Dieselgate Honey: Mendeteksi dan Mengelabui Tester

 (vptdigital.com)
1 poin oleh GN⁺ 2026-01-01 | 1 komentar | Bagikan ke WhatsApp
  • Plugin belanja browser Honey terungkap diduga menggunakan kode manipulasi ala ‘dieselgate’ yang mendeteksi situasi pengujian lalu mengubah perilakunya
  • Honey menilai apakah pengguna adalah tester berdasarkan empat kriteria: tanggal pembuatan akun, akumulasi poin, blacklist, dan deteksi cookie jaringan afiliasi
  • Jika salah satu kondisi ini terpenuhi, Honey melakukan ‘stand-down’ sesuai aturan, tetapi jika dinilai sebagai pengguna biasa, Honey mengabaikan aturan dan memaksa penyisipan link afiliasi
  • Analis berulang kali mengonfirmasi pelanggaran aturan selektif oleh Honey melalui kode sumber, file konfigurasi, packet capture, dan log telemetri
  • Tindakan ini merupakan upaya penyamaran yang mirip dengan Volkswagen Dieselgate, dan dapat merusak kepercayaan jaringan afiliasi, merchant, dan platform (Google, Apple)

Struktur pelanggaran aturan Honey

  • Honey dirancang untuk menghindari aturan ‘stand-down’ yang ditetapkan oleh jaringan afiliasi dan merchant

    • Stand-down adalah aturan agar software lain tidak menampilkan link tambahan jika web publisher yang ada sudah lebih dulu menyediakan link afiliasi
    • Honey bekerja dengan cara mengabaikan aturan ini untuk pengguna biasa, dan hanya mematuhinya saat pengguna dicurigai sebagai tester

  • Struktur ini dirancang agar hanya mematuhi aturan di lingkungan pengujian, seperti Volkswagen Dieselgate

    • Karena Honey mengetahui aturan tersebut namun berusaha menghindarinya, hal ini dinilai sebagai tindakan penyamaran yang disengaja

Mekanisme deteksi tester

  • Honey menentukan apakah pengguna adalah tester berdasarkan empat kriteria berikut

    • Akun baru: jika usia akun kurang dari 30 hari, perilaku pelanggaran aturan dihentikan
    • Akumulasi poin: jika kurang dari 65.000 poin (setara sekitar 650 dolar AS), pengguna dianggap tester
    • Blacklist server: jika ada riwayat keluhan atau IP/cookie tertentu terdaftar, pelanggaran aturan dihentikan
    • Cookie jaringan afiliasi: jika ada cookie login afiliasi seperti CJ, Rakuten Advertising, atau Awin, pengguna dianggap tester

  • Jika salah satu kondisi ini terpenuhi, Honey mematuhi aturan; namun jika semuanya lolos, Honey sepenuhnya mengabaikan aturan dan menyisipkan link afiliasi

  • Desain ini menghambat deteksi oleh tester dan membuat pengujian jangka pendek atau verifikasi berbasis akun baru menjadi tidak efektif

Bukti teknis

  • Hands-on test: membandingkan reaksi Honey dengan memanipulasi nilai poin

    • Saat poin rendah, Honey mematuhi aturan; tetapi ketika dipalsukan menjadi poin tinggi, Honey mengabaikan aturan dan menampilkan link
    • Setelah cookie jaringan afiliasi ditambahkan, terlihat Honey kembali mematuhi aturan

  • Analisis file konfigurasi: logika stand-down selektif dikonfirmasi di ssd.json

    • Terdapat item seperti uP:65000 (ambang poin), gca (pemeriksaan cookie), dan bl (blacklist)
    • Merchant tertentu seperti Booking.com dan Kayosports memiliki ambang poin yang lebih tinggi

  • Log telemetri: Honey mencatat alasan melakukan stand-down dalam format JSON

    • Dasar penilaian internal ditunjukkan secara eksplisit, seperti state:"uP:5001" dan state:"gca"

  • Analisis kode sumber: fungsi JavaScript P() membandingkan tiap nilai ambang untuk menentukan apakah stand-down dilakukan

    • Jika semua kondisi lolos, status "ssd" digunakan untuk mengabaikan aturan
    • Kode juga memeriksa apakah email mengandung “test”, serta keberadaan affiliate cookie

Penanganan pengecualian yang aneh untuk eBay

  • Untuk eBay, Honey menerapkan stand-down selama 24 jam (86.400 detik), jauh lebih ketat dibanding merchant lain
    • Dalam kode, domain eBay juga di-hardcode agar selalu stand-down
    • Ini tampak sebagai langkah yang menyadari pengelolaan afiliasi yang ketat setelah kasus penipuan afiliasi eBay pada 2008

Perubahan konfigurasi dan waktunya

  • Pada 2022, sebagian besar jaringan tidak memiliki ambang poin, dan hanya Rakuten (LinkShare) yang menerapkan ambang 501 poin (sekitar 5 dolar AS)
  • Per 2025, ambang ini naik drastis menjadi 65.000 poin
    • Diduga Honey memperketat kriteria ini setelah video MegaLag pada 2024 dipublikasikan
  • Untuk LinkShare, justru aturannya dilonggarkan; saat ini aturan bisa diabaikan hanya dengan 5.001 poin

Konteks tindakan penyamaran

  • Tindakan Honey mirip dengan kasus penipuan afiliasi sebelumnya seperti cookie stuffing, geofencing, dan IP filtering

    • IP atau cookie tertentu diblokir agar tester tidak dapat mereproduksi masalah
    • Cookie jaringan afiliasi dideteksi agar perilaku berbeda hanya dijalankan untuk pihak industri

  • Penyembunyian seperti ini merupakan masalah yang lebih serius daripada sekadar pelanggaran aturan, karena membuktikan penipuan yang disengaja

    • Hal ini pada akhirnya membenarkan alasan Amazon yang dulu memperingatkan Honey sebagai “risiko keamanan”

Prospek ke depan

  • Honey berpotensi melanggar kebijakan Google Chrome Web Store terkait transparansi dan larangan menyembunyikan fungsi
  • Apple App Store juga menerapkan proses peninjauan yang ketat, sehingga sanksi tetap mungkin terjadi
  • Dalam class action yang sedang berjalan, tindakan penyamaran Honey diperkirakan akan digunakan sebagai bukti tambahan
    • Karena penyebab perilaku Honey yang tidak konsisten kini dijelaskan dengan jelas, struktur gugatan bisa menjadi lebih sederhana

Metode pengujian yang dipublikasikan

  • Analis menggunakan FiddlerScript untuk memanipulasi komunikasi dengan server Honey dan mengubah nilai poin secara arbitrer
    • Dengan cara ini, skenario akun berpoin tinggi dapat direproduksi dan reaksi Honey diverifikasi
  • Metode ini saat ini juga diterapkan pada sistem pemantauan plugin belanja otomatis milik VPT

Bacaan terkait

1 komentar

 
GN⁺ 2026-01-01
Komentar Hacker News
  • Dulu saya bekerja di perusahaan ad tech, dan menurut saya kali ini sudah kelewatan
    Istilah-istilah industri sering dibungkus dengan kata-kata seperti “revealed preferences” atau “enabling personalization”, tetapi saya benar-benar penasaran apa yang dipikirkan para engineer saat merancang fitur seperti “selective stand down
    Membuat produk yang berupaya menghindari kontrak sambil tetap berada di dalam perusahaan itu sendiri sudah merupakan sebuah pilihan
    • Mungkin pikirannya seperti, “Saya tidak punya kebebasan untuk menjaga standar moral, saya cemas karena tenaga kerja mudah digantikan, nafkah keluarga dan asuransi kesehatan saya terikat pada pekerjaan ini, dan saya tidak percaya pemerintah akan melindungi saya”
    • Menurut saya ini tidak berbeda dengan proyek Greyball milik Uber pada 2017
      Seperti terlihat dalam artikel New York Times, ada perusahaan yang menganggap budaya menghindari hukum dan kontrak sebagai hal yang wajar
    • Buku Guido Palazzo, The Dark Pattern, adalah contoh yang bagus
      Buku ini menunjukkan bahwa kekuatan konteks lebih kuat daripada nalar atau moralitas
      Ini mengingatkan pada ‘banalitas kejahatan’ pada masa Perang Dunia II. Jika semua orang di sekitar bertindak demikian, siapa pun bisa melakukan apa saja
    • Ini terasa seperti engineer yang standar etikanya runtuh berharap orang lain tetap menjaga peradaban
    • Saya jadi teringat ungkapan, “etika muncul setelah perut kenyang”
  • Video MegaLag asli bisa ditonton di sini
    Kalau Anda engineer yang membuat sistem seperti ini, rasanya wajar kalau sempat berpikir, “Apakah kita ini pihak jahat?”, tetapi tampaknya tidak demikian
    • Sebagai referensi, penulis artikel blog tersebut, Ben Edelman, muncul pada menit ke-33 di video
      Situs pribadinya adalah benedelman.org/honey-detecting-testers
    • Kapitalisme sangat pandai mencuci tangan dari perbuatan buruk
      Bahkan smartphone yang saya pakai mungkin melibatkan sebagian kerja paksa, dan pada akhirnya kita semua adalah bagian dari struktur itu
    • Awalnya saya kira ‘Honey’ adalah produk madu, ternyata sebenarnya itu ekstensi kupon diskon
  • Sekitar 15 tahun lalu saya mengalami masalah affiliate marketing serupa di perusahaan telekomunikasi
    Kami sempat menghentikan semua pembayaran komisi afiliasi sebagai eksperimen, dan trafik memang sedikit turun, tetapi penjualan hampir tidak berubah
    Pada akhirnya, hanya dengan brand awareness saja sudah cukup untuk mendapatkan pelanggan
  • Saya tidak mengerti kenapa perusahaan seperti Amazon masih tetap membayar uang ke akun afiliasi Honey
    Mereka pasti tahu itu bukan trafik rujukan yang nyata, tetapi tetap membayarnya
  • Fakta bahwa ekstensi ini disetujui di Chrome Web Store berarti keandalan penyaringan malware di store itu nyaris tidak ada
    • Tapi ini bukan malware
      Ini hanya perusahaan pemasaran yang saling merebut komisi, dan juga tidak mengunggah data pengguna ke server
      Semua pemeriksaan dilakukan di sisi klien
    • Sebenarnya Google pasti tahu persis apa yang dilakukan Honey
      Kalau mau, mereka bisa menghapusnya dari Chrome dengan satu tindakan saja
  • Awalnya Honey dimulai sebagai klon dari camelcamelcamel, tetapi kemudian diblokir dari Amazon karena menyalahgunakan sistem
    Setelah itu mereka beralih menjadi situs kupon, dan kemudian PayPal mengakuisisinya dengan uang tunai sebesar 4 miliar dolar AS
    Akibatnya, pendapatan afiliasi saya menurun
  • Tautan arsip ada di sini
    • Namun tautan ini terus berkedip dan scroll-nya bergerak aneh, jadi saya tidak bisa membacanya
      Saya tidak tahu apakah itu masalah di sumber aslinya atau di arsipnya
    • Apakah archive.org dipakai karena situs aslinya tidak bisa dibuka?
      Aslinya ada di vptdigital.com/blog/honey-detecting-testers
      Jika memang ada masalah, saya sarankan menghubungi Ben Edelman secara langsung
  • Saya ingat kasus penipuan Honey ini sebenarnya sudah meledak sekitar setahun lalu
    Agak mengejutkan melihatnya diberitakan lagi dalam beberapa hari terakhir
    • YouTuber MegaLag mengunggah bagian 1 setahun lalu, lalu baru-baru ini merilis bagian 2 dan bagian 3
      Informasi baru membuat citra Honey makin buruk
  • Seluruh ekosistem affiliate marketing terasa seperti kanker
    Saya berharap Amazon mematikan sistem ini sepenuhnya
    • Meski begitu, saya tetap menganggap tautan afiliasi adalah bentuk iklan yang paling adil
      Di blog pertukangan atau pengecatan, melihat tautan produk yang benar-benar dipakai penulis terasa lebih baik daripada iklan acak
    • Dari sudut pandang konsumen, akan lebih baik jika mendapat diskon langsung
      Jika toko resmi menyediakan kode diskon yang sama, semua pihak akan diuntungkan
  • Artikel aslinya saat ini tidak bisa diakses, tetapi bisa dibaca di archive.is/7Y9Jq