Honey का डीज़लगेट: टेस्टरों का पता लगाना और उन्हें धोखा देना

 (vptdigital.com)
1 पॉइंट द्वारा GN⁺ 2026-01-01 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • ब्राउज़र शॉपिंग प्लगइन Honey के बारे में संकेत मिले हैं कि वह टेस्ट स्थितियों का पता लगाकर अपना व्यवहार बदलने वाला ‘डीज़लगेट-शैली’ का मैनिपुलेशन कोड इस्तेमाल करता था
  • Honey चार मानदंडों के आधार पर तय करता था कि कोई उपयोगकर्ता टेस्टर है या नहीं: अकाउंट बनाने की तारीख, पॉइंट्स का संचय, ब्लैकलिस्ट, और affiliate network cookies का पता लगाना
  • इन शर्तों में से एक भी लागू होने पर यह नियमों के मुताबिक ‘stand-down’ करता था, लेकिन सामान्य उपयोगकर्ता मानने पर नियमों को नज़रअंदाज़ कर affiliate links को जबरन डाल देता था
  • विश्लेषक ने source code, config files, packet captures, telemetry logs के ज़रिए Honey द्वारा चुनिंदा तरीके से नियम तोड़ने की पुष्टि बार-बार की
  • यह व्यवहार Volkswagen डीज़लगेट जैसी छिपाने की कोशिश के समान है, और affiliate networks, merchants, तथा platforms (Google·Apple) सभी के भरोसे को नुकसान पहुँचा सकता है

Honey की नियम-उल्लंघन संरचना

  • Honey को affiliate networks और merchants द्वारा तय किए गए ‘stand-down’ नियमों से बचने के लिए डिज़ाइन किया गया था

    • stand-down वह नियम है जिसमें अगर किसी मौजूदा web publisher ने पहले से affiliate link दिया हो, तो कोई दूसरा software अतिरिक्त link न दिखाए
    • Honey सामान्य उपयोगकर्ताओं के लिए इस नियम को नज़रअंदाज़ करता था, और केवल तब नियम मानता था जब उसे टेस्टर होने का संदेह होता था

  • यह संरचना Volkswagen के डीज़लगेट की तरह थी, जहाँ सिस्टम को केवल टेस्ट वातावरण में नियमों का पालन करने के लिए डिज़ाइन किया गया था

    • Honey नियमों को जानता हुआ भी उनसे बचने की कोशिश कर रहा था, इसलिए इसे जानबूझकर छिपाने की कार्रवाई माना गया

टेस्टर डिटेक्शन मेकैनिज़्म

  • Honey निम्नलिखित चार मानदंडों से तय करता था कि उपयोगकर्ता टेस्टर है या नहीं

    • नया अकाउंट: अकाउंट बने 30 दिन से कम हुए हों तो नियम-उल्लंघन वाला व्यवहार रोक दिया जाता था
    • पॉइंट्स का संचय: 65,000 पॉइंट्स (लगभग 650 डॉलर के बराबर) से कम होने पर टेस्टर माना जाता था
    • सर्वर ब्लैकलिस्ट: शिकायत दर्ज होने का इतिहास हो, या कोई खास IP·cookie पंजीकृत हो, तो नियम-उल्लंघन रोक दिया जाता था
    • affiliate network cookies: CJ, Rakuten Advertising, Awin जैसी कंपनियों के लॉगिन cookies मौजूद हों तो उपयोगकर्ता को टेस्टर माना जाता था

  • इनमें से एक भी शर्त पूरी होने पर Honey नियमों का पालन करता था, लेकिन सब पार होने पर नियमों को पूरी तरह नज़रअंदाज़ करके affiliate links डाल देता था

  • इस तरह की डिज़ाइन टेस्टरों की पहचान को बाधित करती थी और कम अवधि के टेस्ट या नए अकाउंट आधारित सत्यापन को निष्प्रभावी बना देती थी

तकनीकी साक्ष्य

  • hands-on test: पॉइंट्स वैल्यू में बदलाव करके Honey की प्रतिक्रिया की तुलना की गई

    • पॉइंट्स कम होने पर उसने नियम माने, लेकिन ऊँचे पॉइंट्स का भ्रम देने पर उसने नियमों को नज़रअंदाज़ कर links दिखाए
    • affiliate network cookies जोड़ने पर यह फिर से नियमों का पालन करता दिखा

  • config file analysis: ssd.json में selective stand-down logic की पुष्टि हुई

    • uP:65000 (पॉइंट्स मानदंड), gca (cookie जाँच), bl (blacklist) जैसे एंट्री मौजूद थे
    • कुछ merchants (Booking.com, Kayosports आदि) के लिए इससे भी ऊँचा पॉइंट्स मानदंड सेट था

  • telemetry logs: Honey किस कारण stand-down कर रहा था, इसे JSON फ़ॉर्म में रिकॉर्ड किया जाता था

    • state:"uP:5001", state:"gca" जैसे आंतरिक निर्णय-आधार स्पष्ट रूप से दर्ज थे

  • source code analysis: JavaScript function P() हर मानदंड की तुलना करके तय करती थी कि stand-down करना है या नहीं

    • सभी शर्तें पार होने पर "ssd" स्थिति में नियमों को नज़रअंदाज़ किया जाता था
    • email में “test” शामिल है या नहीं, affiliate cookie मौजूद है या नहीं, इसकी भी जाँच होती थी

eBay के लिए असामान्य अपवाद-प्रसंस्करण

  • Honey ने eBay के लिए 24 घंटे (86,400 सेकंड) का stand-down लागू किया, जो दूसरे merchants की तुलना में बहुत अधिक सख्त था
    • कोड में भी eBay डोमेन के लिए हर हाल में stand-down करने की hardcoding थी
    • यह 2008 के eBay affiliate fraud मामले के बाद कड़े affiliate management को ध्यान में रखकर लिया गया कदम लगता है

कॉन्फ़िगरेशन बदलाव और समयरेखा

  • 2022 में ज़्यादातर networks में पॉइंट्स मानदंड नहीं था, और केवल Rakuten (LinkShare) पर 501 पॉइंट्स (लगभग 5 डॉलर) का मानदंड लागू था
  • 2025 तक यह बढ़कर 65,000 पॉइंट्स हो गया
    • माना जाता है कि MegaLag की 2024 वीडियो पब्लिक होने के बाद Honey ने यह मानदंड कड़ा किया
  • LinkShare के मामले में उल्टा ढील दी गई, और अब केवल 5,001 पॉइंट्स पर ही नियमों को नज़रअंदाज़ किया जा सकता है

छिपाव के व्यवहार का संदर्भ

  • Honey का व्यवहार पहले के cookie stuffing, geofencing, IP filtering जैसे affiliate fraud मामलों से मिलता-जुलता है

    • कुछ IP या cookies को ब्लॉक करके टेस्टरों को समस्या दोहराने से रोका जाता था
    • affiliate network cookies का पता लगाकर उद्योग से जुड़े लोगों के लिए अलग व्यवहार किया जाता था

  • यह छिपाव केवल साधारण नियम-उल्लंघन से अधिक गंभीर समस्या है, क्योंकि यह जानबूझकर धोखा देने को साबित करता है

    • अतीत में Amazon ने Honey को “security risk” कहकर जो चेतावनी दी थी, वह नतीजतन सही साबित होती दिखती है

आगे की संभावनाएँ

  • Honey के खिलाफ Google Chrome Web Store नीतियों (पारदर्शिता, functionality छिपाने पर रोक) के उल्लंघन की संभावना है
  • Apple App Store भी सख्त समीक्षा प्रक्रिया अपनाता है, इसलिए कार्रवाई की संभावना मौजूद है
  • चल रहे class action lawsuit में Honey के छिपाव वाले व्यवहार को अतिरिक्त साक्ष्य के रूप में इस्तेमाल किए जाने की उम्मीद है
    • Honey के अनियमित व्यवहार का कारण अब अधिक स्पष्ट हो गया है, जिससे मुकदमे की संरचना सरल हो सकती है

टेस्ट पद्धति का खुलासा

  • विश्लेषक ने FiddlerScript का उपयोग करके Honey server के साथ संचार में हेरफेर की और पॉइंट्स वैल्यू मनमाने ढंग से बदली
    • इससे high-point account scenario को दोहराकर Honey की प्रतिक्रिया की जाँच की गई
  • यह तरीका अब VPT की automated shopping plugin monitoring system में भी लागू है

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.