Relato diz que empresas da YC coletam atividade no GitHub e enviam spam por e-mail aos usuários

 (news.ycombinator.com)
2 pontos por GN⁺ 2026-02-27 | 1 comentários | Compartilhar no WhatsApp
  • Foram relatados casos em que algumas empresas apoiadas pela Y Combinator (doravante YC) coletaram automaticamente dados de atividade de usuários do GitHub para enviar e-mails de marketing
  • O autor da publicação apontou como problema o recebimento de e-mails sem consentimento com base em commits e atividade em repositórios do perfil do GitHub
  • Foi mencionado que esses e-mails foram enviados com o objetivo de promover produtos ou induzir o cadastro em serviços
  • Na comunidade, surgiram críticas sobre privacidade de dados e práticas éticas de marketing
  • O caso reacende a discussão no ecossistema de startups sobre os limites entre uso de dados e consentimento do usuário

Coleta de dados de atividade no GitHub e envio de e-mails

  • Foi relatado um caso em que algumas startups da YC rasparam dados públicos de atividade de usuários do GitHub para obter endereços de e-mail
    • O autor disse que recebeu um e-mail promocional de uma determinada empresa da YC após sua atividade no GitHub
    • O conteúdo do e-mail era centrado em apresentar o produto e incentivar seu uso
  • A prática foi apontada como problemática por representar uso de dados coletados sem consentimento do usuário

Reação da comunidade e debate ético

  • Usuários do Hacker News reagiram de forma crítica, considerando o envio de e-mails sem consentimento como spam
    • Alguns argumentaram que, mesmo sendo dados públicos, a coleta automatizada para fins de marketing é inadequada
  • A discussão se ampliou para a questão do equilíbrio entre estratégias de crescimento de startups e proteção da privacidade
    • Em especial, foi levantada a opinião de que, por se tratar de empresas da YC, a expectativa por padrões éticos é mais alta

Uso de dados e questão do consentimento do usuário

  • Embora os dados públicos do GitHub sejam acessíveis, foi enfatizada a percepção de que, em uso comercial, é necessário consentimento explícito
  • A comunidade apontou que, para manter a confiança no ecossistema de desenvolvedores, são necessárias políticas transparentes de uso de dados
  • O caso foi avaliado como um alerta sobre práticas de automação de marketing em startups

Leituras relacionadas

1 comentários

 
GN⁺ 2026-02-27
Comentários no Hacker News

  • Aqui é o Martin, do GitHub. Esse tipo de raspagem de dados viola claramente os Termos de Serviço do GitHub
    Quando detectamos, tomamos medidas como suspender contas. Mas é um problema recorrente, tipo jogo de acertar toupeira
    Pela própria estrutura do Git, não é tecnicamente difícil extrair dados de repositórios open source. Os commits incluem nome e e-mail
    Para isso, oferecemos o recurso de endereço no-reply, para que os usuários usem endereços de e-mail anônimos ao fazer commits
    As instruções detalhadas de configuração estão na documentação oficial
    Manter a abertura do open source e ao mesmo tempo bloquear spam é um equilíbrio difícil. Há limites na API, mas também muitas reclamações. Gostaria de ouvir a opinião da comunidade

    • Pela minha experiência, o GitHub não bloqueia essas contas de verdade
      Denunciei um spammer em julho de 2025, mas não tive resposta, e a conta continua ativa
      Eu deixei meu e-mail público esperando que os termos fossem cumpridos. Se o GitHub deixar spammers soltos, fica difícil manter um contato público
    • Eu também denunciei o mesmo cenário de spam mais de cinco vezes e nada aconteceu
      Reuni no meu blog casos em que empresas da YC enviaram spam para meu e-mail do GitHub
    • Não tenho uma sugestão concreta, mas agradeceria se houvesse um recurso para bloquear pushes quando o campo de e-mail não for um endereço anônimo
      Como a maioria dos usuários não presta atenção em privacidade, esse tipo de proteção seria útil
    • Recebo spam demais de gente que vê os repositórios que marquei com estrela e entra em contato dizendo que está “fazendo algo parecido”
      Por isso agora não dou estrela em repositório nenhum
    • Sei que isso viola os termos, mas mesmo denunciando várias organizações, o ticket é encerrado com a justificativa de que é atividade fora da plataforma e não cabe ação

  • Eu também recebi esse mesmo e-mail
    Foi enviado pela equipe da RunanywhereAI, apresentando um SDK de LLM on-device
    Quando de fato conversei com a equipe, eles pareceram levar o feedback a sério e melhoraram rapidamente o SDK para Flutter
    Em uma semana chegaram a adicionar implementação de RAG, então parecem reagir rápido. Talvez valha mais testar diretamente do que criticar em público

  • Sei que a YC investiu na Flock, mas queria entender exatamente o que seria o “problema ético da YC”

    • Também me lembrou a demo de software de vigilância da Optifye.ai
    • Tem também a Cluely
    • E a Gecko Security

  • Trabalho com marketing para desenvolvedores há muito tempo, e enviar spam para e-mails do GitHub é uma das piores táticas possíveis
    Mandar cold e-mail para desenvolvedores quase nunca funciona e ainda destrói a confiança na marca

    • Mas se alguém visse minhas contribuições no GitHub e me enviasse uma proposta personalizada e relevante, eu provavelmente consideraria com boa vontade
      Isso é completamente diferente de spam automatizado genérico
    • Penso parecido. Se alguém tivesse visto meu trabalho e entrado em contato diretamente, eu veria isso mais como um sinal de alto interesse e esforço

  • Existe um motivo para a YC perguntar na inscrição se você já “hackeou sistemas para obter vantagem”
    Eles preferem fundadores que sabem explorar zonas cinzentas da lei
    A Airbnb cresceu violando os termos do Craigslist, o Reddit roubou conteúdo do Digg, e a OpenAI treinou modelos com material protegido por direitos autorais

  • Eu também recebi um e-mail de spam não solicitado de Vincent Jiang, da empresa Aden, da YC
    Era um convite para uma comunidade de desenvolvimento de agentes de IA

    • Também recebi vários e-mails parecidos de uma empresa chamada Backdrop
      Marquei o primeiro como spam, mas ainda assim chegou outro dizendo “última checagem”
      Nunca mais vou usar empresas assim
    • Alguém disse que recebeu do mesmo remetente uma proposta para fazer PRs open source por 25 a 50 dólares por hora
      Quando respondeu, só recebeu uma resposta automática

  • Hoje também recebi spam no e-mail do GitHub de uma empresa ligada à YC chamada Cactus Compute
    O e-mail apresentava um motor de modelo de voz on-device e incluía o link do repositório cactus-compute/cactus

    • Pelo menos eles não pediram estrela, o que já é alguma coisa. O ritmo de desenvolvimento parece bem rápido
    • A frase “agradecemos se você der uma estrela” soou como um golpe 419

  • Esse tema já foi discutido várias vezes antes
    Houve a mesma discussão há 11 anos, há 7 anos, há 5 anos e há 4 anos
    É um problema crônico que se repete

  • Enquanto eu lia esta thread, também recebi um e-mail de spam de um scraper do GitHub
    O remetente era james@techglobal.website, fingindo ser uma proposta de colaboração entre engenheiros baseada nos EUA
    Pela minha experiência, esse tipo de mensagem provavelmente é uma tentativa de golpe ligada à Coreia do Norte

    • Eu também recebi quase o mesmo e-mail desse remetente. Só mudavam um pouco o assunto e a assinatura
    • Por que você acha que é da Coreia do Norte? Seria por causa da estrutura de fachada com americanos na linha de frente?

  • Só para constar, esse tipo de e-mail publicitário não autorizado é ilegal na Europa
    A desculpa de “não sabíamos” não cola, porque muitos perfis no GitHub mostram a localização
    Uma startup que começa agindo de forma ilegal já sai no negativo em termos de confiabilidade