Honey’nin dizelgate’i: Testçileri tespit edip kandırma

 (vptdigital.com)
1 puan yazan GN⁺ 2026-01-01 | 1 yorum | WhatsApp'ta paylaş
  • Tarayıcı alışveriş eklentisi Honey’nin, test durumunu algılayıp davranışını değiştiren “dizelgate tarzı” manipülasyon kodu kullandığına dair bulgular ortaya çıktı
  • Honey, kullanıcının testçi olup olmadığını hesap oluşturma tarihi, puan birikimi, kara liste ve iş ortaklığı ağı çerezi tespiti dahil dört ölçüte göre belirliyor
  • Bu koşullardan biri bile sağlanırsa kurallara uygun şekilde “stand-down” uygular; ancak kullanıcıyı normal kullanıcı olarak değerlendirirse kuralları yok sayıp iş ortaklığı bağlantısını zorla ekliyor
  • Analizi yapan kişi, kaynak kodu, yapılandırma dosyaları, paket yakalama kayıtları ve telemetri logları üzerinden Honey’nin seçici kural ihlalini tekrar tekrar doğruladı
  • Bu davranış, Volkswagen dizelgate’ine benzer bir gizleme girişimi olarak; iş ortaklığı ağları, satıcılar ve platformların (Google, Apple) tamamının güvenini zedeleyebilecek bir konu

Honey’nin kural ihlali yapısı

  • Honey, iş ortaklığı ağları ve satıcıların belirlediği “stand-down” kurallarını aşacak şekilde tasarlanmış

    • Stand-down, mevcut bir web yayıncısı zaten bir iş ortaklığı bağlantısı sunduğunda başka bir yazılımın ek bağlantı göstermemesini sağlayan kural
    • Honey, normal kullanıcılarda bu kuralı yok sayıyor; yalnızca kullanıcının testçi olabileceğinden şüphelendiğinde kurala uyuyor

  • Bu yapı, Volkswagen’in dizelgate’i gibi yalnızca test ortamında kurallara uyacak şekilde tasarlanmış

    • Honey’nin kuralları bildiği hâlde bunlardan kaçınmaya çalışması, kasıtlı bir gizleme eylemi olarak değerlendiriliyor

Testçi tespit mekanizması

  • Honey, kullanıcının testçi olup olmadığını şu dört ölçüte göre belirliyor

    • Yeni hesap: Hesap oluşturulduktan sonra 30 günden az geçmişse kural ihlali davranışını durduruyor
    • Puan birikimi: 65.000 puanın (yaklaşık 650 dolar karşılığı) altındaysa kullanıcıyı testçi sayıyor
    • Sunucu kara listesi: Şikâyet geçmişi varsa veya belirli IP/çerez kayıtlıysa kural ihlalini durduruyor
    • İş ortaklığı ağı çerezleri: CJ, Rakuten Advertising, Awin gibi ortaklık giriş çerezleri varsa kullanıcıyı testçi olarak değerlendiriyor

  • Bunlardan biri bile geçerliyse Honey kurallara uyuyor; hepsi geçildiyse kuralları tamamen yok sayıp iş ortaklığı bağlantısı ekliyor

  • Bu tasarım, testçilerin tespitini zorlaştırıyor ve kısa süreli testleri ya da yeni hesap temelli doğrulamaları etkisizleştiriyor

Teknik kanıtlar

  • Uygulamalı test: Honey’nin tepkisini karşılaştırmak için puan değerleri değiştirildi

    • Puan düşükken kurallara uydu, yüksek puanla kandırıldığında ise kuralları yok sayıp bağlantıyı gösterdi
    • İş ortaklığı ağı çerezleri eklendiğinde Honey’nin yeniden kurallara uyduğu görüldü

  • Yapılandırma dosyası analizi: ssd.json içinde seçici stand-down mantığı doğrulandı

    • uP:65000 (puan ölçütü), gca (çerez kontrolü), bl (kara liste) gibi girdiler bulunuyor
    • Bazı satıcılar için (Booking.com, Kayosports vb.) daha yüksek puan eşikleri tanımlanmış

  • Telemetri logları: Honey, stand-down uygulama nedenini JSON biçiminde kaydediyor

    • state:"uP:5001", state:"gca" gibi iç değerlendirme gerekçeleri açıkça belirtiliyor

  • Kaynak kodu analizi: JavaScript fonksiyonu P(), her ölçütü karşılaştırarak stand-down uygulanıp uygulanmayacağına karar veriyor

    • Tüm koşullar geçilirse "ssd" durumuyla kurallar yok sayılıyor
    • email içinde “test” geçip geçmediği ve affiliate cookie varlığı gibi unsurlar da kontrol ediliyor

eBay için dikkat çekici istisna işleme

  • Honey, eBay için 24 saatlik (86.400 saniye) stand-down uyguluyor; bu, diğer satıcılara göre çok daha katı
    • Kod içinde de eBay alan adları için koşulsuz stand-down olacak şekilde hardcode edilmiş
    • Bu durumun, eBay’de geçmişte yaşanan iş ortaklığı dolandırıcılığı vakasından (2008) sonra sıkı iş ortaklığı denetimini dikkate alan bir önlem olduğu düşünülüyor

Yapılandırma değişiklikleri ve zamanlama

  • 2022’de çoğu ağda puan ölçütü yoktu; yalnızca Rakuten (LinkShare) için 501 puanlık (yaklaşık 5 dolar) eşik uygulanıyordu
  • 2025 itibarıyla bu eşik 65.000 puana kadar ciddi biçimde yükselmiş durumda
    • Bunun, MegaLag’in 2024’te yayımlanan videosundan sonra Honey’nin ölçütleri sertleştirmesinden kaynaklandığı tahmin ediliyor
  • LinkShare tarafında ise tam tersine gevşeme var; bugün yalnızca 5.001 puanla kuralların yok sayılması mümkün

Gizleme davranışının bağlamı

  • Honey’nin davranışı, geçmişteki cookie stuffing, geofencing ve IP filtreleme gibi iş ortaklığı dolandırıcılığı örneklerine benziyor

    • Belirli IP veya çerezleri engelleyerek testçilerin sorunu yeniden üretmesini önlüyor
    • İş ortaklığı ağı çerezlerini tespit ederek sektör paydaşlarına farklı davranış sergiliyor

  • Bu gizleme, basit bir kural ihlalinden daha ciddi bir sorun ve kasıtlı aldatmayı kanıtlıyor

    • Amazon’un geçmişte Honey’yi “güvenlik riski” diye uyarmasının nedeninin sonuçta haklı çıktığı belirtiliyor

Olası gelişmeler

  • Honey’nin, Google Chrome Web Store politikalarını (şeffaflık, işlev gizlememe) ihlal ediyor olabileceği belirtiliyor
  • Apple App Store da sıkı inceleme süreçleri uyguladığından yaptırım ihtimali bulunuyor
  • Devam eden toplu davada, Honey’nin gizleme davranışının ek kanıt olarak kullanılması bekleniyor
    • Honey’nin düzensiz davranışının nedeni net biçimde ortaya konduğu için dava yapısı sadeleşebilir

Test yönteminin açıklanması

  • Analizi yapan kişi, FiddlerScript kullanarak Honey sunucusuyla iletişimi manipüle edip puan değerlerini keyfi olarak değiştirdi
    • Bu sayede yüksek puanlı hesap senaryosu yeniden üretildi ve Honey’nin tepkisi doğrulandı
  • Bu yöntem şu anda VPT’nin otomatik alışveriş eklentisi izleme sisteminde de uygulanıyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-01-01
Hacker News yorumları
  • Eskiden bir reklam teknolojisi şirketinde çalışıyordum ve bunun çizgiyi aştığını düşünüyorum
    Sektör terimleri çoğu zaman “revealed preferences” ya da “enabling personalization” gibi ifadelerle paketleniyor ama “selective stand down” gibi bir özelliği tasarlarken mühendislerin ne düşündüğünü gerçekten merak ediyorum
    Bir şirkete bağlıyken sözleşmelerden kaçınmaya çalışan bir ürün yapmak, başlı başına bir tercihtir
    • Muhtemelen “ahlaki standartlarımı koruma özgürlüğüm yok, yerime kolayca başkası bulunabilir diye kaygılıyım, ailemin geçimi ve sağlık sigortası işime bağlı ve devletin beni koruyacağına inanmıyorum” diye düşünüyorlardı
    • Bunun 2017’deki Uber Greyball projesinden farkı olmadığını düşünüyorum
      New York Times makalesinde da görüldüğü gibi, bazı şirketler yasa ve sözleşmelerden kaçınma kültürünü olağan kabul ediyor
    • Guido Palazzo’nun The Dark Pattern adlı kitabı buna iyi bir örnek
      Bu kitap, bağlamın gücünün akıl ya da ahlaktan daha baskın olabileceğini gösteriyor
      İkinci Dünya Savaşı sırasındaki ‘kötülüğün sıradanlığı’nı hatırlatıyor. Etraftaki herkes öyle davranıyorsa, herkes her şeyi yapabilir
    • Bu, etik standartlarını yitirmiş mühendislerin başkalarının uygarlığı korumasını beklemesine benziyor
    • “Etik için önce karnın doyması gerekir” sözü aklıma geliyor
  • Orijinal MegaLag videosu buradan izlenebilir
    Böyle sistemler geliştiren bir mühendis “Biz kötü taraf mıyız?” diye düşünebilir ama görünüşe göre öyle olmuyor
    • Bu arada blog yazısının yazarı Ben Edelman videoda 33. dakikada görünüyor
      Kişisel sitesi benedelman.org/honey-detecting-testers
    • Kapitalizm, kötü işlerden ellerini yıkamakta ustadır
      Kullandığım akıllı telefonda da muhtemelen biraz köle emeği var ve sonuçta hepimiz bu yapının bir parçasıyız
    • İlk başta ‘Honey’nin bal ürünü olduğunu sanmıştım ama aslında bir indirim kuponu eklentisiymiş
  • Yaklaşık 15 yıl önce bir telekom şirketinde benzer bir affiliate marketing sorunu yaşamıştım
    Deneysel olarak tüm affiliate komisyon ödemelerini durdurduk, trafik biraz düştü ama satışlar neredeyse hiç değişmedi
    Sonunda sadece marka bilinirliğiyle bile yeterince müşteri kazanabildiğimizi gördük
  • Amazon gibi şirketlerin neden Honey’nin affiliate hesabına hâlâ para ödediğini anlamıyorum
    Bunun gerçek yönlendirme trafiği olmadığını biliyor olmalılar ama yine de ödeme yapıyorlar
  • Bu eklentinin Chrome Web Store’da onaylanmış olması, mağazanın zararlı yazılım filtrelemesine olan güvenin neredeyse sıfır olduğu anlamına geliyor
    • Ama bu zararlı yazılım değil
      Sadece pazarlama şirketlerinin birbirlerinin komisyonlarını kapması ve ayrıca kullanıcı verilerini sunucuya yüklememesi söz konusu
      Tüm kontroller istemci tarafında yapılıyor
    • Aslında Google, Honey’nin ne yaptığını kesin biliyordur
      İsterse tek bir hamleyle Chrome’dan kaldırabilir
  • Honey başlangıçta camelcamelcamel klonu olarak başlamıştı ama sistemi kötüye kullandığı için Amazon’dan atıldı
    Sonra bir kupon sitesine dönüştü ve PayPal tarafından 4 milyar dolar nakit karşılığında satın alındı
    Sonuç olarak benim affiliate gelirlerim azaldı
  • Arşiv bağlantısı burada
    • Ama bu bağlantı sürekli yanıp sönüyor ve kaydırma garip davranıyor, o yüzden okuyamıyorum
      Bunun orijinal siteden mi yoksa arşivden mi kaynaklandığını bilmiyorum
    • Acaba orijinal site açılmadığı için mi archive.org kullanıldı?
      Orijinali vptdigital.com/blog/honey-detecting-testers
      Bir sorun varsa Ben Edelman’la doğrudan iletişime geçmenizi öneririm
  • Bu Honey dolandırıcılık olayının aslında yaklaşık 1 yıl önce patladığını hatırlıyorum
    Son birkaç günde yeniden haber olması şaşırtıcı
    • YouTuber MegaLag 1 yıl önce 1. bölümü yayınlamıştı, yakın zamanda da 2. bölümü ve 3. bölümü paylaştı
      Yeni bilgiler Honey’nin imajını daha da kötüleştirdi
  • Affiliate marketing ekosisteminin tamamı bir ur gibi geliyor
    Keşke Amazon bu sistemi tamamen kapatsa
    • Yine de affiliate linklerin en adil reklam biçimi olduğunu düşünüyorum
      Ahşap işçiligi ya da boyama bloglarında gerçekten kullanılan ürünlerin bağlantılarını görmek, rastgele reklamlardan daha iyi
    • Tüketici açısından bakınca, doğrudan indirim almak daha iyi
      Resmî mağazada aynı indirim kodu sunulursa herkes kazanır
  • Orijinal makaleye şu anda erişilemiyor ama archive.is/7Y9Jq üzerinden okunabiliyor