Verstoppertje met testers: YouTuber en digitaal forensisch expert ontdekken nieuw honingschandaal

Eind 2024 heeft YouTuber MegaLag een video uitgebracht waarin een systeem werd onthuld dat veel verder gaat dan eenvoudige commissietrucs. Honey heeft sindsdien een scherpe daling van het aantal gebruikers gezien. Van ooit ongeveer 17 tot 20 miljoen Chrome-extensiegebruikers, zijn er volgens de huidige Chrome Web Store nog maar 12 miljoen over cijfers. In een nieuwe videouit de YouTuber ernstige beschuldigingen tegen het bedrijf. Om zijn technische bevindingen veilig te stellen, heeft MegaLag de bekende beveiligingsonderzoeker Ben Edelman aan boord gehaald, die de ontdekkingen uit eerste hand heeft geverifieerd.

Samen brachten ze een systeem aan het licht waarvan gezegd wordt dat het qua proporties op het Dieselgate-schandaal lijkt. Het zogenaamde SSD-systeem (Selective Standdown) is naar verluidt een verborgen logica in de broncode die Honey als een digitale dekmantel gebruikt. Het principe is naar verluidt even eenvoudig als verraderlijk: de browserextensie zou specifieke kenmerken herkennen om te bepalen of deze door een tester of een gewone gebruiker wordt gebruikt. Volgens de analyses worden vier centrale criteria gecontroleerd om potentiële testers te identificeren: de leeftijd van de account, het puntensaldo, een server-side blacklist en de aanwezigheid van cookies van professionele affiliate netwerken zoals CJ of Awin. Als Honey vermoedt dat een insider uit de branche meekijkt, gedraagt de extensie zich naar verluidt volledig in overeenstemming met de regels en overschrijft het geen trackingkoppelingen van derden. Zodra de software echter een normale shopper identificeert - zoals iemand met veel loyaliteitspunten en geen professionele cookies - schakelt het naar verluidt over op aanvalsmodus en injecteert het zijn eigen codes om commissies te grijpen die eigenlijk aan beïnvloeders zouden toebehoren.

Edelman vergelijkt dit gedrag met het Dieselgate-schandaal van Volkswagen, omdat de software naar verluidt specifiek geprogrammeerd was om testsituaties te herkennen en te manipuleren. Het bewijs zou zwaar zijn, omdat het niet gebaseerd is op giswerk, maar rechtstreeks uit de configuratiebestanden en JavaScript-code van de extensie werd gehaald. Deze manipulatieve logica is naar verluidt in de loop der jaren verfijnd; de drempelwaarde voor punten die nodig is om de manipulatie te activeren is bijvoorbeeld gestegen van ongeveer 501 punten in 2022 naar meer dan 65.000 punten op dit moment, waardoor ontdekking door toevallige testers bijna onmogelijk is geworden. Voor de onderzoekers bewijst het doelgerichte verbergen voor testers vooral dat Honey precies wist dat haar eigen gedrag in strijd was met de huidige netwerkregels en veel moeite deed om niet gepakt te worden. Naar verluidt dateert het bewijs van het Selective Standdown-protocol al van 2017. Dit gaat helemaal terug tot voordat PayPal een deel van het bedrijf in handen had.

Een ander punt van kritiek in de video is de opzettelijke misleiding van gebruikers door middel van een kunstmatig opgeblazen coupondatabase. MegaLag wijst erop dat Honey vaak verlopen of zelfs niet-functionele codes vermomt als exclusieve codes, alleen maar om de gebruiker in de verlenging te houden. Terwijl het geautomatiseerde controleproces loopt, plaatst Honey naar verluidt zijn eigen affiliate cookie op de achtergrond en overschrijft vaak links van influencers of content creators, zelfs als er geen werkende korting is gevonden. Deze procedure zou ervoor zorgen dat de commissie uiteindelijk bij PayPal terechtkomt, terwijl de oorspronkelijke tussenpersoon met lege handen staat. In een andere video liet MegaLag ook zien dat Honey naar verluidt coupons van gebruikersinvoer pakt en deze aan andere gebruikers uitdeelt. Als winkelexploitanten hiertegen proberen op te treden, worden ze naar verluidt gepest om een partnerschap met Honey aan te gaan. Het gedrag van Honey is over het algemeen twijfelachtig. Vanuit het oogpunt van de gebruiker zijn de privacyschendingen vooral onaangenaam. Het meest onaangename gevolg voor detailhandelaren is waarschijnlijk de systematische vernietiging van hun marketingstrategieën. De ongeoorloofde publicatie van privé-couponcodes leidt naar verluidt tot enorme inkomstenverliezen. Om de controle over hun eigen kortingssysteem terug te krijgen, worden detailhandelaars dan verleid tot een samenwerking met Honey. Bedrijven en content creators die afhankelijk zijn van inkomsten uit affiliate marketing worden systematisch van hun inkomsten beroofd, omdat Honey naar verluidt de commissie voor verkopen die al veilig werden geacht pas veilig stelt op het moment van betaling.