makedream
15:27The PrimeTime
Log in to leave a comment
No posts yet
Honey, alat belanja yang menjanjikan diskon gratis dan telah terpasang di peramban 17 juta pengguna di seluruh dunia, menyimpan sistem penipuan yang dirancang dengan sangat rapi di balik layarnya. Layanan yang diakuisisi oleh PayPal dengan nilai fantastis sebesar 4 miliar dolar ini bukan sekadar mengalami kesalahan teknis biasa. Hasil analisis reverse engineering terhadap kode sumber selama 5 tahun mengungkap realitas penyalahgunaan teknik canggih yang dikembangkan selama bertahun-tahun untuk mencuri pendapatan pihak lain.
Dalam pasar pemasaran afiliasi, terdapat etika bisnis yang berlaku, yaitu prinsip stand-down: tidak menimpa cookie pengguna yang datang melalui saluran lain. Namun, Honey secara selektif mengabaikan prinsip ini melalui kodenya. Terutama untuk menghindari pengawasan, mereka bahkan menjalankan mesin profiling untuk menentukan apakah pengguna tersebut adalah pakar keamanan atau konsumen biasa.
Sistem Honey menjadi semakin licik seiring berjalannya waktu. Ini bukan sekadar pemeliharaan kode biasa, melainkan lonjakan teknis setiap tahun untuk menyembunyikan tindakan curang mereka.
| Tahap Evolusi | Periode | Perubahan Teknis Utama | Metode Kontrol Logika Afiliasi |
|---|---|---|---|
| Tahap Awal | ~2019 | Hardcoding berbasis if-else sederhana | Penerapan aturan statis |
| Masa Stagnasi | 2020-2021 | Stabilisasi sistem setelah akuisisi PayPal | Menjalankan fungsi dasar |
| Transisi Dinamis | 2022-2023 | Pengenalan konfigurasi dinamis berbasis JSON | Kontrol waktu nyata dari server |
| Bypass Keamanan | 2024~ | Implementasi mesin VIM (interpreter) | Melumpuhkan regulasi Manifest V3 |
Google secara ketat melarang tindakan mengambil dan mengeksekusi kode eksternal demi memperkuat keamanan ekstensi peramban. Inilah yang disebut regulasi Manifest V3. Alih-alih mematuhi aturan ini secara langsung, Honey memilih cara yang tidak biasa dengan membangun lingkungan eksekusi JavaScript mandiri di dalam ekstensi tersebut.
Parser JavaScript Acorn yang tertanam di dalam Honey menginterpretasikan data JSON yang diunduh dari server bukan sebagai informasi biasa, melainkan sebagai logika yang dapat dieksekusi. Alat analisis statis Google menganggap ini hanya sebagai data biasa sehingga meloloskannya. Akibatnya, Honey memegang kekuasaan penuh untuk memanipulasi perilaku peramban pengguna secara real-time tanpa perlu memperbarui ekstensi.
Cara Honey mencuri keuntungan sangat rahasia dan mematikan. Saat pengguna mencapai halaman pembayaran, Honey membuka tab berukuran 1x1 piksel yang tidak terlihat di latar belakang untuk memanggil tautan afiliasi secara paksa. Dalam proses ini, cookie rekomendasi yang seharusnya diterima oleh pembuat konten asli dihapus, dan pengidentifikasi Honey mengambil alih posisi tersebut.
Berdasarkan kasus analisis nyata, Honey memberikan poin hanya senilai 0,89 dolar kepada pengguna, sementara di balik layar mereka mencuri seluruh komisi senilai 35,60 dolar yang seharusnya menjadi hak pembuat konten. Bahkan sebelum pengguna menekan tombol terapkan kupon, kode tersebut sudah dikirim ke server, menyebabkan kebocoran kode VIP atau kode sekali pakai yang dikeluarkan pedagang kecil khusus untuk pelanggan tertentu ke dalam basis data publik.
Kasus Honey menunjukkan betapa destruktifnya hasil yang ditimbulkan ketika teknologi mengabaikan panduan etika. Saat ini, jaringan afiliasi besar termasuk Rakuten telah memblokir Honey secara permanen, dan gugatan kelompok dari para pembuat konten yang dirugikan terus berlanjut.
Kita harus ingat bahwa layanan gratis mungkin sebenarnya adalah imbalan dari pencurian nilai kerja keras orang lain yang sah. Jika sebuah ekstensi peramban meminta izin untuk membaca dan mengubah semua data situs web, Anda patut mencurigai tujuannya. Perilaku tidak pantas Honey bukanlah kesalahan yang tidak disengaja, melainkan produk dari desain yang diperhitungkan secara cermat demi maksimalisasi keuntungan.