Dieselgate da Honey: detecção e engano de testadores

 (vptdigital.com)
1 pontos por GN⁺ 2026-01-01 | 1 comentários | Compartilhar no WhatsApp
  • O plugin de compras para navegador Honey foi flagrado usando um código de manipulação no estilo “dieselgate” que detecta situações de teste e muda seu comportamento
  • A Honey identifica se um usuário é testador com base em quatro critérios: data de criação da conta, total de pontos acumulados, blacklist e detecção de cookies de redes de afiliados
  • Se qualquer uma dessas condições for atendida, ela executa corretamente o procedimento de stand-down, mas, se considerar o usuário comum, ignora as regras e insere à força links de afiliados
  • O analista confirmou repetidamente as violações seletivas da Honey por meio de código-fonte, arquivos de configuração, captura de pacotes e logs de telemetria
  • Essa conduta é uma tentativa de ocultação semelhante ao escândalo Dieselgate da Volkswagen e pode comprometer a confiança de redes de afiliados, merchants e plataformas (Google e Apple)

Estrutura da violação de regras da Honey

  • A Honey foi projetada para contornar as regras de stand-down definidas por redes de afiliados e merchants

    • Stand-down é a regra que impede que outro software exiba links adicionais quando um web publisher já forneceu um link de afiliado
    • A Honey ignora essa regra para usuários comuns e só a respeita quando suspeita estar diante de um testador

  • Essa estrutura foi desenhada para cumprir as regras apenas em ambientes de teste, como no Dieselgate da Volkswagen

    • Como a Honey sabia das regras e ainda assim tentou contorná-las, isso é avaliado como uma ação deliberada de ocultação

Mecanismo de detecção de testadores

  • A Honey determina se um usuário é testador com base nos quatro critérios a seguir

    • Conta nova: se tiver menos de 30 dias desde a criação, interrompe a conduta em violação das regras
    • Pontos acumulados: se tiver menos de 65.000 pontos (cerca de US$ 650 em valor), considera o usuário um testador
    • Blacklist do servidor: se houver histórico de reclamações ou um IP/cookie específico estiver registrado, interrompe a violação
    • Cookies de redes de afiliados: se detectar cookies de login de afiliados como CJ, Rakuten Advertising e Awin, entende que é um testador

  • Se qualquer um desses critérios for atendido, a Honey cumpre as regras; se passar por todos, ignora completamente as regras e insere links de afiliados

  • Esse design dificulta a detecção por testadores e neutraliza verificações de curto prazo ou baseadas em contas novas

Evidências técnicas

  • Teste prático: os pontos foram manipulados para comparar a reação da Honey

    • Com poucos pontos, ela respeitou as regras; ao ser enganada com uma pontuação alta, ignorou as regras e exibiu links
    • Ao adicionar cookies de rede de afiliados, foi confirmado que a Honey voltou a seguir as regras

  • Análise de arquivo de configuração: foi confirmada a lógica seletiva de stand-down em ssd.json

    • Há itens como uP:65000 (critério de pontos), gca (verificação de cookies) e bl (blacklist)
    • Certos merchants, como Booking.com e Kayosports, têm critérios de pontos mais altos

  • Logs de telemetria: a Honey registra em JSON o motivo pelo qual executou o stand-down

    • A base da decisão interna aparece explicitamente em entradas como state:"uP:5001" e state:"gca"

  • Análise de código-fonte: a função JavaScript P() compara cada critério e decide se deve executar o stand-down

    • Se todas as condições forem atendidas, entra no estado "ssd" e ignora as regras
    • Também verifica se email contém “test” e se há affiliate cookie, entre outros fatores

Exceção peculiar para o eBay

  • Para o eBay, a Honey aplica um stand-down de 24 horas (86.400 segundos), muito mais rígido que para outros merchants
    • No código, o domínio do eBay também está hardcoded para sempre executar stand-down
    • Isso parece refletir uma preocupação com a gestão rigorosa de afiliados após o caso de fraude de afiliados do eBay em 2008

Mudanças na configuração e no momento

  • Em 2022, a maioria das redes não tinha critério de pontos, e apenas a Rakuten (LinkShare) aplicava um limite de 501 pontos (cerca de US$ 5)
  • Em 2025, esse limite subiu drasticamente para 65.000 pontos
    • Estima-se que a Honey tenha endurecido esse critério após a divulgação do vídeo da MegaLag em 2024
  • No caso da LinkShare, houve afrouxamento: hoje, já é possível ignorar as regras com apenas 5.001 pontos

Contexto da ocultação

  • A conduta da Honey se assemelha a casos anteriores de fraude de afiliados, como cookie stuffing, geofencing e filtragem por IP

    • Ao bloquear certos IPs ou cookies, ela impede que testadores reproduzam o problema
    • Ao detectar cookies de redes de afiliados, passa a se comportar de forma diferente apenas com pessoas do setor

  • Essa ocultação é mais grave do que uma simples violação de regras, pois comprova engano deliberado

    • Isso acaba reforçando o motivo pelo qual a Amazon já havia alertado no passado que a Honey representava um “risco de segurança”

Perspectivas futuras

  • A Honey pode estar violando as políticas da Chrome Web Store do Google (transparência e proibição de ocultar funcionalidades)
  • A App Store da Apple também adota um processo rigoroso de revisão, o que abre possibilidade de sanções
  • Na ação coletiva em andamento, a conduta de ocultação da Honey deve ser usada como prova adicional
    • Como a causa do comportamento irregular da Honey agora foi esclarecida, isso pode simplificar a estrutura do processo

Divulgação do método de teste

  • O analista usou FiddlerScript para manipular a comunicação com o servidor da Honey e alterar arbitrariamente o valor dos pontos
    • Assim, reproduziu o cenário de uma conta com muitos pontos e validou a reação da Honey
  • Esse método também está sendo aplicado atualmente ao sistema automatizado de monitoramento de plugins de compras da VPT

Leituras relacionadas

1 comentários

 
GN⁺ 2026-01-01
Comentários no Hacker News
  • Já trabalhei numa empresa de ad tech, e acho que dessa vez passaram de todos os limites
    Os termos do setor costumam vir embalados como “revealed preferences” ou “enabling personalization”, mas eu realmente queria saber no que os engenheiros estavam pensando ao projetar uma função como “selective stand down
    Estar dentro de uma empresa e criar um produto que tenta driblar contratos já é, por si só, uma escolha
    • Provavelmente algo como: “não tenho liberdade para manter meus padrões morais, sou substituível e isso me assusta, o sustento da minha família e meu plano de saúde estão atrelados ao emprego, e não acredito que o governo vá me proteger”
    • Não vejo diferença entre isso e o projeto Greyball da Uber em 2017
      Como mostra a matéria do New York Times, algumas empresas tratam como normal uma cultura de driblar a lei e os contratos
    • O livro The Dark Pattern, de Guido Palazzo, é um bom exemplo
      O livro mostra que o poder do contexto é mais forte do que a razão ou a moral
      Isso lembra a “banalidade do mal” da Segunda Guerra Mundial. Quando todo mundo ao redor age assim, qualquer pessoa acaba fazendo qualquer coisa
    • Parece a imagem de um engenheiro com padrões éticos destruídos esperando que os outros mantenham a civilização de pé
    • Isso me faz lembrar o ditado: “ética só aparece com a barriga cheia”
  • O vídeo original do MegaLag pode ser visto aqui
    Se você fosse o engenheiro que construiu esse sistema, dava para pensar “será que nós somos os vilões?”, mas aparentemente não foi o caso
    • Como referência, o autor do post do blog, Ben Edelman, aparece no vídeo aos 33 minutos
      O site pessoal dele é benedelman.org/honey-detecting-testers
    • O capitalismo é muito bom em lavar as mãos diante de más ações
      Até o smartphone que eu uso provavelmente envolve um pouco de trabalho escravo, e no fim todos nós fazemos parte dessa estrutura
    • No começo achei que ‘Honey’ fosse algum produto de mel, mas na verdade era uma extensão de cupons de desconto
  • Há uns 15 anos, passei por um problema parecido de marketing de afiliados numa operadora de telecomunicações
    Suspendemos experimentalmente todo o pagamento de comissões de afiliados, e o tráfego caiu um pouco, mas as vendas quase não mudaram
    No fim, só o reconhecimento da marca já bastava para conquistar clientes
  • Não entendo por que empresas como a Amazon ainda continuam pagando dinheiro para a conta de afiliado da Honey
    Elas devem saber que aquilo não é tráfego de indicação real, e mesmo assim continuam pagando
  • O fato de essa extensão ter sido aprovada na Chrome Web Store significa que a confiabilidade do filtro de malware da loja é praticamente nula
    • Mas isso não é malware
      É só empresa de marketing roubando comissão umas das outras, e nem faz upload dos dados do usuário para o servidor
      Todas as verificações são feitas no lado do cliente
    • Na verdade, o Google provavelmente sabe muito bem o que a Honey faz
      Se quisesse, poderia removê-la do Chrome com uma única ação
  • A Honey originalmente começou como um clone do camelcamelcamel, mas foi banida da Amazon por abusar do sistema
    Depois migrou para um site de cupons, e o PayPal a adquiriu por US$ 4 bilhões em dinheiro
    Como resultado, minha receita de afiliado caiu
  • O link arquivado está aqui
    • Só que esse link fica piscando e a rolagem se move de forma estranha, então não consigo ler
      Não sei se é problema do original ou do arquivo
    • Será que usaram o archive.org porque o site original não abria?
      O original é vptdigital.com/blog/honey-detecting-testers
      Se houver algum problema, recomendo entrar em contato diretamente com Ben Edelman
  • Lembro que esse caso de fraude da Honey já tinha estourado há cerca de um ano
    Me surpreende que tenha voltado a virar notícia nos últimos dias
    • O youtuber MegaLag publicou a parte 1 há um ano, e recentemente lançou a parte 2 e a parte 3
      As novas informações pioraram ainda mais a imagem da Honey
  • O ecossistema inteiro de marketing de afiliados parece um câncer
    Queria que a Amazon simplesmente desligasse esse sistema de vez
    • Mesmo assim, eu acho que links de afiliados são a forma de publicidade mais justa
      Num blog de marcenaria ou pintura, ver links dos produtos que a pessoa realmente usa é melhor do que anúncios aleatórios
    • Do ponto de vista do consumidor, seria melhor receber um desconto direto
      Se a loja oficial oferecesse o mesmo código de desconto, todo mundo sairia ganhando
  • O artigo original está inacessível no momento, mas pode ser lido em archive.is/7Y9Jq