Godaan bagi Pengembang Ekstensi Chrome Open Source
(github.com/extesy)- Pemelihara Hover Zoom+ mengungkap proposal monetisasi dan akuisisi yang diterimanya untuk ekstensi tersebut dari 2015 hingga 2026, dan mengatakan ia terus menolak tawaran itu agar tidak menjual penggunanya
- Proposal-proposal itu berulang kali menawarkan cara mengubah izin browser dan basis pengguna menjadi uang, seperti menjual data pengguna anonim, memonetisasi trafik pencarian, menyisipkan tautan affiliate, menampilkan iklan dan kupon, memasang SDK, hingga mengakuisisi ekstensi
- Dokumen penawaran menekankan kata-kata seperti “anonim”, “tanpa informasi pribadi”, “tidak memengaruhi UX”, dan “patuh pada kebijakan Google”, tetapi tetap meminta data perilaku seperti error DNS, GEO, DAU/MAU, URL, referrer, browsing behavior, clickstream, dan kueri pencarian
- Pemelihara menjelaskan bahwa karena Hover Zoom+ memiliki sekitar 400 ribu pengguna di beberapa browser dan berjalan di semua halaman, ini menciptakan permukaan serangan besar dan potensi keuntungan bagi pelaku jahat
- Dalam diskusi komentar, pemeriksaan source code, peninjauan daftar izin, tab privacy practices di Chrome Web Store, ulasan terbaru, pemeriksaan permintaan jaringan, dan membatasi Site Access ke “On Click” diajukan sebagai cara praktis untuk mengurangi risiko ekstensi
Kekhawatiran yang diungkap pemelihara
- Pemelihara Hover Zoom+ mengatakan selama bertahun-tahun ia menerima banyak tawaran untuk memonetisasi ekstensi, dan menegaskan bahwa proyek ini “dibagikan untuk kesenangan, bukan demi keuntungan”
- Ia menjelaskan bahwa alasan terbesar tetap memeliharanya sendiri adalah karena sulit mempercayai bahwa jika diserahkan ke orang lain, mereka tidak akan tergoda oleh tawaran semacam itu
- Ia mengatakan dirinya memiliki pekerjaan dengan kompensasi yang cukup baik sehingga bisa menjaga “kompas moral” dan mengabaikan proposal-proposal tersebut
- Karena tidak semua pengembang memiliki stabilitas finansial yang sama, ia berharap thread ini bisa menunjukkan tekanan finansial yang diterima pengembang ekstensi
Jenis proposal monetisasi yang berulang
- Banyak proposal mendekati Hover Zoom+ dengan alasan basis pengguna Chrome Web Store-nya bisa menghasilkan “pendapatan yang signifikan”
- Pola yang berulang muncul sebagai berikut
- Mengumpulkan data pengguna anonim untuk dijual sebagai penargetan iklan, riset pasar, business intelligence, atau data clickstream
- Menambahkan pencarian Bing, Yahoo, Google, atau search lander/feed untuk bagi hasil dari kueri pencarian dan klik iklan
- Menyisipkan store logo, affiliate link, atau tautan “Sponsored” ke hasil pencarian organik agar komisi dibayarkan saat terjadi pembelian
- Menyisipkan format iklan seperti coupon, cashback, PopUnder, in-text, new tab, search injection, dan in-image monetization
- Menambahkan SDK atau beberapa baris JS untuk mengintegrasikan pengumpulan data atau penayangan iklan ke dalam ekstensi
- Mengakuisisi ekstensi itu sendiri atau menawarkan pemindahan kepemilikan Chrome extension tanpa memindahkan akun Google
- Beberapa proposal menekankan monetisasi yang tidak terlalu terlihat oleh pengguna dengan frasa seperti “soft to hard methods”, “invisible monetization methods”, dan “does not interfere with UX”
Data dan nominal yang muncul dalam proposal
- Salah satu proposal tahun 2015 mengatakan bahwa jika anonymous user data tidak dimonetisasi, pemelihara mungkin sedang “melewatkan banyak uang”, sambil menyebut jaringan iklan yang disetujui NAI dan IAB
- Proposal riset error DNS tahun 2016 meminta data berikut
- NXD, yaitu domain yang diketik pengguna tetapi tidak ada
- Waktu kejadian
- GEO
- ID pengguna acak unik yang diklaim bisa di-hash dan tidak memungkinkan pelacakan pengguna
- Dalam proposal sejak 2020, item seperti GEO, pengguna aktif harian dan bulanan, klasifikasi minat, URL, referrer, country, timestamp, browsing behavior, clickstream, dan browser history terus berulang
- Nominal penawarannya sangat beragam
- Tawaran pembelian ekstensi tahun 2016: $14,500
- Tawaran integrasi analytics platform tahun 2020: $2,000/bulan
- Tawaran monetisasi pencarian tahun 2020: mengklaim bisa menghasilkan $9,000 per hari untuk 300.000 pengguna
- Tawaran integrasi SDK data marketplace tahun 2021: $30,000/tahun
- Tawaran data tahun 2023: hingga $20K/bulan
- Tawaran kemitraan clickstream data tahun 2024: $30,000~$40,000/bulan
- Tawaran pembelian tahun 2024: $30,000
- Tawaran pembelian tahun 2025: $0.05~$0.15 per pengguna
- Pada akhir 2024, sebuah proposal monetisasi langganan memberi contoh bahwa dengan basis 400.000+ pengguna dan asumsi konversi 5%, harga $0.99/bulan akan menghasilkan sekitar $19,800/bulan, $4.99/bulan sekitar $99,800/bulan, dan $9.99/bulan sekitar $199,800/bulan
Respons pemelihara dan kriteria penilaiannya
- Menanggapi alasan tidak mengungkap nama perusahaan, ia menjawab bahwa beberapa perusahaan itu mungkin kaya dan beroperasi secara legal, dan ia tidak ingin menanggung risiko gugatan
- Ia menjelaskan bahwa iklan popup mudah disadari pengguna dan ekstensi penyebabnya gampang dinonaktifkan, tetapi metode yang tersembunyi bisa bertahan lebih lama
- Soal telemetri, pemelihara mengatakan dari sudut pandang pengguna ada keseimbangan antara kegunaan dan sifat intrusif pelacakan, tetapi dari sudut pandang pengembang, tidak menambahkan pelacakan sama sekali adalah cara terbaik untuk menjangkau basis pengguna seluas mungkin dan menghindari perdebatan soal tingkat anonimisasi
- Menanggapi komentar bahwa nama Hover Zoom+ membingungkan dengan Hover Zoom lama yang pernah terlibat kontroversi berbahaya, ia menjawab bahwa tujuannya bukan mendapatkan semua pengguna; lebih dari 300 ribu orang sudah melihat nilainya, dan karena ini ekstensi gratis tanpa pendapatan, ia tidak akan menghabiskan waktu untuk mengganti nama atau memberi pembuktian tambahan
- Dalam komentar tahun 2023, pemelihara merangkum dua alasan mengapa Hover Zoom+ bernilai tinggi
- Sekitar 400 ribu pengguna jika digabung di semua browser
- Aktif bukan hanya di situs tertentu, tetapi di semua halaman
- Ia menjelaskan bahwa gabungan dua faktor ini menciptakan permukaan serangan potensial yang besar terhadap pengguna akhir, sekaligus berarti potensi pendapatan yang besar bagi pelaku jahat
Tanda bahaya bagi pengguna dan pengembang
- Salah satu komentar menyoroti bahwa setelah ekstensi diakuisisi, versi berikutnya bisa saja memasukkan adware atau skrip botnet, dan karena izin lama sudah ada, itu dapat berjalan tanpa popup permintaan izin tambahan
- Komentar lain menjelaskan bahwa beberapa tawaran data bisa terkait dengan penjualan data pengguna untuk tujuan AdTech/RTB, sambil menautkan materi adtech dari Privacy International
- Menanggapi proposal yang meminta data error DNS, sebuah komentar menafsirkan bahwa tujuannya bisa untuk mendaftarkan domain typo umum atau domain kedaluwarsa lalu mencegat perpindahan pengguna
- Komentar yang menyebut kasus The Great Suspender menyoroti bahwa beberapa transaksi tidak menargetkan pemasangan SDK, melainkan pengambilalihan repository atau kepemilikan ekstensi
- Salah satu proposal tahun 2026 menyebut izin you.com, membaca isi halaman, menangkap keystroke, mengirim ke server eksternal, mengakses session cookie, dan pola pengumpulan browsing history, tetapi catatan pemelihara menambahkan bahwa Hover Zoom+ tidak melakukan hal-hal itu dan justru ini menunjukkan data seperti apa yang ingin dibeli perusahaan tersebut
Cara memeriksa apakah ekstensi sudah dimonetisasi
- Pemelihara mengatakan cara paling tepercaya adalah membaca source code
- Selain itu, ia menyarankan beberapa sinyal pemeriksaan berikut
- Periksa tab privacy practices di Chrome Web Store untuk melihat apakah pengembang menyatakan tidak mengumpulkan atau menggunakan data
- Periksa apakah ada public source
- Periksa apakah daftar izin ekstensi meminta izin mencurigakan yang tidak sesuai dengan fungsinya
- Periksa apakah ada pola keluhan berulang tentang perilaku ekstensi di ulasan pengguna terbaru
- Gunakan perkiraan risiko dari situs seperti chrome-stats
- Pemelihara menambahkan bahwa semua sinyal ini bisa dimanipulasi, jadi lebih cocok untuk mengidentifikasi masalah daripada membuktikan tidak bersalah
- Komentar lain menyarankan bahwa karena source code bisa sulit dibaca akibat Webpack dan sejenisnya, mungkin lebih mudah memeriksa permintaan jaringan yang dibuat ekstensi
- Komentar yang sama juga menjelaskan untuk memeriksa request dari background atau service worker, dan karena banyak ekstensi berjalan di semua halaman melebihi kebutuhan, Chrome Site Access bisa dibatasi ke “On Click”
Reaksi komunitas dan diskusi lanjutan
- Banyak komentar mendukung pemelihara karena tidak menjual penggunanya dan karena mengungkap tawaran-tawaran tersebut
- Seorang pengguna mengatakan bahwa pengguna dan pengembang ekstensi perlu lebih sadar terhadap praktik seperti ini
- Pemelihara menjawab bahwa situasi seputar ekstensi berbahaya sudah cukup buruk, dan lebih banyak orang perlu mengetahuinya
- Menanggapi komentar bahwa topik ini sudah muncul di Hacker News, pemelihara mengatakan ia berharap pengembang lain terinspirasi untuk mengambil “stand”
- Seorang pengembang ekstensi lain mengatakan bahwa ia juga menerima banyak tawaran serupa untuk ekstensi miliknya yang punya 170 ribu pengguna, dan meski godaannya besar saat masih mahasiswa miskin, ia akhirnya memonetisasi dengan cara lain yang tidak intrusif
1 komentar
Komentar Hacker News
ChatGPT for Google sempat menjadi peringkat #1 di HN awal tahun ini, dan kalau melihat repositori GitHub-nya sekarang, ekstensi itu sudah dijual
Saya juga pernah punya ekstensi proyek sampingan gratis dengan sekitar 25.000 instalasi, dan cukup sering dihubungi orang yang ingin “membantu monetisasi”
Jadi saya merasa ada baiknya merangkum berbagai jalur monetisasi yang terasa mencurigakan: https://mattfrisbie.substack.com/p/the-ugly-business-of-mone...
Industri teknologi iklan memang secara keseluruhan benar-benar menjijikkan
Uang itu bisa membuat urusan uang muka rumah jadi jauh lebih ringan
Selalu baik untuk memikirkan di mana batas etika kita sendiri
Jelas banyak tawaran sampah seperti ini yang diotomatisasi
Bentuknya kira-kira seperti, “Saya penggemar [extension name], dan saya sangat suka betapa praktis dan bergunanya ekstensi ini.
Pernahkah Anda mempertimbangkan untuk menyediakan ruang promosi bagi orang-orang yang ingin mempromosikan produk mereka di ekstensi Anda? Saya ingin mempromosikan ekstensi saya di [extension name], dan ingin mendiskusikan kemungkinan ini.
Kalau tertarik, beri tahu saya.”
Sebagai catatan, ekstensi JSON Formatter [0] yang mungkin dipakai sebagian orang di sini adalah milik saya
Saya membuatnya 12 tahun lalu, merilisnya sebagai open source, terus memeliharanya sampai sekarang, dan [1] saat ini penggunanya 2 juta orang
Saya bersumpah dengan sungguh-sungguh tidak akan pernah menambahkan kode yang mengirim data apa pun ke mana pun, dan juga tidak akan menyerahkannya ke tangan orang yang akan melakukan hal seperti itu
Saya sudah beberapa kali mendapat tawaran uang tunai yang menggiurkan dari orang-orang mencurigakan yang tampaknya ingin mencuri data semua orang, atau melakukan hal yang lebih buruk
Kadang saya berpikir seandainya dulu tidak mencantumkan nama saya. Kalau begitu mungkin saya bisa mengambil uangnya tanpa merusak reputasi
Tapi karena sudah mencantumkan nama, satu-satunya pilihan adalah tetap menjaga kehormatan. Sisi baiknya, saya selalu bisa mengatakan bahwa saya tidak pernah menjualnya
[0] https://chrome.google.com/webstore/detail/json-formatter/bcj...
[1] Sejujurnya, tidak banyak usaha yang saya keluarkan
Karena hanya satu baris, jadi memang tidak ada yang perlu berubah
Namun Chrome Web Store menghapusnya setelah lebih dari 5 tahun, kemungkinan karena saya tidak pernah merilis pembaruan sehingga kolom-kolom yang kemudian menjadi wajib dibiarkan kosong
Salut karena tidak menjualnya
Saya penasaran apakah Anda pernah terpikir untuk mulai mempublikasikan tawaran akuisisi seperti yang saya lakukan
Jelas Anda memberikan nilai bagi dunia, dan menurut moral saya, Anda seharusnya berhak mengambil kembali sebagian nilai itu tanpa melakukan hal mencurigakan
Saya pendiri Streak, dan seperti Grammarly serta tempat-tempat lain, kami memonetisasi ekstensi kami secara langsung
Saya penasaran apakah Anda pernah mencoba meminta pengguna membayar langsung atas usaha yang Anda keluarkan
Rasanya di industri ini semakin hari semakin sulit mempertahankan kesadaran etika yang kuat
Atau apakah itu bisa disisipkan begitu saja secara diam-diam
Setidaknya saya berharap ada notifikasi pop-up yang bisa menjadi tanda bahaya
Saya maintainernya
Ekstensi saya pada dasarnya hampir tidak mungkin dimonetisasi, jadi tawaran apa pun akan membutuhkan pengorbanan moral sampai taraf tertentu
Tawaran paling tidak invasif yang pernah saya lihat sejauh ini adalah memasang tautan silang ke ekstensi lain di dalam ekstensi saya, mirip dengan yang dilakukan DarkReader di situs webnya
Walaupun itu tidak melanggar data pengguna, alasan saya tidak melakukannya adalah karena itu sama saja seperti memberi dukungan tidak langsung kepada ekstensi lain tersebut, sementara saya tidak punya kendali atas bagaimana mereka menangani data pengguna
Kalau gerakan ini membesar, itu akan membantu mematahkan anggapan umum yang jarang diucapkan bahwa “pada akhirnya semua orang akan menjual”
Sekarang saya tidak memakai Chrome, tetapi dulu saya sangat menyukai Hover Zoom+, dan istri saya masih memakainya dengan baik
Itu ekstensi yang bagus, dan setelah membaca komentar ini serta issue GitHub yang ditautkan, saya jadi lebih tenang
Saat itu saya pindah ke imagus dan sudah terbiasa
Bagaimanapun, terima kasih sudah menolak upaya monetisasi
Saya tidak tahu solusi untuk masalah ini, tetapi saya tahu beberapa perusahaan legal tepercaya yang sudah memonetisasi pengguna dengan uang sungguhan sekaligus menjual data pengguna sekitar 20 pound per tahun
Saya pribadi tidak akan pernah melakukannya karena pelanggaran privasi bertentangan dengan inti keyakinan saya, tetapi ada konflik yang belum terselesaikan
Di satu sisi, saya tahu mayoritas pengguna lebih suka menjual privasi mereka daripada membayar sepeser pun
Mereka kapan saja akan dengan senang hati menekan tombol “jual data saya” daripada tombol “bayar”
Saya bisa bilang saya tahu begitu karena sudah berurusan dengan cukup banyak pengguna
Banyak pengguna akan ribut kalau tidak gratis, tetapi tidak kehilangan tidur karena menyerahkan informasi pribadi
Tentu saja, ini secara umum bicara tentang mayoritas
Di sisi lain, saya ingin internet menjadi tempat di mana pelaku tidak bermoral tidak tumbuh subur
Di dunia nyata, kebanyakan orang tidak berharap mendapatkan sesuatu secara gratis, jadi mengapa internet harus berbeda
Mengapa semua orang, termasuk saya sendiri, selalu mencari yang gratis di internet
Yang terburuk adalah pada akhirnya satu-satunya pihak yang mau mengeluarkan uang secara online adalah pencuri data dan pengiklan
Sisanya menyerahkan jiwa mereka
Pengembang diharapkan bekerja gratis agar seluruh struktur ini tetap berjalan
Selain itu, istilah “data” juga kabur bagi pengguna biasa
Regulasi seperti di UE dan California seharusnya memaksa hal semacam ini
Jika pilihannya disajikan seperti “Inilah data yang kami miliki tentang Anda: termasuk hasil pelacakan menyeramkan a,b,c,d... Jika Anda mengizinkan kami melanggar privasi Anda dengan berbagai cara, kami akan memberi Anda pernak-pernik kecil ini secara gratis. Atau bayarlah x rupiah”, berapa banyak orang yang akan memilih pelanggaran privasi
Sebagian besar internet adalah komunikasi dalam satu bentuk atau lainnya
Di dunia nyata pun banyak komunikasi didapatkan secara gratis
Justru saya penasaran mengapa semua orang menganggap internet sebagai platform untuk menjadi kaya dengan menjual pernak-pernik kepada penduduk pribumi yang tidak tahu apa-apa
Beberapa hal mungkin lebih baik dijalankan secara nirlaba
Di Firefox tampaknya sudah ada hal seperti ini(https://mzl.la/3Acn4DU)
Saya tidak tahu ada auditor untuk ekstensi Chrome
Organisasi atau kelompok tepercaya seperti Google atau Mozilla bisa mengaudit ekstensi dan “menyertifikasi” bahwa tidak ada malware
Selain itu, ekstensi harus 100% open source, dan bahkan jika organisasi tepercaya itu disusupi atau tidak menjalankan tugasnya, pada akhirnya akan ketahuan dan orang-orang akan berhenti menggunakannya
Tentu saja ini tidak sempurna
Adware bisa disembunyikan bahkan dari auditor, atau auditor bisa disusupi tanpa ada yang tahu
Makin banyak kode kompleks dalam suatu ekstensi, makin besar biaya dan waktunya, sehingga ekstensi populer yang tidak bermasalah pun mungkin tidak mendapat sertifikasi
Perubahan juga harus selalu diaudit, sehingga pembaruan menjadi lambat dan terhambat
Masalah terakhir yang mudah terlewat adalah auditor bisa bias dalam menyetujui ekstensi tertentu, misalnya pihak yang membayar
Jika kodenya terlalu sulit dibaca atau berada di belakang antrean peninjauan, ekstensi bisa tidak disetujui; dan standar “terlalu sulit dibaca” serta posisi antrean dapat dengan mudah dipengaruhi oleh uang
Meski begitu, ekstensi web adalah jenis perangkat lunak yang lebih cocok diaudit dibanding aplikasi lain
Umumnya jauh lebih kecil dan sederhana, membutuhkan lebih sedikit pengguna, dan berjalan di ranah yang sangat tepercaya, yaitu semua penjelajahan web termasuk perbankan dan situs rahasia
Dibanding aplikasi ponsel yang tersandbox atau program mode pengguna di komputer, dampaknya masih ada tetapi jauh lebih kecil
Kalau membayar sesuatu, pada akhirnya Anda tetap menyerahkan informasi identitas
Pertukaran nilainya jelas berat sebelah, tetapi jika untuk mendapatkan X Anda harus membagikan identitas sekaligus membayar uang, berarti Anda kehilangan uang dan juga membagikan identitas
Jika membagikan identitas dan mendapatkan X secara gratis, setidaknya Anda tidak kehilangan uang
Dalam kenyataannya, biasanya pilihannya adalah tetap menjual data meski membayar, atau jika memakai gratis maka menjual data dalam jumlah yang sangat besar
Sebagian besar layanan berbayar juga menuliskan dalam kebijakan privasi, syarat layanan, dan perjanjian pengguna bagaimana mereka menjual data dengan cara yang sama
Dalam skenario terbaik, kita hanya bisa berharap karena arus kas mereka tidak terlalu desperate, mereka akan sedikit lebih selektif soal kepada siapa data dijual
Namun dampaknya bagi pengguna lebih besar
Sekarang mereka memiliki kartu kredit, alamat, nama asli, dan nomor telepon, dan semua itu rentan terhadap peretasan dan kebocoran
Karena informasi seperti ini lebih sulit dipalsukan dibanding saat memakai akun gratis, nilai data yang dikumpulkan lebih tinggi, dan godaannya pun lebih besar
Selain itu, layanan berbayar memiliki sistem langganan yang memusuhi konsumen dan dipenuhi dark pattern
Jika tidak suka dan ingin membatalkan, prosesnya dibuat tidak perlu rumit, bahkan uji coba gratis pun meminta kartu kredit
Transparansi soal ke mana uang sebenarnya digunakan juga sangat rendah
Banyak layanan beroperasi merugi, dan biaya dari pelanggan hanya kosmetik; uang sungguhan datang dari investor
Bagi sebagian perusahaan, model berbayar nyaris hanya kedok, dan exit sebenarnya mungkin adalah dikuisisi oleh agregator data setelah mengumpulkan data selama bertahun-tahun
Di sisi lain ada juga orang-orang yang memancing korban dengan harga yang dibesar-besarkan secara konyol
Karena alasan-alasan ini, pilihan untuk membayar telah tercemar oleh ketidakpercayaan, bukan semata-mata karena konsumen pelit dan merasa berhak
Ketidakpercayaan dapat dengan cepat membuat pasar mana pun mandek
Meski begitu, saya tidak terlalu menyalahkan industrinya
Seperti California pada 1848, sulit menyalahkan orang yang memungut emas yang berserakan
Masalah sebenarnya adalah tidak adanya alat, infrastruktur, dan kerangka regulasi yang memungkinkan pengguna melihat dan mengontrol bagaimana data mereka digunakan
Jika orang benar-benar ingin menjual data mereka alih-alih membayar, biarkan saja
Namun saat ini sebagian besar pengguna tidak tahu data apa persisnya yang dikumpulkan atau berapa nilainya
Mereka tidak berada dalam posisi untuk secara rasional memutuskan bahwa membeli aplikasi seharga 5 dolar lebih baik daripada mengalami penambangan data senilai 20 dolar
Yang mengganggu adalah ketika aplikasi menyembunyikan monetisasi data, menjadikannya wajib, atau tidak menyediakan cara memakai layanan tanpa menyetujuinya
Terutama layanan yang bahkan tidak memberi pilihan untuk tidak berpartisipasi—itu yang paling buruk
Misalnya, tempat kerja saya baru saja mengadopsi layanan “The Work Number” milik Equifax, jadi entah saya membuat akun atau tidak, data saya sudah ada di sana
Yang lebih buruk, kalau saya tidak membuat akun, masih ada celah bagi seseorang untuk mencoba membuat akun demi mengumpulkan lebih banyak informasi tanpa persetujuan saya
Apa pun pilihan orang atas data mereka sendiri, saya tidak merasa punya kewajiban moral untuk memaksakan pandangan saya
Kalau mereka benar-benar setuju dan ingin menghemat 20 dolar, atau berapa pun nilai data itu di aplikasi, mengambil opsi itu dari mereka hanya karena saya tidak setuju dengan cara mereka menangani informasi privasi juga tidak jauh berbeda dari pemaksaan karena alasan yang sama
Perbedaan yang penting bagi saya adalah apakah saya mendapat keuntungan dari situ, tetapi jika di tiap kasus ada pilihan, sebenarnya itu tidak penting bagi cara pengguna menimbang situasinya
Jika Anda mengelola situs web, Anda akan terus menerima email seperti ini
“Halo,
Saya ingin menanyakan apakah Anda menerima kontribusi guest post atau penyisipan tautan pada artikel yang sudah ada. Jika memungkinkan, saya ingin mengetahui lebih lanjut tentang pedoman dan topik yang diminati.
Terima kasih atas waktunya. Saya menantikan balasan Anda.
Terima kasih.”
Yang seperti ini jelas spam massal. Di situs saya bahkan tidak ada blog
Di situs saya juga ada beberapa unduhan perangkat lunak Windows, dan sesekali saya juga menerima email tawaran bundel installer yang mencurigakan
Kebanyakan adalah layanan proksi residensial yang ingin menjual akses ke koneksi internet pengguna
Mereka memasukkan begitu banyak konteks sehingga tampak seperti orang sungguhan, pada akhirnya membuang banyak waktu, dan jujur saja cukup menyakitkan
Kami menghabiskan banyak waktu untuk berbagi materi, jadi koneksi palsu seperti ini terasa sangat menjijikkan
Belakangan ini kami dibanjiri email semacam “daftar kandidat penghargaan” yang ditulis AI dengan konteks mendalam
Polanya, dengan satu pembayaran mudah, mereka akan mempertimbangkan kami sebagai kandidat penghargaan
Namun mereka selalu lupa menyesuaikan topik bahwa kami bukan menjalankan layanan keamanan perangkat lunak, melainkan membahas web scraping
Sepertinya AI akan membunuh komunikasi email antarorang asing
Makin lama makin melelahkan
Jabatan di bagian akhir lucu
“Judul: Saya menemukan kerentanan keamanan di situs web Anda.
Halo tim,
Saya Harris, seorang peneliti keamanan, dan saya menemukan kerentanan keamanan di situs web Anda di luar program bug bounty.
Saya juga dapat mengungkap semua kerentanan yang saya temukan beserta cara perbaikan yang tepat agar situs web Anda menjadi lebih aman.
Perusahaan-perusahaan yang pernah saya bantu selalu murah hati, dan memberi saya imbalan dengan jumlah yang mereka anggap pantas untuk masalah yang saya temukan. Jika Anda menghargai bantuan saya, saya akan senang menerima pembayaran bonus melalui PayPal, Bitcoin, Payoneer, atau transfer bank.
Saya menantikan tanggapan positif Anda.
Terima kasih,
Harris A
Certified Ethical Hacker”
Operator TOR tahu risiko berbagi koneksi, terutama risiko pedofil menggunakan layanan itu untuk membagikan CSAM
Tapi orang biasa tidak tahu
Mereka sama sekali tidak tahu sampai suatu hari ditangkap
Saya juga menerima email seperti ini, tetapi karena saya menjalankan situs WordPress, saya yakin mereka mem-fingerprint situs web lalu hanya mengirim email ke situs WordPress
Jadi di daftar tugas saya ada pengecekan apakah fingerprint WordPress bisa disembunyikan
Namun melihat komentar seperti ini, jelas itu tidak akan banyak berguna
Kalau dipikir lagi, semestinya sudah jelas bahwa spammer seperti ini akan menyebarkannya secara massal ke semua orang
Masalah mendasar di sini adalah tidak ada cara untuk memonetisasi ekstensi browser secara sah
Karena ekstensi dirancang agar sederhana, sulit menjual fitur premium, dan biasanya tidak punya ruang sendiri untuk memasang iklan
https://developer.chrome.com/docs/webstore/money/
“Dalam 11 tahun sejak Chrome Web Store diluncurkan, web telah berkembang pesat. Saat itu, kami ingin menyediakan cara bagi developer untuk memonetisasi item Web Store. Namun sejak itu ekosistem telah tumbuh, dan developer kini memiliki banyak opsi pemrosesan pembayaran yang dapat digunakan.”
Pelaku jahat yang mengirim email seperti ini bersedia membayar untuk nilai yang diberikan data pengguna kepada mereka
Kedua angka ini sama sekali tidak berkaitan, dan nilai data pengguna sering kali jauh lebih tinggi daripada nilai fungsi ekstensi
Tidak ada cara menyelesaikan masalah ini lewat monetisasi
Karena dua calon pelanggan itu tidak membeli produk yang sama
Sebagian besar ekstensi itu sederhana dan sebenarnya tidak membutuhkan pembaruan
Namun mekanisme pembaruannya diam-diam sepenuhnya otomatis dan tidak ada rollback
Bahkan Steam pun tidak terlintas di benak saya sebagai sesuatu dengan pembaruan seagresif ini
Saya menjalankan API lisensi perangkat lunak, dan ada cukup banyak pelanggan ekstensi browser dengan basis pengguna yang lumayan besar
Seperti kanal distribusi lainnya, peluang monetisasi memang ada
Tawaran ini menarik karena terlihat tidak berbahaya, bahkan mungkin berguna
Katanya ini pemantauan error DNS, apa yang saya lewatkan?
“Sepertinya Anda sering menerima tawaran bisnis, jadi saya akan langsung ke intinya. Tawaran saya sedikit berbeda dan semoga benar-benar menarik. Menurut saya Hover Zoom+ adalah alternatif yang sangat baik untuk kakaknya yang lebih besar, Hover Zoom, yang dalam beberapa bulan terakhir mulai kehilangan daya tarik.
Kami sedang menjalankan riset error DNS, dan kami tertarik pada sejumlah kecil data anonim yang mungkin bisa disediakan melalui ekstensi Chrome Anda. Riset kami sudah berjalan selama bertahun-tahun dan Google tidak pernah mempermasalahkannya.
Data yang kami minati pada dasarnya hanyalah error DNS:
Itu saja. Anda bisa memakai skrip kami, atau mengumpulkan sendiri datanya dan mengirimkannya melalui server FTP, API, dan sebagainya. Ada banyak cara. Pembayaran dilakukan bulanan, dan besarannya bergantung pada GEO pengguna, tetapi kira-kira beberapa ribu dolar per tahun.
Apakah ini layak didiskusikan, meski sebentar? Saya tunggu balasannya.
Beberapa waktu lalu kami menghubungi Anda terkait riset error DNS yang dijalankan perusahaan kami. Hover Zoom+ akan menjadi media yang ideal untuk riset kami. Sebagai imbalannya, ini bisa menjadi sumber pendapatan baru yang solid bagi Anda.
Metode kami sudah berjalan selama bertahun-tahun dan tidak pernah bermasalah dengan Google. Kami membayar rutin secara bulanan. Bagi Anda, nilainya bisa mencapai puluhan ribu dolar per tahun, bergantung pada basis pengguna dan kualitas data.
Jika Anda khawatir soal penyertaan skrip pihak ketiga, masih ada banyak cara untuk mewujudkannya.
Tolong beri tahu apakah ini layak didiskusikan, meski sebentar.”
Misalnya domain-domain yang sering salah ketik
Itu tidak dilarang, tapi tetap agak mencurigakan
Mereka melihat domain yang sering salah diketik pengguna dan mendapat respons NX, lalu mendaftarkannya untuk menampilkan iklan atau melakukan phishing, dan sebagainya
Jadi, bahkan dalam skenario terbaik pun ada kepentingan bisnis tertentu, dan dalam skenario terburuk kemungkinan ada tindakan yang merugikan pengguna
Tidak sulit menulis skrip yang tampak melakukan satu hal di permukaan, sambil diam-diam membawa informasi lain
Misalnya menulis fungsi hash yang buruk? Sangat mudah
Selalu ikuti gradien ATP
Kalau ekstensi dengan sekitar 300 ribu pengguna saja mendapat begitu banyak tawaran agresif seperti ini, saya jadi penasaran sekeras apa tawaran untuk ekstensi yang mencapai jutaan pengguna
Insentif di ekosistem ekstensi tampak benar-benar melenceng
Kotak masuk email resmi Ruffle juga penuh dengan tawaran seperti ini
Nilai yang ditawarkan untuk ekstensi yang gratis sekaligus perangkat lunak bebas begitu besar, sampai-sampai saya hanya bisa berpikir bahwa para pembeli ingin memasukkan banyak malware yang tidak langsung diblokir oleh Google atau Mozilla[0]
Secara pribadi, menurut saya pengalihan kepemilikan ekstensi tidak boleh diizinkan tanpa persetujuan dan verifikasi terlebih dahulu atas struktur kepemilikan baru
Entri baru tidak punya ulasan atau kepercayaan, jadi transfer ekstensi yang sudah ada seharusnya sengaja dibuat lebih sulit daripada membuat ekstensi baru
Sebagai seseorang yang kadang merasakan sendiri kerepotan praktis dari kebijakan seperti ini[1], saya mengatakan ini sambil memahami betapa menyebalkannya melewati prosedur birokratis
Pasar gelap jual-beli ekstensi sangat mencurigakan, dan terlalu mudah mempermainkan kepercayaan pengguna
[0] Sayangnya, pendaftaran AMO kami sudah ditandai sebagai kode yang dihasilkan mesin. Itu karena kami memakai Rust/WASM. Jadi pengajuan ekstensi hanya disetujui ketika Mozilla dapat mereproduksi build kami byte demi byte
[1] https://ruffle.rs/blog/2023/04/23/mozilla-extension-postmort...
Ini mengingatkan saya pada rencana kotor yang pernah saya pikirkan saat SMP
Saya sampai tahap 2, lalu memutuskan berhenti di sana
Sangat sulit membedakan perilaku mana yang memang disengaja dan mana yang bukan
Saya ingat bertahun-tahun lalu mencoba mencari plugin motd yang hanya menampilkan pesan saat masuk ke server
Saya menemukan satu plugin yang cukup sederhana, tetapi plugin itu mengirim ping ke rumah untuk mengecek pembaruan
Mungkin pengembangnya memang ingin menambahkan fitur berguna, tetapi sisi sinis saya percaya bahwa tujuannya adalah mendapatkan alamat IP server yang menjalankan plugin itu
Ada juga perintah debug tanpa autentikasi, dan bisa mencetak isi file motd apa pun di dalam folder
Namun karena escaping string-nya tidak benar, dengan
../...kita bisa keluar dari direktori dan mencetak file apa punSaya tidak tahu apakah pembuatnya benar-benar mengeksploitasinya, atau hanya anak 14 tahun polos yang sedang menulis plugin pertamanya
Kalau memang berniat mengeksploitasi, saya juga tidak tahu file apa yang ingin ia cetak, tetapi yang jelas itu sangat mencurigakan
Beberapa orang bisa mengakses WorldEdit, mode kreatif, perintah admin, dan sebagainya
Di luar server anarki lama, komunitas mod Minecraft saat ini juga mengalami beberapa serangan rantai pasok, kerentanan deserialisasi, dan lain-lain