Ground Control an Major Trial
(virtualize.sh)- Vates hat den Fall eines quasi-staatlichen Raumfahrtunternehmens mit rund 130 Millionen US-Dollar Jahresumsatz öffentlich gemacht, das die kostenlose Testversion der Xen Orchestra Appliance fast zehn Jahre lang wiederholt genutzt hat
- Die Organisation betreibt Hunderte physischer Hosts und etwa 4.000 VMs und hat einen erheblichen Teil ihres IT-Stacks auf die Vates-Plattform verlagert, war aber weder zahlender Kunde noch kostenloser Nutzer einer Source-Installation
- Die wiederholten Trials begannen im April 2015 mit einer Unternehmens-E-Mail und setzten sich mit privaten Outlook- und Gmail-Adressen sowie hochgezählten Konten wie
johndoe01,johndoe02fort; jedes Mal wurde derselbe Firmenname eingetragen - Bei einer Installation aus dem Source Code lassen sich alle Funktionen von Xen Orchestra kostenlos nutzen, XOA ist jedoch ein kostenpflichtiges Produkt, das eine getestete, vorkonfigurierte VM sowie One-Click-Updates, Support und Stabilität bietet
- Vates sieht in diesem Trial Farming eine Gefährdung der Nachhaltigkeit von Open Source und erwägt intelligentere Trial-Beschränkungen, ohne ehrliche Nutzer auszubremsen
Zehn Jahre wiederholte Nutzung von Xen Orchestra Appliance Trials
- Vates stellt diesen Fall vor dem Hintergrund der Belastung durch die Pflege von Open-Source-Projekten sowie der Zunahme KI-basierter Fake-Beiträge und Sicherheitsberichte vor
- Bei der betreffenden Organisation handelt es sich um ein quasi-staatliches Unternehmen mit rund 130 Millionen US-Dollar Jahresumsatz, das teure raumfahrtbezogene Ausrüstung herstellt und betreibt
- Die Organisation verfügt über Hunderte physischer Hosts und fast 4.000 VMs und betreibt einen großen Teil ihres IT-Stacks auf der Vates-Plattform
- Sie war jedoch kein zahlender Kunde und nutzte auch nicht die vollständige Open-Source-Version direkt aus dem Source Code
Der Unterschied zwischen XOA und der kostenlosen Source-Installation
- Das Produkt, dessen Trial die Organisation wiederholt nutzte, war Xen Orchestra Appliance (XOA)
- eine Turnkey-VM mit vorinstalliertem Xen Orchestra
- regelmäßig getestet
- einfach bereitzustellen und zu aktualisieren
- vollständig on-premises betrieben
- eine unterstützte und stabilisierte Erfahrung für Teams, die in der Produktion kein
git pullauf demmaster-Branch machen wollen
- Kostenlose Nutzer können der Dokumentation folgen, aus dem Source Code bauen und alle Funktionen kostenlos nutzen
- ohne Stabilitätsgarantie und professionellen Support
- der volle Funktionsumfang ist dennoch verfügbar
- Was Vates verkauft, ist nicht der Zugriff auf Funktionen, sondern eine getestete, vorpaketierte VM, One-Click-Updates, Zeitersparnis, geringeres Risiko und Support-Erfahrung
Kontenmuster von Unternehmens-E-Mails zu privaten E-Mails
- Die wiederholte Trial-Nutzung begann im April 2015
- Anfangs wurden kostenlose Trials mit Unternehmens-E-Mail-Adressen angefragt
- jeweils ein oder zwei Fälle, die zunächst nicht verdächtig wirkten
- mit der Zeit sammelten sich mehrere Konten von Entwicklern, Systemadministratoren, Managern und anderen an
- Nachdem die Unternehmens-E-Mails ausgeschöpft waren, wurden private Outlook- oder Gmail-Adressen verwendet
- echte private E-Mail-Adressen von Personen, um neue 30-Tage-Trials zu starten
- Handles wurden nach dem Muster
johndoe01@outlook.com,johndoe02@outlook.comhochgezählt - inzwischen liegt man deutlich über
johndoe60
- Im Registrierungsformular ist der Firmenname kein Pflichtfeld, dennoch wurde jedes Mal derselbe Firmenname eingetragen
Umgehung trotz erhaltenem Support
- Vates unterstützte die Organisation wie andere Evaluierungsnutzer
- beantwortete Fragen
- gab Hinweise zur Nutzung
- verwendete in der anfänglichen Situation „wir testen und könnten einen Kauf erwägen“ fast einen Tag auf Support
- Mit der Zeit wiederholten sich ähnliche Fragen und Konfigurationen, und eine Suche in den Aufzeichnungen ergab mindestens 60 separate Konten, die mit derselben Organisation verbunden waren
- Als Vates Kontakt aufnahm, entschuldigte sich die Organisation vage und erklärte, auf die Source-Version umzusteigen
- An professionellem Support oder möglichen Volumenrabatten zeigte sie kein Interesse, und tatsächlich wechselte sie später nicht zur Source-Version
- Stattdessen beantragte sie weiterhin kostenlose Trials mit privaten Outlook-Adressen und hochgezählten E-Mail-Handles
Open-Source-Nachhaltigkeit und künftige Beschränkungen
- Diese Situation unterscheidet sich von Fällen, in denen ein normales SaaS-Angebot umgangen wird, das sich nicht selbst hosten lässt
- Xen Orchestra kann komplett kostenlos selbst gehostet werden
- es gibt keine Funktionsbeschränkungen, nur die Upgrade-Erfahrung ist weniger bequem als bei XOA
- Dass statt des Lesens einer kurzen Dokumentation und der Eingabe einiger Befehle wiederholt Trial-Konten erstellt wurden, zeigt auch den Komfortwert von XOA
- Dieselbe Organisation hat in den vergangenen zehn Jahren wiederholt kostenlose Trials über private Outlook- und Gmail-Konten beantragt und dabei weiterhin den echten Firmennamen eingetragen
- Dieses Verhalten untergräbt die Grundlage, die Open Source nachhaltig macht
- Künftig könnten intelligentere Beschränkungen eingeführt werden, um Trial Farming zu verhindern
- sie sind nicht dazu gedacht, ehrliche Nutzer auszubremsen
- sie sollen Energie für Softwareentwicklung, Support für echte Nutzer und die Pflege von Open Source freisetzen
1 Kommentare
Meinungen auf Hacker News
Es scheint an der Zeit für Druck im Stil von Larry Ellison zu sein. Zumindest sollte man ihnen die Taschen ausleeren und das Kleingeld herausbekommen.
Dieses Unternehmen stiehlt. Angesichts dessen, dass ihr versucht habt, Unternehmen mit OSS-Optionen zu helfen, wart ihr bereits prinzipientreu und großzügig genug. Das ist Missbrauch, und den muss man nicht hinnehmen.
Mit Blick auf die Vorgeschichte wäre es wohl am besten, zehn Jahre Diebstahl und Umgehungsmaßnahmen in einer kurzen Unterlassungsaufforderung (C&D) zusammenzufassen und mitzuteilen, dass sie innerhalb von 15 Tagen aufhören oder eine Lizenz kaufen müssen, andernfalls würden Lizenzgebühren für zehn Jahre, Zinsen und Strafen geltend gemacht. Besonders wenn die Software am 16. Tag abgeschaltet werden muss, wird sich garantiert jemand melden.
Hier geht es offenbar um erhebliche Beträge, aber auch um Ethik und Verantwortung. Als CEO muss man abwägen, ob man den Mitarbeitenden und Aktionären gegenüber eine größere Verantwortung hat oder diesem Raumfahrtunternehmen gegenüber. Selbst wenn das Unternehmen extrem wohlhabend ist, sehe ich als CEO eine starke Pflicht, gestohlene Vermögenswerte zurückzuholen.
Wenn es ein US-Unternehmen ist, könnte dieses Verhalten wahrscheinlich unter die Anti-Umgehungsbestimmungen des DMCA fallen. Dann könnten auch Einzelpersonen strafrechtlich verantwortlich sein. Ich halte den DMCA für ein schreckliches Gesetz, das es Unternehmen ermöglicht, über Lizenzverträge strafrechtliche Haftung zu schaffen, aber in den USA ist es derzeit geltendes Recht, und wenn ein Anwalt diesen Punkt erklärt, dürften auch die Anwälte der Gegenseite bald verhandeln wollen.
Ich glaube nicht, dass das vor Gericht geht. Die Handlung selbst ist nicht zu verteidigen; die einzige Frage wird sein, wie viel sie OPs Unternehmen zahlen müssen.
Es kann dauern, aber am Ende kann man das Geld eintreiben.
„Ich werde ihnen nicht tagelang hinterherlaufen und meine Zeit verschwenden. Aber irgendwann geht es nicht mehr darum, ein paar Cent zu sparen, sondern wird zu Performancekunst“ – bitte, man muss ihnen hinterherlaufen.
Das ist mit sehr hoher Wahrscheinlichkeit ein Verstoß gegen die Bedingungen der kostenlosen Testversion, also sollte man sie vor Gericht bringen. Wenn nicht, sollte man zumindest den Firmennamen öffentlich machen und sie bloßstellen. Der dumme Manager, der diesen lächerlichen Diebstahl eingefädelt hat, könnte gefeuert werden und jemand Reiferes könnte übernehmen.
Ich habe es nicht eilig mit rechtlichen Schritten. Im Moment ist es die Energie nicht wirklich wert, aber ich hatte das Gefühl, dass es nötig ist, dieses Verhalten öffentlich anzusprechen. Es ist auch ein Signal an andere im Ökosystem, mit welchem Unsinn OSS-Maintainer gelegentlich umgehen müssen.
Den Unternehmensnamen direkt zu veröffentlichen, stelle ich noch zurück, aber ganz ausgeschlossen ist es nicht.
Nach dem Motto: „Unser Produkt ist so gut, dass Aerospace-Unternehmen es buchstäblich stehlen. Aber haben Sie eigentlich schon die neue 30-Tage-Testversion gesehen? Um wieder auf dieses Aerospace-Unternehmen zurückzukommen: Schauen Sie sich unser aktuelles Angebot an und sehen Sie, wie günstig Sie unsere Software nutzen können …“
Menschen werden immer versuchen, bis an die Grenze zu gehen oder Wege zum Missbrauch zu finden. Man muss überlegen, wo man zwischen User Experience und Missbrauchsprävention Grenzen zieht.
In meinem früheren Job bei einem Milliarden-Dollar-Unternehmen hatte jemand so etwas wie einen Proxy gebaut, damit etwa 100 Leute einen einzigen kostenlosen Nutzer-Account verwenden konnten.
Wir brauchten mehr Funktionen, schauten uns auch ein Konkurrenzprodukt an, und ich nahm an einem Meeting teil, in dem entschieden werden sollte, ob wir beim bestehenden Ansatz bleiben oder auf die bessere Lösung wechseln. Die beiden Produkte wurden fair verglichen, nur beim Preis nicht.
Der Plan war entweder, die bestehende Lösung weiter illegal zu nutzen, ohne die eigentlich fälligen Kosten zu zahlen, oder einen anderen Dienst zu verwenden, der günstiger gewesen wäre, wenn man ihn legal genutzt hätte. Ich wies darauf hin, dass man für einen Vergleich zumindest die tatsächlichen Kosten ansetzen müsse, aber niemand stimmte mir zu, und am Ende wechselten wir nicht und nutzten die Lösung weiter illegal. Geld war nicht einmal das Problem.
Die Person, die das gebaut hatte, hatte das Unternehmen bereits verlassen, aber niemand wollte sich darum kümmern, und offenbar hielt man es für einfacher, es einfach zu ignorieren.
Wenn die „Rocket Company“ im Monatsdurchschnitt 30 Geräte genutzt hat und man von maximal 1.600 Dollar pro Monat ausgeht, sind das vor Rabatten rund 600.000 Dollar pro Jahr. Über zehn Jahre könnten so etwa 3 Millionen Dollar zurückgehalten worden sein.
Wenn Vates bezahlt werden will, müssen sie die Kontrolle wohl von der operativen Organisation, die die tatsächliche Arbeit macht, lösen und auf eine zentrale IT-Organisation abstrahieren.
Mir gefällt die Formulierung „Aber irgendwann geht es nicht mehr darum, ein paar Cent zu sparen, sondern wird zu Performancekunst“. Guter Humor und gutes Beispiel.
Das Unternehmen gibt wahrscheinlich mehr Geld für die Arbeitszeit seiner Mitarbeitenden aus als das Produkt kosten würde.
Dass man mit einer kostenlosen Testversion etwas Mission-Critical betreibt, ist kaum vorstellbar. Ich habe einmal gehört, dass Adobe einen Prozess verloren hat, weil jemand in einer kostenlosen Testversion ein Bild erstellt hatte und es nach Ablauf des Testzeitraums nicht mehr öffnen konnte.
Wenn ich Kunde dieses Unternehmens wäre, wäre ich ziemlich beunruhigt.
Man kann einfach sagen: „Ihre kostenlose Testversion ist abgelaufen, und Ihr Unternehmen kann keine weiteren Testkeys erhalten.“ Dafür braucht man weder Anwälte noch Drohungen.
Höflich formuliert etwa: „Wir freuen uns, dass Ihnen unser Produkt gefällt. Leider können wir Sie nicht länger über kostenlose Testversionen unterstützen.“
Wenn sie ihre Zugehörigkeit verschleiern und weiter kostenlose Testversionen bekommen, blockiert man jede entdeckte Scheinanmeldung, und wirklich als letztes Mittel schickt man eine rechtliche Warnung. Man wird nicht alle erwischen, aber für die Gegenseite wird es sehr lästig.
Das Ziel ist, sie als zahlende Kunden zu onboarden. Jedes andere Ergebnis ist im Grunde ein Verlust. Höflich, aber bestimmt.
Am deprimierendsten ist, dass das alles überhaupt nicht überraschend ist.
Genau deshalb verlangen kostenlose Testversionen zuerst eine Kreditkarte. Nicht, weil sie heimlich abrechnen wollen, sondern weil sie schwerer zu fälschen ist. Wegen solcher Leute.
Solche Praktiken halten vielleicht Leute davon ab, Trial-Versionen leichtfertig auszunutzen, aber gefühlt machen sie vor allem echten zahlenden Kunden das Leben schwer und halten böswillige Akteure kaum auf.
Als CTO lehne ich ein solches Verhalten ziemlich entschieden ab, und ich sehe die Verantwortung beim CTO des Luft- und Raumfahrtunternehmens.
Am Anfang sparsam zu sein und sich durchzuschlagen gehört dazu, aber sobald Umsatz hereinkommt, muss man in der Phase des Skalierens vom kostenlosen Tarif auf einen Einstiegstarif wechseln.
Es ist bedauerlich, dass es in unserer Branche Menschen gibt, die sich so verhalten.
Persönlich sehe ich kostenlose Tarife bei Cloud/SaaS eher als Ausgleich für die anfänglichen Nutzungskosten. Wenn man also nicht wirklich sehr klein ist, passt ein kostenloser Tarif nicht.
Bei einem Consumer-Startup habe ich wegen eines Empfehlungsprogramms etwas Ähnliches erlebt.
Jeden Monat, wie ein Uhrwerk, erstellte eine Person gefälschte Empfehlungen, um einen Monat kostenlos zu bekommen, und durchlief dafür einen ziemlich umständlichen Prozess: App neu installieren, Inhalte mit Fake-Accounts erstellen, wieder zurückkommen. Das alles, um 5 Dollar zu sparen, obwohl es auch einen kostenlosen Tarif mit fast derselben Qualität gab.
Ich denke, der Kick, das System auszutricksen und nicht erwischt zu werden, war ebenfalls ein ziemlich großer Faktor. Ich kann es nachvollziehen.
Als ich früher in der IT-Abteilung eines Großunternehmens gearbeitet habe, war der Aufwand für den Kauf von Software so enorm, dass jede „kreative Lösung“ viel besser erschien.
Das Schlimmste ist, dass günstige Software am stärksten darunter leidet. Ein Cisco-Upgrade für mehrere Millionen Dollar ist kein Problem. Es kostet ja ohnehin schon Millionen. Aber um eine E-Mail-Shareware-Lizenz für 10 Dollar zu kaufen, müssten mehrere Leute viele Arbeitsstunden aufwenden – wer macht das schon?
Dann sagte der Verantwortliche dem CEO etwas peinlich berührt, es gebe eine Regel: Das Unternehmen dürfe nur OSS verwenden. Das eigene Produkt dieses Unternehmens war allerdings selbst keine OSS.
Wenn man annimmt, dass diese Geschichte ziemlich genau ist, frage ich mich, was beide Seiten sich dabei gedacht haben.
Dachten die, die es kostenlos nutzten, sie bewegten sich innerhalb der Regeln? Wie weit nach oben ging die Genehmigung, diese Methode weiterzuverwenden? Wollte jemand bezahlen, wurde aber blockiert? Hat jemand seinem Chef erzählt, alles sei intern gebaut worden, und will nun nicht zugeben, dass es inzwischen extern vergeben wurde und das Unternehmen exponiert ist? Ging es bis ganz nach oben, und hat ein Anwalt geraten, dass man durch guten Glauben geschützt sei, wenn man jedes Mal den Firmennamen und Klarnamen einträgt?
Warum hat auf Anbieterseite kein Vertriebsmitarbeiter zugeschlagen, als er einen Unternehmensnutzer sah, der zehn Jahre lang gebunden war? Wie konnte man es zehn Jahre lang laufen lassen, ohne die Richtlinie ein wenig zu ändern, um diesen Trittbrettfahrer und andere, die es nachmachen könnten, zu stoppen? Was sagten die Business-Verantwortlichen in all der Zeit, wenn das Thema aufkam? Lief das Geschäft so gut, dass ihnen die Zeit zu schade war, diese Leute in zahlende Kunden umzuwandeln?
https://250bpm.substack.com/p/accountability-sinks