makedream
15:27The PrimeTime
Log in to leave a comment
No posts yet
Инструмент для шопинга Honey, обещающий бесплатные скидки, прочно обосновался в браузерах 17 миллионов пользователей по всему миру. За этим сервисом, который PayPal приобрела за колоссальные 4 миллиарда долларов, скрывалась тщательно разработанная система обмана. Это не просто техническая ошибка. В результате реверс-инжиниринга исходного кода за последние пять лет вскрылась правда о высокотехнологичном злоупотреблении инженерными решениями, совершенствовавшемся годами с целью перехвата чужой прибыли.
На рынке партнерского маркетинга существует деловая этика — принцип «отступления» (stand-down), согласно которому нельзя перезаписывать куки пользователя, если он уже пришел по другому каналу. Однако Honey через свой код выборочно игнорировал это правило. В частности, чтобы избежать слежки, была запущена система профилирования, определяющая, является ли пользователь экспертом по безопасности или обычным потребителем.
Система Honey становилась все более изощренной с течением времени. Это был не просто уровень поддержки кода — каждый год совершался технический скачок для сокрытия недобросовестных действий.
| Этап эволюции | Период | Основные технические изменения | Метод управления партнерской логикой |
|---|---|---|---|
| Начальный этап | ~2019 | Простой хардкодинг на базе if-else | Применение статических правил |
| Период застоя | 2020-2021 | Стабилизация системы после поглощения PayPal | Выполнение базовых функций |
| Динамический переход | 2022-2023 | Внедрение динамических настроек на базе JSON | Управление с сервера в реальном времени |
| Обход защиты | 2024~ | Внедрение движка VIM (интерпретатор) | Нейтрализация правил Manifest V3 |
Google ввел строгий запрет на загрузку и выполнение внешнего кода в расширениях для повышения безопасности — это правила Manifest V3. Вместо того чтобы следовать этим правилам, Honey выбрала необычный путь: создание собственной среды выполнения JavaScript внутри расширения.
Встроенный в Honey парсер JavaScript «Acorn» интерпретирует JSON-данные, получаемые с сервера, не как простую информацию, а как исполняемую логику. Инструменты статического анализа Google распознают это как обычные данные и пропускают их. В итоге Honey получила полный контроль над манипулированием поведением браузера пользователя в реальном времени без необходимости обновления самого расширения.
Метод, которым Honey крадет прибыль, скрытен и разрушителен. В тот момент, когда пользователь переходит на страницу оплаты, расширение в фоновом режиме открывает невидимую вкладку размером 1x1 пиксель для принудительного вызова партнерской ссылки. В процессе этого куки рекомендаций, которые должны принадлежать создателю контента, удаляются, а их место занимает идентификатор Honey.
Согласно реальным кейсам анализа, Honey могла предоставить пользователю всего 0,89 доллара кэшбэка, в то время как за кулисами полностью присваивала комиссию в размере 35,60 доллара, причитающуюся автору. Более того, код отправляется на сервер еще до того, как пользователь нажмет кнопку применения купона, что приводит к утечке в общую базу данных даже VIP-кодов или одноразовых кодов, выданных малым бизнесом конкретным клиентам.
Случай с Honey демонстрирует, к каким разрушительным последствиям может привести технология, вышедшая за рамки этических принципов. В настоящее время крупные партнерские сети, включая Rakuten, навсегда исключили Honey из своих списков, а пострадавшие создатели контента подают коллективные иски.
Важно помнить, что «бесплатный» сервис на самом деле может быть результатом кражи честного труда других людей. Если расширение браузера запрашивает права на чтение и изменение данных на всех веб-сайтах, стоит усомниться в его намерениях. Ненадлежащая работа Honey — это не просто ошибка, а продукт тщательно просчитанного проектирования ради максимизации прибыли.