makedream
15:27The PrimeTime
Log in to leave a comment
No posts yet
Prometendo descontos gratuitos e instalada nos navegadores de 17 milhões de pessoas em todo o mundo, a ferramenta de compras Honey. Por trás deste serviço, que o PayPal adquiriu pela vultosa soma de 4 bilhões de dólares, escondia-se um sistema de engano sofisticadamente projetado. Não se trata de um simples erro técnico. Após a análise de engenharia reversa de cinco anos de código-fonte, revelou-se a realidade de um uso indevido de engenharia, aprimorado ao longo de anos para interceptar os lucros de terceiros.
No mercado de marketing de afiliados, existe uma ética comercial: o princípio do "stand-down", onde não se sobrescrevem os cookies de um usuário que já chegou por outro caminho. No entanto, o Honey ignorou seletivamente este princípio através do seu código. Em particular, para evitar a vigilância, chegou a operar um mecanismo de profiling que determinava se o usuário era um especialista em segurança ou um consumidor comum.
O sistema do Honey tornou-se mais astuto com o passar do tempo. Não foi apenas um nível de manutenção de código; saltos técnicos para ocultar atividades fraudulentas foram realizados todos os anos.
| Estágio de Evolução | Período | Principais Mudanças Técnicas | Método de Controle da Lógica de Afiliados |
|---|---|---|---|
| Estágio Inicial | ~2019 | Hardcoding simples baseado em if-else | Aplicação de regras estáticas |
| Período de Estagnação | 2020-2021 | Estabilização do sistema após aquisição pelo PayPal | Execução focada em funções básicas |
| Transição Dinâmica | 2022-2023 | Introdução de configurações dinâmicas baseadas em JSON | Controle em tempo real pelo servidor |
| Evasão de Segurança | 2024~ | Implementação do motor VIM (interpretador) | Neutralização das normas Manifest V3 |
O Google proibiu estritamente a execução de códigos externos para fortalecer a segurança das extensões. Esta é a norma Manifest V3. Em vez de enfrentar essa regra diretamente, o Honey optou pela excentricidade de construir seu próprio ambiente de execução JavaScript dentro da extensão.
O parser Acorn JavaScript embutido no Honey interpreta os dados JSON baixados do servidor não como simples informações, mas como lógica executável. As ferramentas de análise estática do Google reconhecem isso como meros dados e as deixam passar. Como resultado, o Honey obteve plenos poderes para manipular o comportamento do navegador do usuário em tempo real, sem precisar atualizar a extensão.
O método pelo qual o Honey intercepta lucros é furtivo e fatal. No instante em que o usuário chega à página de pagamento, ele abre uma aba invisível de 1x1 pixel em segundo plano para chamar forçadamente o link de afiliado. Nesse processo, o cookie de recomendação que o criador de conteúdo original deveria receber é deletado, e o identificador do Honey assume o seu lugar.
De acordo com casos reais de análise, o Honey forneceu apenas 0,89 dólares em recompensas ao usuário, enquanto nos bastidores interceptava integralmente a comissão de 35,60 dólares que pertencia ao criador. Mesmo antes do usuário clicar no botão de aplicar cupom, o código é enviado ao servidor, vazando até mesmo códigos VIP ou de uso único, emitidos por pequenos empresários para clientes específicos, para o banco de dados público.
O caso do Honey demonstra quão destrutivos podem ser os resultados quando a tecnologia se afasta das diretrizes éticas. Atualmente, grandes redes de afiliados, incluindo a Rakuten, baniram permanentemente o Honey, e ações judiciais coletivas de criadores de conteúdo prejudicados estão em andamento.
É preciso lembrar que serviços gratuitos podem, na verdade, ser o preço do roubo do valor do trabalho legítimo de terceiros. Se uma extensão de navegador solicita permissão para ler e alterar dados em todos os sites, suspeite da intenção. O comportamento inadequado do Honey não é um simples erro, mas o produto de um design meticulosamente calculado para a maximização dos lucros.