1 poin oleh GN⁺ 2025-05-17 | 1 komentar | Bagikan ke WhatsApp
  • Vates mengungkap kasus sebuah perusahaan antariksa bersifat semipemerintah dengan pendapatan tahunan sekitar 130 juta dolar AS yang berulang kali menggunakan uji coba gratis Xen Orchestra Appliance selama hampir 10 tahun
  • Organisasi tersebut mengoperasikan ratusan host fisik dan sekitar 4.000 VM, serta menjalankan sebagian besar stack IT-nya di platform Vates, tetapi bukan pelanggan berbayar maupun pengguna gratis yang memasang dari source
  • Penggunaan uji coba berulang dimulai pada April 2015 dengan email perusahaan, lalu berlanjut memakai alamat Outlook·Gmail pribadi dan akun bertambah seperti johndoe01, johndoe02, dengan nama perusahaan yang sama dimasukkan setiap kali
  • Xen Orchestra dapat digunakan gratis dengan semua fitur jika dipasang dari source, tetapi XOA adalah produk berbayar yang menyediakan VM prakonfigurasi yang telah diuji, update sekali klik, dukungan, dan stabilitas
  • Vates menilai trial farming seperti ini mengguncang keberlanjutan open source, dan dapat mempertimbangkan pembatasan uji coba yang lebih cerdas tanpa menghalangi pengguna yang jujur

Penggunaan uji coba Xen Orchestra Appliance yang berulang selama 10 tahun

  • Vates memperkenalkan kasus ini dengan latar beban pemeliharaan proyek open source serta meningkatnya kontribusi palsu dan laporan keamanan berbasis AI
  • Organisasi yang dimaksud adalah perusahaan bersifat semipemerintah, dengan pendapatan tahunan sekitar 130 juta dolar AS, yang membuat dan mengoperasikan peralatan mahal terkait antariksa
  • Organisasi ini memiliki ratusan host fisik dan hampir 4.000 VM, serta menjalankan sebagian besar stack IT-nya di platform Vates
  • Namun, mereka bukan pelanggan berbayar, dan juga tidak menggunakan versi open source penuh secara langsung dari source

Perbedaan antara XOA dan pemasangan gratis dari source

  • Produk yang berulang kali diuji coba oleh organisasi tersebut adalah Xen Orchestra Appliance(XOA)
    • Mesin virtual turnkey dengan Xen Orchestra yang sudah terpasang
    • Diuji secara berkala
    • Mudah dideploy dan diupdate
    • Beroperasi sepenuhnya secara on-premises
    • Pengalaman yang didukung dan distabilkan untuk tim yang tidak ingin melakukan git pull pada branch master di production
  • Pengguna gratis dapat mengikuti dokumentasi untuk build dari source dan menggunakan semua fitur secara gratis
    • Tidak ada jaminan stabilitas maupun dukungan profesional
    • Semua fitur itu sendiri tetap tersedia
  • Yang dijual Vates bukanlah hak akses fitur, melainkan VM prapaket yang telah diuji, update sekali klik, penghematan waktu, pengurangan risiko, dan pengalaman dukungan

Pola akun dari email perusahaan ke email pribadi

  • Penggunaan uji coba berulang dimulai pada April 2015
  • Pada awalnya, mereka meminta uji coba gratis menggunakan email perusahaan
    • Muncul satu atau dua permintaan, dan pada awalnya tidak terlihat mencurigakan
    • Seiring waktu, beberapa akun terakumulasi, termasuk developer, administrator sistem, dan manajer
  • Setelah email perusahaan habis, mereka menggunakan alamat Outlook atau Gmail pribadi
    • Memulai uji coba 30 hari baru dengan email pribadi orang sungguhan
    • Menaikkan handle seperti johndoe01@outlook.com, johndoe02@outlook.com
    • Saat ini sudah jauh melewati johndoe60
  • Di formulir pendaftaran, nama perusahaan bukan kolom wajib, tetapi mereka memasukkan nama perusahaan yang sama setiap kali

Tetap mengakali meski sudah mendapat dukungan

  • Vates mendukung organisasi tersebut sebagaimana mereka mendukung pengguna evaluasi
    • Menjawab pertanyaan
    • Memberikan arahan penggunaan
    • Menghabiskan hampir satu hari untuk dukungan pada tahap awal ketika situasinya adalah “sedang menguji dan mungkin mempertimbangkan pembelian”
  • Seiring waktu, pertanyaan dan konfigurasi serupa berulang, dan hasil pencarian catatan mengonfirmasi setidaknya 60 akun terpisah yang terkait dengan organisasi yang sama
  • Saat Vates menghubungi mereka, organisasi tersebut meminta maaf secara samar dan menjawab bahwa mereka akan beralih ke versi source
  • Mereka tidak menunjukkan minat pada dukungan profesional maupun kemungkinan diskon volume, dan setelah itu tidak benar-benar beralih ke versi source
  • Sebaliknya, mereka terus meminta uji coba gratis dengan memakai alamat Outlook pribadi dan handle email yang bertambah

Keberlanjutan open source dan pembatasan ke depan

  • Situasi ini berbeda dari kasus mengakali SaaS umum yang tidak bisa di-self-host
    • Xen Orchestra dapat di-self-host sepenuhnya secara gratis
    • Tidak ada batasan fitur; pengalaman upgrade saja yang kurang nyaman dibanding XOA
  • Fakta bahwa mereka berulang kali membuat akun uji coba alih-alih membaca dokumentasi singkat dan mengetik beberapa perintah juga menunjukkan nilai kenyamanan XOA
  • Organisasi yang sama selama 10 tahun terakhir terus meminta uji coba gratis menggunakan akun Outlook·Gmail pribadi sambil tetap memasukkan nama perusahaan asli
  • Perilaku seperti ini melemahkan fondasi yang membuat open source berkelanjutan
  • Ke depannya, pembatasan yang lebih cerdas untuk mencegah trial farming dapat diperkenalkan
    • Ini bukan langkah untuk menghalangi pengguna yang jujur
    • Ini adalah langkah agar energi bisa digunakan untuk pengembangan software, dukungan bagi pengguna nyata, dan pemeliharaan open source

1 komentar

 
GN⁺ 2025-05-17
Komentar Hacker News
  • Sepertinya sudah saatnya memberi tekanan ala Larry Ellison. Minimal, paksa mereka keluar uang receh sekalipun
    Perusahaan itu sedang mencuri. Mengingat selama ini mereka sudah berupaya membantu perusahaan dengan menyediakan opsi OSS, mereka sebenarnya sudah cukup berprinsip dan murah hati. Ini jelas penyalahgunaan, jadi tidak perlu ditoleransi
    Melihat rekam jejaknya, sebaiknya 10 tahun pencurian dan tindakan pengelakan itu diringkas dalam sebuah surat penghentian dan penarikan (C&D) singkat, lalu diberi tahu bahwa jika dalam 15 hari mereka tidak berhenti atau membeli lisensi, maka akan ditagih biaya lisensi 10 tahun, bunga, dan denda. Terutama jika pada hari ke-16 mereka harus mematikan perangkat lunaknya, pasti akan ada seseorang yang menghubungi
    Nilainya tampak besar, tetapi ini juga soal etika dan tanggung jawab. Jika saya CEO, saya akan menimbang apakah tanggung jawab saya lebih besar kepada karyawan dan pemegang saham, atau kepada perusahaan antariksa itu. Sekalipun perusahaannya sangat kaya, sebagai CEO saya rasa ada kewajiban kuat untuk mencoba memulihkan aset yang telah dicuri
    Jika ini perusahaan AS, perilaku seperti ini kemungkinan bisa terkena ketentuan anti-pengelakan DMCA. Kalau begitu, individu tertentu juga bisa memikul tanggung jawab pidana. Saya menganggap DMCA sebagai hukum buruk yang memungkinkan perusahaan menciptakan tanggung jawab pidana lewat kontrak lisensi, tetapi itulah hukum yang berlaku di AS saat ini, dan jika pengacara menjelaskan bagian itu, besar kemungkinan pengacara lawan akan segera mau bernegosiasi

    • Setuju. Ini pencurian yang terang-terangan, jadi perusahaan itu kemungkinan besar akan hampir langsung memilih damai. Biaya pemulihannya saja bisa benar-benar mencapai jutaan dolar, dan dengan denda jumlahnya bisa lebih besar lagi
      Rasanya ini tidak akan sampai ke pengadilan. Tindakannya sendiri tidak bisa dibela, dan satu-satunya isu hanya berapa banyak yang harus dibayar ke perusahaan OP
    • Kirim saja tagihannya dulu. Penyusunannya tentu perlu nasihat hukum. Lalu kirim tagihan baru setiap bulan dengan biaya tambahan terbaru, dan setelah beberapa kali, tekan dengan ancaman akan dilimpahkan ke penagihan
      Mungkin butuh waktu, tapi pada akhirnya tetap bisa ditagih
  • Kutipan “Saya tidak akan membuang waktu berhari-hari untuk mengejar mereka. Tapi setelah titik tertentu, ini bukan lagi soal menghemat recehan, melainkan seni pertunjukan” benar-benar membuat saya berharap mereka dikejar
    Ini kemungkinan besar jelas melanggar ketentuan uji coba gratis, jadi harus dibawa ke pengadilan. Kalau tidak, setidaknya nama perusahaannya harus diumumkan supaya dipermalukan. Manajer bodoh yang merancang pencurian konyol seperti ini bisa dipecat dan digantikan orang yang lebih dewasa

    • Saya memang sempat berpikir untuk langsung menghubungi CEO dan menjelaskan seluruh kejadiannya. Tapi jujur saja, besar kemungkinan CEO sudah tahu semuanya dan sama sekali tidak menganggap itu masalah. Itu yang paling mengecewakan
      Saya belum terburu-buru mengambil langkah hukum. Saat ini rasanya belum cukup sepadan untuk menghabiskan energi, tetapi saya merasa tetap perlu menyoroti perilaku seperti ini secara terbuka. Ini juga menjadi sinyal bagi orang lain di ekosistem tentang omong kosong seperti apa yang kadang harus dihadapi para maintainer OSS
      Untuk menyebut nama perusahaannya secara langsung, untuk saat ini masih saya tunda, tapi itu belum sepenuhnya saya coret
    • Bagian ini terasa aneh bagi saya. Jelas itu pelanggaran syarat lisensi yang mereka setujui saat mendaftar uji coba gratis, jadi apakah mereka memang tidak suka dibayar atas pekerjaan mereka sendiri?
    • Kalau mau berpikir konspiratif, bisa saja semua ini cuma iklan
      Semacam, “Produk kami begitu bagus sampai-sampai perusahaan antariksa benar-benar mencurinya untuk dipakai. Ngomong-ngomong, sudah lihat uji coba 30 hari terbaru kami? Kembali ke perusahaan antariksa tadi, lihatlah penawaran kami sekarang untuk mengetahui betapa murahnya Anda bisa memakai perangkat lunak kami...”
    • Jika saya membela setan, kalau yang dibutuhkan untuk membuka uji coba gratis 30 hari hanya memasukkan alamat email, memang sulit mengeluh saat orang-orang benar-benar memasukkan alamat email. Terutama jika demi pengalaman yang mulus tidak ada apa pun selain kolom email dan tombol “start free trial”
      Orang akan selalu mencoba memakai sampai batasnya atau mencari cara menyalahgunakannya. Harus dipikirkan di mana pembatasan perlu ditempatkan antara pengalaman pengguna dan pencegahan penyalahgunaan
    • Dengan pendapatan tahunan sekitar 130 juta dolar dan tidak banyak perusahaan dirgantara yang punya satelit di luar angkasa, sepertinya itu Planet Labs
  • Di tempat kerja saya sebelumnya, sebuah perusahaan bernilai 1 miliar dolar, pernah ada seseorang yang membuat semacam proxy agar satu akun pengguna gratis bisa dipakai sekitar 100 orang
    Kami butuh fitur lebih banyak, jadi kami juga melihat produk pesaing, dan saya ikut rapat untuk memutuskan apakah akan terus memakai cara lama atau beralih ke solusi yang lebih baik. Kedua produk dibandingkan secara adil, kecuali pada aspek harga
    Rencananya adalah tetap memakai secara ilegal tanpa membayar biaya yang semestinya, atau memakai layanan lain yang akan lebih murah jika digunakan secara legal. Saya mengangkat masalah bahwa kalau mau dibandingkan, setidaknya harus memakai biaya yang sebenarnya, tetapi tidak ada yang peduli, dan akhirnya diputuskan untuk tidak beralih dan tetap memakai secara ilegal. Masalahnya bahkan bukan uang
    Orang yang membuat ini sudah keluar dari perusahaan, tetapi tampaknya tidak ada yang mau menangani masalah itu dan semua orang merasa lebih mudah untuk mengabaikannya

    • Kira-kira berapa banyak yang dihemat dari tindakan ilegal atau tidak etis seperti itu selama 5–10 tahun?
      Jika “Rocket Company” rata-rata memakai 30 mesin per bulan dan maksimal 1.600 dolar per bulan, sebelum diskon itu sekitar 600 ribu dolar per tahun. Dalam 10 tahun, mungkin mereka menahan sekitar 3 juta dolar
      Agar Vates bisa menagih uangnya, tampaknya mereka perlu melepaskan kendali dari organisasi operasional yang benar-benar mengerjakan pekerjaan tersebut dan mengabstraksikannya ke organisasi TI pusat
  • Saya suka ungkapan “Tapi setelah titik tertentu, ini bukan lagi soal menghemat recehan, melainkan seni pertunjukan.” Humornya bagus dan kasusnya juga bagus
    Sangat mungkin perusahaan itu menghabiskan lebih banyak uang untuk waktu kerja karyawan daripada biaya produknya
    Sulit membayangkan menjalankan sesuatu yang mission-critical dengan versi uji coba gratis. Saya pernah dengar Adobe kalah dalam gugatan karena seseorang membuat gambar di versi uji coba gratis, lalu tidak bisa membukanya lagi setelah masa uji coba berakhir
    Jika saya pelanggan perusahaan itu, saya akan cukup khawatir

  • Cukup bilang, “Uji coba gratis Anda telah berakhir, dan perusahaan Anda tidak lagi dapat menerima kunci uji coba gratis.” Itu tidak butuh pengacara maupun ancaman
    Bisa disampaikan dengan sopan, seperti, “Kami senang Anda menyukai produk kami. Sayangnya, kami tidak bisa lagi mendukung Anda melalui uji coba gratis”
    Jika mereka terus menerima uji coba gratis dengan menyembunyikan afiliasi mereka, cukup blokir pendaftaran palsu setiap kali ditemukan, dan sebagai langkah paling akhir, beri peringatan hukum. Mungkin tidak akan menangkap semuanya, tetapi itu akan sangat merepotkan bagi mereka
    Tujuannya adalah melakukan onboarding mereka menjadi pelanggan berbayar. Hasil selain itu pada dasarnya adalah kerugian. Tetap sopan, tetapi tegas

    • Kalau saya, setidaknya saya akan menambahkan rutinitas kecil di logika backend pendaftaran uji coba gratis untuk memeriksa nama perusahaan dan alias yang sudah diketahui, lalu mengembalikan pesan seperti, “Anda tidak memenuhi syarat untuk gratis, tetapi tim sales kami dengan senang hati akan membantu! Semoga hari Anda menyenangkan!”
  • Hal yang paling menyedihkan adalah ini sama sekali tidak mengejutkan.
    Inilah alasan uji coba gratis meminta kartu kredit lebih dulu. Bukan untuk menagih diam-diam, melainkan karena lebih sulit dipalsukan. Semua gara-gara orang-orang seperti ini

    • Kalau benar-benar niat, cara seperti ini pun nyaris sepele untuk dilewati. Di AS, CapitalOne memungkinkan Anda membuat kartu virtual yang bisa diverifikasi jika punya kartu kredit, dan bisa dihapus atau diblokir kapan saja secara gratis
      Praktik seperti ini mungkin menghentikan orang yang hanya ingin menyalahgunakan versi uji coba secara ringan, tetapi rasanya justru menyusahkan pelanggan berbayar sungguhan dan hampir tidak menghentikan pelaku yang berniat buruk
  • Sebagai CTO, saya cukup keras menentang perilaku seperti ini, dan menurut saya tanggung jawabnya ada pada CTO perusahaan kedirgantaraan tersebut
    Berhemat dan bertahan di tahap awal memang bagian dari pekerjaan, tetapi begitu pendapatan mulai masuk, saat skala membesar paket gratis harus diubah menjadi paket awal berbayar
    Sangat disayangkan ada orang-orang di industri kita yang bertindak seperti ini

    • Setuju 120%. Namun, saya juga penasaran seberapa baik mereka memanfaatkan paket gratis itu
      Secara pribadi, saya melihat paket gratis cloud/SaaS hanya sebagai sesuatu yang membantu menutupi biaya penggunaan awal. Jadi kecuali skalanya benar-benar sangat kecil, paket gratis memang tidak cocok
  • Saya pernah mengalami hal serupa di startup konsumen karena sistem referral
    Setiap bulan, seperti jam, satu orang membuat referral palsu untuk mendapatkan kupon satu bulan gratis, lalu menjalani proses yang cukup merepotkan seperti memasang ulang aplikasi, membuat konten di akun palsu, lalu kembali lagi. Semua itu dilakukan demi menghemat 5 dolar, padahal ada juga paket gratis dengan kualitas yang hampir sama
    Saya rasa sensasi seru karena berhasil mengakali sistem dan tidak ketahuan juga merupakan faktor yang cukup besar. Saya bisa memahaminya

  • Dulu saat bekerja di departemen TI perusahaan besar, proses yang dibutuhkan untuk membeli software begitu luar biasa rumit sampai segala “solusi kreatif” tampak jauh lebih baik
    Bagian terburuknya adalah software murah yang paling dirugikan. Upgrade Cisco senilai jutaan dolar bukan masalah, karena memang sudah jutaan dolar. Tetapi untuk membeli lisensi shareware email seharga 10 dolar saja perlu banyak orang menghabiskan banyak jam kerja, jadi siapa yang mau melakukannya

    • Saya pernah rapat dengan seorang pelanggan. Mereka sedang mengevaluasi produk kami, dan produk kami bukan OSS. Suasananya baik, mereka menyukai produknya, dan tampaknya akan membeli
      Lalu dengan canggung penanggung jawabnya berkata kepada CEO bahwa ada aturan. Perusahaan hanya boleh menggunakan OSS. Padahal produk perusahaan mereka sendiri bukan OSS
    • Saya sedang mengalami hal serupa saat mencoba memasang software dukungan neurodiversitas di laptop saya. Banyak orang ingin membantu dan pemerintah juga akan mengganti biayanya, tetapi mendaftarkan pemasok baru itu sulit dan juga perlu persetujuan keamanan
    • Dari sudut pandang akuntansi, kemungkinan besar ini adalah mekanisme untuk mencegah penipuan utang usaha
  • Dengan asumsi cerita ini cukup akurat, saya penasaran apa yang dipikirkan kedua belah pihak
    Dari pihak yang memakainya gratis, apakah mereka mengira diri mereka masih berada dalam aturan? Sampai setinggi apa persetujuan untuk terus memakai cara ini naik ke atasan? Apakah ada yang pernah mencoba membayar tetapi dihalangi? Apakah seseorang sudah memberi tahu atasannya bahwa semuanya dibuat internal, dan sekarang tidak ingin mengakui bahwa itu dialihdayakan ke pihak luar dan perusahaan terekspos? Apakah ini sampai ke level paling atas, dan pengacara menyarankan bahwa selama nama perusahaan dan nama asli selalu dicantumkan mereka akan dilindungi dengan itikad baik?
    Dari pihak penyedia, mengapa tenaga penjualan tidak langsung mengejar ketika melihat pengguna perusahaan yang terikat selama 10 tahun? Bagaimana bisa mereka membiarkan ini selama 10 tahun tanpa sedikit mengubah kebijakan untuk menghentikan penumpang gratis ini dan orang lain yang bisa menirunya? Selama itu, ketika hal ini muncul, apa yang dikatakan orang-orang bisnis? Apakah bisnis berjalan terlalu baik sehingga tidak ada waktu untuk mengonversi mereka menjadi pelanggan berbayar?