانت من حق صانع المحتوى. وحتى قبل أن يضغط المستخدم على زر تطبيق القسيمة، يتم إرسال الكود إلى الخادم، مما يؤدي إلى تسريب رموز VIP أو الرموز التي تستخدم لمرة واحدة (التي أصدرها أصحاب الأعمال الصغيرة لعملاء محددين) إلى قاعدة بيانات عامة.

التفوق التقني وغياب الأخلاق

تُظهر حالة Honey النتائج التدميرية التي يمكن أن تحدث عندما تخرج التكنولوجيا عن المسار الأخلاقي. حاليًا، قامت شبكات عمولة كبرى مثل Rakuten بحظر Honey نهائيًا، وتتوالى الدعاوى القضائية الجماعية من صناع المحتوى المتضررين.

يجب أن نتذكر أن الخدمات "المجانية" قد تكون في الواقع قائمة على سلب قيمة العمل العادل للآخرين. إذا طلبت إضافة المتصفح صلاحيات قراءة وتغيير البيانات لجميع مواقع الويب، فاشتبه في نواياها. إن سلوك Honey غير اللائق ليس مجرد خطأ عابر، بل هو نتاج تصميم محسوب بدقة لتعظيم الأرباح.