1 puan yazan GN⁺ 2025-05-17 | 1 yorum | WhatsApp'ta paylaş
  • Vates, yıllık geliri yaklaşık 130 milyon dolar olan yarı kamusal nitelikteki bir uzay şirketinin Xen Orchestra Appliance ücretsiz denemesini neredeyse 10 yıl boyunca tekrar tekrar kullandığı bir vakayı açıkladı
  • Söz konusu kuruluş yüzlerce fiziksel host ve yaklaşık 4.000 VM işletiyor; IT stack’inin önemli bir bölümünü Vates platformuna taşımış olsa da ne ücretli müşteri ne de kaynak koddan kurulum yapan ücretsiz kullanıcıydı
  • Tekrarlanan denemeler Nisan 2015’te şirket e-postasıyla başladı; ardından kişisel Outlook ve Gmail adresleri ile johndoe01, johndoe02 gibi artan hesaplara dönüştü ve her seferinde aynı şirket adı girildi
  • Xen Orchestra kaynak koddan kurulduğunda tüm özellikler ücretsiz kullanılabiliyor; ancak XOA, test edilmiş önceden yapılandırılmış bir VM ile tek tıkla güncellemeler, destek ve kararlılık sunan ücretli bir ürün
  • Vates, bu tür trial farming uygulamalarının açık kaynağın sürdürülebilirliğini sarstığını düşünüyor ve dürüst kullanıcıları engellemeyecek şekilde daha akıllı deneme kısıtlamalarını değerlendirebilir

10 yıl boyunca tekrarlanan Xen Orchestra Appliance deneme kullanımı

  • Vates, açık kaynak projelerini sürdürmenin yükü ve yapay zeka tabanlı sahte katkı ile güvenlik raporu artışı bağlamında bu vakayı paylaştı
  • Sorunlu kuruluş yarı kamusal nitelikte bir şirket; yıllık geliri yaklaşık 130 milyon dolar ve uzayla ilgili yüksek maliyetli ekipmanlar üretiyor ve işletiyor
  • Bu kuruluşun yüzlerce fiziksel host’u ve neredeyse 4.000 VM’i var; IT stack’inin önemli bir bölümünü Vates platformunda çalıştırıyor
  • Ancak ücretli müşteri değil; tam açık kaynak sürümü doğrudan kaynak koddan kullanma yolunu da seçmemiş

XOA ile ücretsiz kaynak koddan kurulum arasındaki fark

  • Kuruluşun tekrar tekrar denediği ürün Xen Orchestra Appliance(XOA) idi
    • Xen Orchestra’nın önceden kurulu olduğu anahtar teslim bir sanal makine
    • Düzenli olarak test ediliyor
    • Dağıtımı ve güncellemesi kolay
    • Tamamen on-premises şekilde çalışıyor
    • Prod ortamda master dalına git pull yapmak istemeyen ekipler için destekli ve kararlılaştırılmış bir deneyim
  • Ücretsiz kullanıcılar dokümantasyonu izleyerek kaynak koddan build edip tüm özellikleri ücretsiz kullanabiliyor
    • Kararlılık garantisi ve profesyonel destek yok
    • Özelliklerin tamamı yine de sunuluyor
  • Vates’in sattığı şey özelliklere erişim hakkı değil; test edilmiş önceden paketlenmiş VM, tek tıkla güncellemeler, zaman tasarrufu, risk azaltma ve destek deneyimi

Şirket e-postasından kişisel e-postalara uzanan hesap paterni

  • Tekrarlanan denemeler Nisan 2015’te başladı
  • Başlangıçta ücretsiz deneme için şirket e-postalarıyla başvuruldu
    • Birer ikişer ortaya çıkıyorlardı ve ilk başta şüpheli görünmüyordu
    • Zamanla geliştirici, sistem yöneticisi, yönetici gibi çeşitli hesaplar birikti
  • Daha sonra şirket e-postaları tükenince kişisel Outlook veya Gmail adresleri kullanıldı
    • Gerçek kişilere ait kişisel e-postalarla yeni 30 günlük denemeler başlatıldı
    • johndoe01@outlook.com, johndoe02@outlook.com gibi handle’lar artırıldı
    • Şu anda johndoe60 seviyesini çoktan aşmış durumdalar
  • Kayıt formunda şirket adı zorunlu alan değil, ancak her seferinde aynı şirket adı girildi

Destek aldıktan sonra da süren dolanma

  • Vates, değerlendirme kullanıcılarına yaptığı gibi bu kuruluşa da destek verdi
    • Sorularını yanıtladı
    • Kullanım yönü konusunda rehberlik etti
    • İlk baştaki “test ediyoruz, satın almayı değerlendirebiliriz” durumunda desteğe neredeyse tam bir gün ayırdı
  • Zamanla benzer sorular ve yapılandırmalar tekrarlandı; kayıtlar arandığında aynı kuruluşla bağlantılı ayrı hesaplardan en az 60 tane tespit edildi
  • Vates iletişime geçtiğinde kuruluş muğlak biçimde özür diledi ve kaynak sürüme geçeceğini söyledi
  • Profesyonel destek veya hacim indirimi olasılığına ilgi göstermedi; sonrasında da fiilen kaynak sürüme geçmedi
  • Bunun yerine kişisel Outlook adresleri ve artan e-posta handle’ları kullanarak ücretsiz deneme talep etmeyi sürdürdü

Açık kaynak sürdürülebilirliği ve gelecekteki kısıtlamalar

  • Bu durum, self-host edilemeyen sıradan bir SaaS’i dolanma vakasından farklı
    • Xen Orchestra ile her şeyi ücretsiz olarak self-host etmek mümkün
    • Özellik kısıtlaması yok; yalnızca yükseltme deneyimi XOA’ya kıyasla daha az konforlu
  • Kısa bir dokümanı okuyup birkaç komut girmek yerine deneme hesabını tekrar tekrar oluşturmuş olmaları, XOA’nın kolaylık değerini de ortaya koyuyor
  • Aynı kuruluş son 10 yıl boyunca kişisel Outlook ve Gmail hesaplarıyla ücretsiz denemeleri tekrar tekrar talep ederken gerçek şirket adını girmeyi sürdürdü
  • Bu davranış, açık kaynağı sürdürülebilir kılan temeli zayıflatıyor
  • Gelecekte trial farming’i engellemek için daha akıllı kısıtlamalar getirilebilir
    • Bunlar dürüst kullanıcıları engellemeye yönelik önlemler değil
    • Enerjiyi yazılım geliştirmeye, gerçek kullanıcı desteğine ve açık kaynağın sürdürülmesine harcamaya yönelik önlemler

1 yorum

 
GN⁺ 2025-05-17
Hacker News yorumları
  • Artık Larry Ellison tarzı baskı uygulamanın zamanı gelmiş gibi. En azından ceplerini silkeleyip bozuklukları almak gerek
    Bu şirket hırsızlık yapıyor. OSS seçenekleri sunarak şirketlere yardımcı olmaya çalışmış olmanız açısından zaten yeterince ilkeli ve cömert davranılmış. Bu suistimal; katlanmak zorunda değilsiniz
    Geçmiş kayıtlar dikkate alındığında, 10 yıllık hırsızlığı ve etrafından dolanma önlemlerini kısa bir durdurma ihtarnamesi (C&D) ile özetleyip, 15 gün içinde durmaz ya da lisans satın almazlarsa 10 yıllık lisans bedeli, faiz ve ceza talep edileceğini bildirmek daha iyi olur. Özellikle 16. gün yazılımı kapatmak gerekiyorsa, mutlaka birilerinden dönüş gelir
    Burada tutar da epey yüksek görünüyor ama mesele aynı zamanda etik ve sorumluluk meselesi. CEO iseniz çalışanlara ve hissedarlara mı daha büyük sorumluluğunuz var, yoksa bu uzay şirketine mi, bunu tartmanız gerekir. Şirket aşırı zengin olsa bile, CEO olarak çalınmış varlıkları geri almaya çalışmak için güçlü bir yükümlülüğünüz olduğunu düşünüyorum
    ABD şirketiyse bu davranış muhtemelen DMCA’nın teknik önlemleri aşmayı yasaklayan hükümlerine takılabilir. Öyleyse bireysel düzeyde cezai sorumluluk da doğabilir. DMCA’nın, lisans sözleşmeleri üzerinden şirketlerin cezai sorumluluk yaratmasına imkân veren berbat bir yasa olduğunu düşünüyorum; ama ABD’de şu anda yasa bu ve bir avukat bu kısmı açıklarsa karşı tarafın avukatları da muhtemelen kısa sürede müzakereye oturur

    • Katılıyorum. Bu apaçık hırsızlık; şirket neredeyse hemen uzlaşır. Sadece telafi maliyeti bile kelimenin tam anlamıyla milyonlarca doları bulabilir, cezalar eklenirse daha da büyür
      Mahkemeye kadar gideceğini sanmıyorum. Eylemin kendisi savunulamaz ve tek tartışma konusu OP’nin şirketine ne kadar ödeme yapılacağı olur
    • Önce faturayı göndermek yeterli. Hazırlanırken hukuki danışmanlık alınmalı. Her ay yeni maliyeti yansıtıp yeni fatura gönderin; birkaç seferden sonra tahsilata devredeceğinizi söyleyerek baskı kurun
      Zaman alabilir ama sonunda tahsil edebilirsiniz
  • “Günlerce peşlerinden koşup zaman harcamayacağım. Ama bir noktadan sonra bu, birkaç kuruş tasarruf etmenin ötesine geçip performans sanatına dönüşüyor” demiş ya; lütfen peşlerine düşün
    Bu büyük olasılıkla ücretsiz deneme koşullarının ihlali, bu yüzden mahkemeye taşınmalı. Değilse bile en azından şirketin adını açıklayıp utandırmak gerekir. Böyle gülünç bir hırsızlığı kurgulayan aptal yönetici kovulup yerine daha olgun biri gelebilir

    • Aslında CEO’yla doğrudan iletişime geçip olan biteni anlatmayı düşünüyorum. Ama açıkçası CEO’nun zaten her şeyi biliyor ve bunu hiç sorun etmiyor olması da çok olası. Özellikle hayal kırıklığı yaratan nokta bu
      Şimdilik hukuki adım atmakta acele etmiyorum. Mevcut durumda buna enerji harcamaya değecek kadar büyük değil; ama bu davranışı kamuya açık biçimde işaret etmenin gerekli olduğunu hissettim. OSS bakımcılarının zaman zaman ne tür saçmalıklarla uğraşmak zorunda kaldığına ekosistemdeki diğer insanlara da sinyal oluyor
      Şirket adını doğrudan açıklamayı şimdilik bekletiyorum ama tamamen ihtimal dışı da bırakmış değilim
    • Bu kısmı tuhaf buldum. Ücretsiz denemeyi kabul ederken yapılan lisans koşullarının ihlali olduğu açık; insan kendi emeği için para almaktan hoşlanmıyor mu diye düşündüm
    • Komplo teorisi tarafından bakarsak, tüm bunlar sadece reklam da olabilir
      “Ürünümüz o kadar iyi ki havacılık-uzay şirketleri kelimenin tam anlamıyla çalıp kullanıyor. Bu arada yeni 30 günlük deneme sürümümüzü gördünüz mü? Şimdi o havacılık-uzay şirketi meselesine dönersek, yazılımımızı ne kadar ucuza kullanabileceğinizi görmek için mevcut ürünlerimize bir bakın…” gibi
    • Şeytanın avukatı tarafından bakınca, yalnızca e-posta adresi girildiğinde 30 günlük ücretsiz deneme açılan bir yapı varsa insanların e-posta adresi girmesinden şikâyet etmek zor. Özellikle deneyimi akıcı kılmak için e-posta giriş alanı ve “start free trial” düğmesi dışında hiçbir şey yoksa daha da öyle
      İnsanlar her zaman sınırına kadar kullanmanın ya da suistimal etmenin yolunu bulur. Kullanıcı deneyimi ile suistimali önleme arasında kısıtları nereye koyacağınızı düşünmek gerekir
    • Yıllık geliri yaklaşık 130 milyon dolar olan ve uzayda uyduları bulunan çok fazla havacılık-uzay şirketi yok. Planet Labs olabilir
  • Önceki iş yerim olan 1 milyar dolarlık şirkette, biri tek bir ücretsiz kullanıcı hesabını yaklaşık 100 kişinin kullanması için proxy benzeri bir şey kurmuştu
    Daha fazla özelliğe ihtiyaç duyduğumuz için rakip ürünlere de baktık ve mevcut yöntemi sürdürüp sürdürmeyeceğimize ya da daha iyi bir çözüme geçip geçmeyeceğimize karar verilen toplantıya katıldım. İki ürün adil biçimde karşılaştırıldı, fiyat hariç
    Plan, normalde ödememiz gereken ücreti ödemeden yasa dışı kullanıma devam etmek ya da yasal kullansaydık daha ucuz olacak başka bir hizmeti kullanmaktı. Karşılaştırma yapılacaksa en azından gerçek maliyetlerle karşılaştırılması gerektiğini gündeme getirdim ama kimse aynı fikirde değildi; sonunda geçiş yapmayıp yasa dışı kullanmaya devam etmeye karar verildi. Para da sorun değildi
    Bunu yapan kişi şirketten çoktan ayrılmıştı ama kimse bu sorunu ele almak istemiyordu ve sanırım görmezden gelmenin daha kolay olduğuna karar verdiler

    • Böyle yasa dışı ya da etik dışı davranışlarla 5-10 yılda ne kadar tasarruf etmiş olabilirler?
      “Rocket Company”nin ayda ortalama 30 cihaz kullandığını ve aylık üst sınırın 1.600 dolar olduğunu varsayarsak, indirim öncesi yılda yaklaşık 600 bin dolar eder. 10 yılda yaklaşık 3 milyon doları ellerinde tutmuş olabilirler
      Vates’in para alabilmesi için kontrolü, gerçek işi yapan operasyon organizasyonundan ayırıp merkezi BT organizasyonu düzeyine soyutlaması gerekecek gibi
  • “Ama bir noktadan sonra bu, birkaç kuruş tasarruf etmenin ötesine geçip performans sanatına dönüşüyor” ifadesini sevdim. Mizah da iyi, örnek olay da iyi
    Şirketin ürün maliyetinden daha fazlasını çalışan zamanına harcıyor olma ihtimali yüksek
    Ücretsiz deneme sürümüyle mission-critical bir şey çalıştırmak hayal bile edilemez. Eskiden Adobe’nin bir davayı kaybettiğine dair bir şey duymuştum. Birisi ücretsiz denemede bir görsel oluşturmuş, deneme süresi bittikten sonra açamaz hâle geldiği içinmiş
    O şirketin müşterisi olsaydım epey endişelenirdim

  • “Ücretsiz denemeniz sona erdi ve şirketiniz artık ücretsiz deneme anahtarı alamaz” demek yeterli. Bunun için avukat da gerekmez, tehdit de gerekmez
    “Ürünümüzü beğenmenize sevindik. Ne yazık ki size artık ücretsiz deneme kapsamında destek veremiyoruz” gibi nazikçe söylenebilir
    Aidiyetlerini gizleyip ücretsiz deneme almaya devam ederlerse, tespit ettiğiniz her sahte başvuruyu engellersiniz; gerçekten son çare olarak da hukuki uyarı yaparsınız. Hepsini yakalayamasanız bile karşı taraf için çok can sıkıcı olur
    Amaç onları ücretli müşteri olarak onboarding sürecine almaktır. Bunun dışındaki sonuçlar fiilen kayıptır. Nazik ama kararlı olmak gerekir

    • Ben olsam en azından ücretsiz deneme kayıt backend mantığına şirket adını ve bilinen takma adlarını kontrol eden küçük bir rutin koyar, “Ücretsiz kullanım kapsamına girmiyorsunuz ama satış ekibimiz sizinle memnuniyetle görüşür! İyi günler!” gibi bir mesaj döndürmesini sağlardım
  • En moral bozucu olan, bunun hiç de şaşırtıcı olmaması
    Ücretsiz deneme için önce kredi kartı istenmesinin nedeni tam da bu. Gizlice ücret kesmek için değil, sahtecilik yapmak daha zor olduğu için. Bu insanlar yüzünden

    • İnsan gerçekten kafaya koyarsa bu yöntemi de aşmak neredeyse çocuk oyuncağı. ABD’de CapitalOne, kredi kartınız varsa doğrulanabilir sanal kartlar oluşturmanıza izin veriyor; bunları istediğiniz zaman ücretsiz silebilir veya bloke edebilirsiniz
      Bu uygulama, deneme sürümünü hafifçe suistimal etmeye çalışanları engeller belki ama gerçek ücretli müşterileri zor durumda bırakıp kötü niyetli aktörleri neredeyse hiç durdurmuyor gibi geliyor
  • CTO olarak bu tür davranışlara oldukça sert biçimde karşıyım; sorumluluğun havacılık-uzay şirketinin CTO’sunda olduğunu düşünüyorum
    Başlarda tasarruf ederek ayakta kalmak işin bir parçası, ama gelir gelmeye başladığında ölçek büyürken ücretsiz planı başlangıç planına dönüştürmek gerekir
    Sektörümüzde bu şekilde davranan insanların olması üzücü

    • %120 katılıyorum. Yine de ücretsiz planı ne kadar iyi kullandıklarını da merak ediyorum
      Kişisel olarak bulut/SaaS ücretsiz planlarının, ilk kullanım maliyetini telafi edecek kadar olduğunu düşünüyorum. Bu yüzden gerçekten çok küçük ölçekli değilse ücretsiz plan uygun değil
  • Tüketici odaklı bir startup’ta, tavsiye sistemi yüzünden benzer bir şey yaşadım
    Her ay saat gibi aynı kişi sahte tavsiyeler oluşturup bir aylık ücretsiz kullanım hakkı alıyordu; uygulamayı yeniden kurma, sahte hesapta içerik oluşturma, sonra geri dönme gibi epey zahmetli bir süreçten geçiyordu. Hepsi 5 dolar tasarruf etmek içindi; neredeyse aynı kalitede ücretsiz bir plan da vardı
    Sistemi yenmenin ve yakalanmamanın verdiği heyecanın da oldukça büyük bir etken olduğunu düşünüyorum. Anlayabiliyorum

  • Eskiden büyük bir şirketin IT bölümünde çalışırken, yazılım satın almak için gereken işler o kadar muazzamdı ki her türlü “yaratıcı çözüm” çok daha iyi görünüyordu
    En kötüsü, bundan en çok ucuz yazılımların zarar görmesi. Milyonlarca dolarlık Cisco yükseltmesi sorun değil. Zaten milyonlarca dolar. Ama 10 dolarlık bir e-posta shareware lisansı almak için birkaç kişinin çok sayıda çalışma saati harcaması gerekiyorsa, kim uğraşır

    • Bir müşteriyle toplantı yapmıştım. Ürünümüzü değerlendiriyorlardı ve ürünümüz OSS değildi. Hava iyiydi, ürünü beğenmişlerdi ve satın alacak gibi görünüyorlardı
      Sonra garip bir şekilde sorumlu kişi CEO’ya bir kuralları olduğunu söyledi. Şirket yalnızca OSS kullanabiliyormuş. Oysa şirketin kendi ürünü OSS değildi
    • Dizüstü bilgisayarıma nöroçeşitlilik destek yazılımı kurmaya çalışırken benzer bir şey yaşıyorum. Yardım etmeye çalışan çok kişi var ve devlet masrafı da geri ödüyor, ama yeni tedarikçi kaydetmek zor, güvenlik onayı da gerekiyor
    • Muhasebe açısından bakınca bu muhtemelen satıcı faturası/borçları dolandırıcılığını önlemeye yönelik bir mekanizma
  • Bu hikâyenin oldukça doğru olduğunu varsayarsak, iki tarafın da ne düşündüğünü merak ediyorum
    Bedava kullanan tarafta, kuralların içinde kaldıklarını mı düşünüyorlardı? Bu yöntemi sürdürme onayı ne kadar yukarıya kadar çıktı? Birileri ödeme yapmaya çalıştı da engellendi mi? Birisi patronuna her şeyi içeride yaptıklarını söyleyip, şimdi dışarıya verdiklerini ve şirketin açığa çıktığını kabul etmek istemiyor olabilir mi? En tepeye kadar çıktı da avukat, her seferinde şirket adını ve gerçek adlarını yazarlarsa iyi niyet kapsamında korunabileceklerini mi söyledi?
    Sağlayıcı tarafında ise, 10 yıldır takılıp kalmış kurumsal kullanıcıları görüp satış ekibi neden hemen üstlerine gitmedi? Politikayı biraz değiştirip bu bedavacıları ve onları taklit edebilecek başkalarını engellemeden nasıl 10 yıl bıraktılar? Bu konu akıllarına geldiğinde iş tarafındaki insanlar o süre boyunca ne dedi? İşleri o kadar iyi gidiyordu da onları ücretli müşteriye dönüştürmeye zaman ayırmaya değmez mi buldular?