Honey का डीज़लगेट: टेस्टरों का पता लगाना और उन्हें धोखा देना

 (vptdigital.com)
1 पॉइंट द्वारा GN⁺ 2026-01-01 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • ब्राउज़र शॉपिंग प्लगइन Honey के बारे में संकेत मिले हैं कि वह टेस्ट स्थितियों का पता लगाकर अपना व्यवहार बदलने वाला ‘डीज़लगेट-शैली’ का मैनिपुलेशन कोड इस्तेमाल करता था
  • Honey चार मानदंडों के आधार पर तय करता था कि कोई उपयोगकर्ता टेस्टर है या नहीं: अकाउंट बनाने की तारीख, पॉइंट्स का संचय, ब्लैकलिस्ट, और affiliate network cookies का पता लगाना
  • इन शर्तों में से एक भी लागू होने पर यह नियमों के मुताबिक ‘stand-down’ करता था, लेकिन सामान्य उपयोगकर्ता मानने पर नियमों को नज़रअंदाज़ कर affiliate links को जबरन डाल देता था
  • विश्लेषक ने source code, config files, packet captures, telemetry logs के ज़रिए Honey द्वारा चुनिंदा तरीके से नियम तोड़ने की पुष्टि बार-बार की
  • यह व्यवहार Volkswagen डीज़लगेट जैसी छिपाने की कोशिश के समान है, और affiliate networks, merchants, तथा platforms (Google·Apple) सभी के भरोसे को नुकसान पहुँचा सकता है

Honey की नियम-उल्लंघन संरचना

  • Honey को affiliate networks और merchants द्वारा तय किए गए ‘stand-down’ नियमों से बचने के लिए डिज़ाइन किया गया था

    • stand-down वह नियम है जिसमें अगर किसी मौजूदा web publisher ने पहले से affiliate link दिया हो, तो कोई दूसरा software अतिरिक्त link न दिखाए
    • Honey सामान्य उपयोगकर्ताओं के लिए इस नियम को नज़रअंदाज़ करता था, और केवल तब नियम मानता था जब उसे टेस्टर होने का संदेह होता था

  • यह संरचना Volkswagen के डीज़लगेट की तरह थी, जहाँ सिस्टम को केवल टेस्ट वातावरण में नियमों का पालन करने के लिए डिज़ाइन किया गया था

    • Honey नियमों को जानता हुआ भी उनसे बचने की कोशिश कर रहा था, इसलिए इसे जानबूझकर छिपाने की कार्रवाई माना गया

टेस्टर डिटेक्शन मेकैनिज़्म

  • Honey निम्नलिखित चार मानदंडों से तय करता था कि उपयोगकर्ता टेस्टर है या नहीं

    • नया अकाउंट: अकाउंट बने 30 दिन से कम हुए हों तो नियम-उल्लंघन वाला व्यवहार रोक दिया जाता था
    • पॉइंट्स का संचय: 65,000 पॉइंट्स (लगभग 650 डॉलर के बराबर) से कम होने पर टेस्टर माना जाता था
    • सर्वर ब्लैकलिस्ट: शिकायत दर्ज होने का इतिहास हो, या कोई खास IP·cookie पंजीकृत हो, तो नियम-उल्लंघन रोक दिया जाता था
    • affiliate network cookies: CJ, Rakuten Advertising, Awin जैसी कंपनियों के लॉगिन cookies मौजूद हों तो उपयोगकर्ता को टेस्टर माना जाता था

  • इनमें से एक भी शर्त पूरी होने पर Honey नियमों का पालन करता था, लेकिन सब पार होने पर नियमों को पूरी तरह नज़रअंदाज़ करके affiliate links डाल देता था

  • इस तरह की डिज़ाइन टेस्टरों की पहचान को बाधित करती थी और कम अवधि के टेस्ट या नए अकाउंट आधारित सत्यापन को निष्प्रभावी बना देती थी

तकनीकी साक्ष्य

  • hands-on test: पॉइंट्स वैल्यू में बदलाव करके Honey की प्रतिक्रिया की तुलना की गई

    • पॉइंट्स कम होने पर उसने नियम माने, लेकिन ऊँचे पॉइंट्स का भ्रम देने पर उसने नियमों को नज़रअंदाज़ कर links दिखाए
    • affiliate network cookies जोड़ने पर यह फिर से नियमों का पालन करता दिखा

  • config file analysis: ssd.json में selective stand-down logic की पुष्टि हुई

    • uP:65000 (पॉइंट्स मानदंड), gca (cookie जाँच), bl (blacklist) जैसे एंट्री मौजूद थे
    • कुछ merchants (Booking.com, Kayosports आदि) के लिए इससे भी ऊँचा पॉइंट्स मानदंड सेट था

  • telemetry logs: Honey किस कारण stand-down कर रहा था, इसे JSON फ़ॉर्म में रिकॉर्ड किया जाता था

    • state:"uP:5001", state:"gca" जैसे आंतरिक निर्णय-आधार स्पष्ट रूप से दर्ज थे

  • source code analysis: JavaScript function P() हर मानदंड की तुलना करके तय करती थी कि stand-down करना है या नहीं

    • सभी शर्तें पार होने पर "ssd" स्थिति में नियमों को नज़रअंदाज़ किया जाता था
    • email में “test” शामिल है या नहीं, affiliate cookie मौजूद है या नहीं, इसकी भी जाँच होती थी

eBay के लिए असामान्य अपवाद-प्रसंस्करण

  • Honey ने eBay के लिए 24 घंटे (86,400 सेकंड) का stand-down लागू किया, जो दूसरे merchants की तुलना में बहुत अधिक सख्त था
    • कोड में भी eBay डोमेन के लिए हर हाल में stand-down करने की hardcoding थी
    • यह 2008 के eBay affiliate fraud मामले के बाद कड़े affiliate management को ध्यान में रखकर लिया गया कदम लगता है

कॉन्फ़िगरेशन बदलाव और समयरेखा

  • 2022 में ज़्यादातर networks में पॉइंट्स मानदंड नहीं था, और केवल Rakuten (LinkShare) पर 501 पॉइंट्स (लगभग 5 डॉलर) का मानदंड लागू था
  • 2025 तक यह बढ़कर 65,000 पॉइंट्स हो गया
    • माना जाता है कि MegaLag की 2024 वीडियो पब्लिक होने के बाद Honey ने यह मानदंड कड़ा किया
  • LinkShare के मामले में उल्टा ढील दी गई, और अब केवल 5,001 पॉइंट्स पर ही नियमों को नज़रअंदाज़ किया जा सकता है

छिपाव के व्यवहार का संदर्भ

  • Honey का व्यवहार पहले के cookie stuffing, geofencing, IP filtering जैसे affiliate fraud मामलों से मिलता-जुलता है

    • कुछ IP या cookies को ब्लॉक करके टेस्टरों को समस्या दोहराने से रोका जाता था
    • affiliate network cookies का पता लगाकर उद्योग से जुड़े लोगों के लिए अलग व्यवहार किया जाता था

  • यह छिपाव केवल साधारण नियम-उल्लंघन से अधिक गंभीर समस्या है, क्योंकि यह जानबूझकर धोखा देने को साबित करता है

    • अतीत में Amazon ने Honey को “security risk” कहकर जो चेतावनी दी थी, वह नतीजतन सही साबित होती दिखती है

आगे की संभावनाएँ

  • Honey के खिलाफ Google Chrome Web Store नीतियों (पारदर्शिता, functionality छिपाने पर रोक) के उल्लंघन की संभावना है
  • Apple App Store भी सख्त समीक्षा प्रक्रिया अपनाता है, इसलिए कार्रवाई की संभावना मौजूद है
  • चल रहे class action lawsuit में Honey के छिपाव वाले व्यवहार को अतिरिक्त साक्ष्य के रूप में इस्तेमाल किए जाने की उम्मीद है
    • Honey के अनियमित व्यवहार का कारण अब अधिक स्पष्ट हो गया है, जिससे मुकदमे की संरचना सरल हो सकती है

टेस्ट पद्धति का खुलासा

  • विश्लेषक ने FiddlerScript का उपयोग करके Honey server के साथ संचार में हेरफेर की और पॉइंट्स वैल्यू मनमाने ढंग से बदली
    • इससे high-point account scenario को दोहराकर Honey की प्रतिक्रिया की जाँच की गई
  • यह तरीका अब VPT की automated shopping plugin monitoring system में भी लागू है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-01-01
Hacker News की राय
  • मैंने पहले एक ad tech company में काम किया है, और मुझे लगता है कि इस बार मामला हद पार कर गया
    इंडस्ट्री में चीज़ों को अक्सर “revealed preferences” या “enabling personalization” जैसे शब्दों में पैक किया जाता है, लेकिन “selective stand down” जैसी फ़ीचर डिज़ाइन करते समय इंजीनियर क्या सोच रहे थे, यह सच में जानने की इच्छा होती है
    किसी कंपनी का हिस्सा होते हुए ऐसा प्रोडक्ट बनाना जो कॉन्ट्रैक्ट से बचने की कोशिश करे, अपने आप में एक चुनाव है
    • शायद सोच यह रही होगी कि “मेरे पास नैतिक मानकों पर टिके रहने की आज़ादी नहीं है, मैं आसानी से बदला जा सकने वाला कर्मचारी हूँ इसलिए असुरक्षित हूँ, मेरे परिवार की रोज़ी-रोटी और health insurance नौकरी से बंधे हैं, और मुझे भरोसा नहीं कि सरकार मेरी रक्षा करेगी”
    • मेरे हिसाब से यह 2017 के Uber Greyball प्रोजेक्ट से अलग नहीं है
      New York Times लेख में भी दिखता है कि कुछ कंपनियों में कानून और कॉन्ट्रैक्ट से बच निकलने की संस्कृति सामान्य मानी जाती है
    • Guido Palazzo की किताब The Dark Pattern इसका अच्छा उदाहरण है
      यह किताब दिखाती है कि संदर्भ की शक्ति तर्क या नैतिकता से ज़्यादा मज़बूत हो सकती है
      इससे द्वितीय विश्व युद्ध के समय की ‘बुराई की सामान्यता’ याद आती है। अगर आसपास सब लोग ऐसा कर रहे हों, तो कोई भी कुछ भी करने लगता है
    • यह ऐसा लगता है जैसे नैतिक मानक खो चुके इंजीनियर उम्मीद कर रहे हों कि बाकी लोग सभ्यता को बचाए रखें
    • यह कहावत याद आती है कि “पेट भरा हो तभी नैतिकता याद आती है”
  • मूल MegaLag वीडियो यहाँ देखा जा सकता है
    अगर कोई इंजीनियर ऐसा सिस्टम बना रहा हो, तो उसे एक बार तो “क्या हम ही खलनायक हैं?” सोचना चाहिए, लेकिन शायद ऐसा नहीं हुआ
    • संदर्भ के लिए, ब्लॉग पोस्ट के लेखक Ben Edelman वीडियो के 33 मिनट वाले हिस्से में दिखाई देते हैं
      उनकी निजी साइट benedelman.org/honey-detecting-testers है
    • पूंजीवाद बुरे कामों से हाथ धो लेने में बहुत माहिर है
      मेरे इस्तेमाल के smartphone में भी शायद कुछ slave labor शामिल रही होगी, और आखिरकार हम सब उस ढांचे का हिस्सा हैं
    • शुरू में मुझे लगा ‘Honey’ शायद शहद वाला कोई प्रोडक्ट है, लेकिन असल में यह discount coupon extension निकला
  • करीब 15 साल पहले एक telecom company में इसी तरह की affiliate marketing समस्या देखी थी
    प्रयोग के तौर पर हमने सभी affiliate commission भुगतान रोक दिए थे, ट्रैफ़िक थोड़ा घटा लेकिन बिक्री लगभग नहीं बदली
    आखिर में सिर्फ brand awareness के दम पर भी पर्याप्त ग्राहक मिल रहे थे
  • समझ नहीं आता कि Amazon जैसी कंपनियाँ अब भी Honey के affiliate account को पैसा क्यों देती हैं
    उन्हें पता होगा कि यह असली referral traffic नहीं है, फिर भी भुगतान जारी है
  • इस extension का Chrome Web Store में approve हो जाना बताता है कि स्टोर की malware filtering reliability लगभग न के बराबर है
    • लेकिन यह malware नहीं है
      यह बस marketing companies के बीच commission छीनने का खेल है, और यह user data को server पर upload भी नहीं करता
      सारी जाँच client side पर होती है
    • सच कहें तो Google को Honey क्या कर रहा है, यह सब पता होगा
      चाहे तो वह एक ही कदम में इसे Chrome से हटा सकता है
  • शुरुआत में Honey camelcamelcamel के clone के रूप में आया था, लेकिन सिस्टम के दुरुपयोग की वजह से Amazon ने उसे बाहर कर दिया
    उसके बाद वह coupon site में बदल गया, और PayPal ने 4 billion dollar cash में उसे खरीद लिया
    नतीजा यह हुआ कि मेरी affiliate income कम हो गई
  • archive link यहाँ है
    • लेकिन यह लिंक बार-बार flicker करता है और scroll अजीब तरह से चलता है, इसलिए पढ़ा नहीं जा रहा
      पता नहीं यह मूल साइट की समस्या है या archive की
    • क्या archive.org इसलिए इस्तेमाल किया गया क्योंकि मूल साइट खुल नहीं रही थी?
      मूल लिंक है vptdigital.com/blog/honey-detecting-testers
      अगर समस्या बनी रहे तो Ben Edelman से सीधे संपर्क करने की सलाह दूँगा
  • मुझे याद है यह Honey fraud controversy करीब एक साल पहले ही सामने आ चुकी थी
    पिछले कुछ दिनों में इसका फिर से ख़बरों में आना थोड़ा हैरान करने वाला है
    • YouTuber MegaLag ने एक साल पहले part 1 डाला था, और हाल में part 2 और part 3 जारी किए
      नई जानकारी ने Honey की छवि को और खराब किया है
  • पूरा affiliate marketing ecosystem ही कैंसर जैसा लगता है
    काश Amazon इस सिस्टम को पूरी तरह बंद कर दे
    • फिर भी मुझे लगता है affiliate links विज्ञापन का सबसे निष्पक्ष तरीका हैं
      woodworking या painting blog में वास्तव में इस्तेमाल किए जाने वाले products के link देखना, random ads से बेहतर है
    • उपभोक्ता के नज़रिए से देखें तो सीधी छूट मिलना और बेहतर है
      अगर official store वही discount code दे, तो सबके लिए फ़ायदेमंद होगा
  • मूल लेख अभी खुल नहीं रहा, लेकिन archive.is/7Y9Jq पर पढ़ा जा सकता है