1 Punkte von GN⁺ 2025-05-17 | 1 Kommentare | Auf WhatsApp teilen
  • Vates hat den Fall eines quasi-staatlichen Raumfahrtunternehmens mit rund 130 Millionen US-Dollar Jahresumsatz öffentlich gemacht, das die kostenlose Testversion der Xen Orchestra Appliance fast zehn Jahre lang wiederholt genutzt hat
  • Die Organisation betreibt Hunderte physischer Hosts und etwa 4.000 VMs und hat einen erheblichen Teil ihres IT-Stacks auf die Vates-Plattform verlagert, war aber weder zahlender Kunde noch kostenloser Nutzer einer Source-Installation
  • Die wiederholten Trials begannen im April 2015 mit einer Unternehmens-E-Mail und setzten sich mit privaten Outlook- und Gmail-Adressen sowie hochgezählten Konten wie johndoe01, johndoe02 fort; jedes Mal wurde derselbe Firmenname eingetragen
  • Bei einer Installation aus dem Source Code lassen sich alle Funktionen von Xen Orchestra kostenlos nutzen, XOA ist jedoch ein kostenpflichtiges Produkt, das eine getestete, vorkonfigurierte VM sowie One-Click-Updates, Support und Stabilität bietet
  • Vates sieht in diesem Trial Farming eine Gefährdung der Nachhaltigkeit von Open Source und erwägt intelligentere Trial-Beschränkungen, ohne ehrliche Nutzer auszubremsen

Zehn Jahre wiederholte Nutzung von Xen Orchestra Appliance Trials

  • Vates stellt diesen Fall vor dem Hintergrund der Belastung durch die Pflege von Open-Source-Projekten sowie der Zunahme KI-basierter Fake-Beiträge und Sicherheitsberichte vor
  • Bei der betreffenden Organisation handelt es sich um ein quasi-staatliches Unternehmen mit rund 130 Millionen US-Dollar Jahresumsatz, das teure raumfahrtbezogene Ausrüstung herstellt und betreibt
  • Die Organisation verfügt über Hunderte physischer Hosts und fast 4.000 VMs und betreibt einen großen Teil ihres IT-Stacks auf der Vates-Plattform
  • Sie war jedoch kein zahlender Kunde und nutzte auch nicht die vollständige Open-Source-Version direkt aus dem Source Code

Der Unterschied zwischen XOA und der kostenlosen Source-Installation

  • Das Produkt, dessen Trial die Organisation wiederholt nutzte, war Xen Orchestra Appliance (XOA)
    • eine Turnkey-VM mit vorinstalliertem Xen Orchestra
    • regelmäßig getestet
    • einfach bereitzustellen und zu aktualisieren
    • vollständig on-premises betrieben
    • eine unterstützte und stabilisierte Erfahrung für Teams, die in der Produktion kein git pull auf dem master-Branch machen wollen
  • Kostenlose Nutzer können der Dokumentation folgen, aus dem Source Code bauen und alle Funktionen kostenlos nutzen
    • ohne Stabilitätsgarantie und professionellen Support
    • der volle Funktionsumfang ist dennoch verfügbar
  • Was Vates verkauft, ist nicht der Zugriff auf Funktionen, sondern eine getestete, vorpaketierte VM, One-Click-Updates, Zeitersparnis, geringeres Risiko und Support-Erfahrung

Kontenmuster von Unternehmens-E-Mails zu privaten E-Mails

  • Die wiederholte Trial-Nutzung begann im April 2015
  • Anfangs wurden kostenlose Trials mit Unternehmens-E-Mail-Adressen angefragt
    • jeweils ein oder zwei Fälle, die zunächst nicht verdächtig wirkten
    • mit der Zeit sammelten sich mehrere Konten von Entwicklern, Systemadministratoren, Managern und anderen an
  • Nachdem die Unternehmens-E-Mails ausgeschöpft waren, wurden private Outlook- oder Gmail-Adressen verwendet
    • echte private E-Mail-Adressen von Personen, um neue 30-Tage-Trials zu starten
    • Handles wurden nach dem Muster johndoe01@outlook.com, johndoe02@outlook.com hochgezählt
    • inzwischen liegt man deutlich über johndoe60
  • Im Registrierungsformular ist der Firmenname kein Pflichtfeld, dennoch wurde jedes Mal derselbe Firmenname eingetragen

Umgehung trotz erhaltenem Support

  • Vates unterstützte die Organisation wie andere Evaluierungsnutzer
    • beantwortete Fragen
    • gab Hinweise zur Nutzung
    • verwendete in der anfänglichen Situation „wir testen und könnten einen Kauf erwägen“ fast einen Tag auf Support
  • Mit der Zeit wiederholten sich ähnliche Fragen und Konfigurationen, und eine Suche in den Aufzeichnungen ergab mindestens 60 separate Konten, die mit derselben Organisation verbunden waren
  • Als Vates Kontakt aufnahm, entschuldigte sich die Organisation vage und erklärte, auf die Source-Version umzusteigen
  • An professionellem Support oder möglichen Volumenrabatten zeigte sie kein Interesse, und tatsächlich wechselte sie später nicht zur Source-Version
  • Stattdessen beantragte sie weiterhin kostenlose Trials mit privaten Outlook-Adressen und hochgezählten E-Mail-Handles

Open-Source-Nachhaltigkeit und künftige Beschränkungen

  • Diese Situation unterscheidet sich von Fällen, in denen ein normales SaaS-Angebot umgangen wird, das sich nicht selbst hosten lässt
    • Xen Orchestra kann komplett kostenlos selbst gehostet werden
    • es gibt keine Funktionsbeschränkungen, nur die Upgrade-Erfahrung ist weniger bequem als bei XOA
  • Dass statt des Lesens einer kurzen Dokumentation und der Eingabe einiger Befehle wiederholt Trial-Konten erstellt wurden, zeigt auch den Komfortwert von XOA
  • Dieselbe Organisation hat in den vergangenen zehn Jahren wiederholt kostenlose Trials über private Outlook- und Gmail-Konten beantragt und dabei weiterhin den echten Firmennamen eingetragen
  • Dieses Verhalten untergräbt die Grundlage, die Open Source nachhaltig macht
  • Künftig könnten intelligentere Beschränkungen eingeführt werden, um Trial Farming zu verhindern
    • sie sind nicht dazu gedacht, ehrliche Nutzer auszubremsen
    • sie sollen Energie für Softwareentwicklung, Support für echte Nutzer und die Pflege von Open Source freisetzen

1 Kommentare

 
GN⁺ 2025-05-17
Meinungen auf Hacker News
  • Es scheint an der Zeit für Druck im Stil von Larry Ellison zu sein. Zumindest sollte man ihnen die Taschen ausleeren und das Kleingeld herausbekommen.
    Dieses Unternehmen stiehlt. Angesichts dessen, dass ihr versucht habt, Unternehmen mit OSS-Optionen zu helfen, wart ihr bereits prinzipientreu und großzügig genug. Das ist Missbrauch, und den muss man nicht hinnehmen.
    Mit Blick auf die Vorgeschichte wäre es wohl am besten, zehn Jahre Diebstahl und Umgehungsmaßnahmen in einer kurzen Unterlassungsaufforderung (C&D) zusammenzufassen und mitzuteilen, dass sie innerhalb von 15 Tagen aufhören oder eine Lizenz kaufen müssen, andernfalls würden Lizenzgebühren für zehn Jahre, Zinsen und Strafen geltend gemacht. Besonders wenn die Software am 16. Tag abgeschaltet werden muss, wird sich garantiert jemand melden.
    Hier geht es offenbar um erhebliche Beträge, aber auch um Ethik und Verantwortung. Als CEO muss man abwägen, ob man den Mitarbeitenden und Aktionären gegenüber eine größere Verantwortung hat oder diesem Raumfahrtunternehmen gegenüber. Selbst wenn das Unternehmen extrem wohlhabend ist, sehe ich als CEO eine starke Pflicht, gestohlene Vermögenswerte zurückzuholen.
    Wenn es ein US-Unternehmen ist, könnte dieses Verhalten wahrscheinlich unter die Anti-Umgehungsbestimmungen des DMCA fallen. Dann könnten auch Einzelpersonen strafrechtlich verantwortlich sein. Ich halte den DMCA für ein schreckliches Gesetz, das es Unternehmen ermöglicht, über Lizenzverträge strafrechtliche Haftung zu schaffen, aber in den USA ist es derzeit geltendes Recht, und wenn ein Anwalt diesen Punkt erklärt, dürften auch die Anwälte der Gegenseite bald verhandeln wollen.

    • Stimme zu. Das ist eindeutiger Diebstahl, und das Unternehmen wird sich fast sofort einigen. Allein die Rückforderungskosten könnten buchstäblich Millionen Dollar betragen, mit Strafen noch mehr.
      Ich glaube nicht, dass das vor Gericht geht. Die Handlung selbst ist nicht zu verteidigen; die einzige Frage wird sein, wie viel sie OPs Unternehmen zahlen müssen.
    • Man sollte zuerst eine Rechnung schicken. Sie sollte mit juristischer Beratung erstellt werden. Jeden Monat eine neue Rechnung mit den neu angefallenen Kosten schicken und nach ein paar Runden Druck machen, dass man es an ein Inkassobüro übergibt.
      Es kann dauern, aber am Ende kann man das Geld eintreiben.
  • „Ich werde ihnen nicht tagelang hinterherlaufen und meine Zeit verschwenden. Aber irgendwann geht es nicht mehr darum, ein paar Cent zu sparen, sondern wird zu Performancekunst“ – bitte, man muss ihnen hinterherlaufen.
    Das ist mit sehr hoher Wahrscheinlichkeit ein Verstoß gegen die Bedingungen der kostenlosen Testversion, also sollte man sie vor Gericht bringen. Wenn nicht, sollte man zumindest den Firmennamen öffentlich machen und sie bloßstellen. Der dumme Manager, der diesen lächerlichen Diebstahl eingefädelt hat, könnte gefeuert werden und jemand Reiferes könnte übernehmen.

    • Ich überlege tatsächlich, den CEO direkt zu kontaktieren und die ganze Geschichte zu erklären. Aber ehrlich gesagt ist die Wahrscheinlichkeit groß, dass der CEO schon alles weiß und darin überhaupt kein Problem sieht. Das ist besonders enttäuschend.
      Ich habe es nicht eilig mit rechtlichen Schritten. Im Moment ist es die Energie nicht wirklich wert, aber ich hatte das Gefühl, dass es nötig ist, dieses Verhalten öffentlich anzusprechen. Es ist auch ein Signal an andere im Ökosystem, mit welchem Unsinn OSS-Maintainer gelegentlich umgehen müssen.
      Den Unternehmensnamen direkt zu veröffentlichen, stelle ich noch zurück, aber ganz ausgeschlossen ist es nicht.
    • Dieser Teil kam mir merkwürdig vor. Es ist doch eindeutig ein Verstoß gegen die Lizenzbedingungen, denen man bei der kostenlosen Testversion zugestimmt hat; da fragt man sich, ob sie es nicht mögen, für ihre eigene Arbeit bezahlt zu werden.
    • Verschwörungstheoretisch betrachtet könnte das alles auch einfach Werbung sein.
      Nach dem Motto: „Unser Produkt ist so gut, dass Aerospace-Unternehmen es buchstäblich stehlen. Aber haben Sie eigentlich schon die neue 30-Tage-Testversion gesehen? Um wieder auf dieses Aerospace-Unternehmen zurückzukommen: Schauen Sie sich unser aktuelles Angebot an und sehen Sie, wie günstig Sie unsere Software nutzen können …“
    • Als Advocatus Diaboli: Wenn eine 30-tägige kostenlose Testversion freigeschaltet wird, sobald man nur eine E-Mail-Adresse eingibt, ist es schwer, sich darüber zu beschweren, dass Leute E-Mail-Adressen eingeben. Besonders dann, wenn es für eine reibungslose Experience außer dem E-Mail-Feld und dem Button „start free trial“ nichts gibt.
      Menschen werden immer versuchen, bis an die Grenze zu gehen oder Wege zum Missbrauch zu finden. Man muss überlegen, wo man zwischen User Experience und Missbrauchsprävention Grenzen zieht.
    • Es gibt nicht viele Aerospace-Unternehmen mit rund 130 Millionen Dollar Jahresumsatz und Satelliten im All. Ich vermute, es ist Planet Labs.
  • In meinem früheren Job bei einem Milliarden-Dollar-Unternehmen hatte jemand so etwas wie einen Proxy gebaut, damit etwa 100 Leute einen einzigen kostenlosen Nutzer-Account verwenden konnten.
    Wir brauchten mehr Funktionen, schauten uns auch ein Konkurrenzprodukt an, und ich nahm an einem Meeting teil, in dem entschieden werden sollte, ob wir beim bestehenden Ansatz bleiben oder auf die bessere Lösung wechseln. Die beiden Produkte wurden fair verglichen, nur beim Preis nicht.
    Der Plan war entweder, die bestehende Lösung weiter illegal zu nutzen, ohne die eigentlich fälligen Kosten zu zahlen, oder einen anderen Dienst zu verwenden, der günstiger gewesen wäre, wenn man ihn legal genutzt hätte. Ich wies darauf hin, dass man für einen Vergleich zumindest die tatsächlichen Kosten ansetzen müsse, aber niemand stimmte mir zu, und am Ende wechselten wir nicht und nutzten die Lösung weiter illegal. Geld war nicht einmal das Problem.
    Die Person, die das gebaut hatte, hatte das Unternehmen bereits verlassen, aber niemand wollte sich darum kümmern, und offenbar hielt man es für einfacher, es einfach zu ignorieren.

    • Wie viel haben sie durch solches illegales oder unethisches Verhalten über 5 bis 10 Jahre gespart?
      Wenn die „Rocket Company“ im Monatsdurchschnitt 30 Geräte genutzt hat und man von maximal 1.600 Dollar pro Monat ausgeht, sind das vor Rabatten rund 600.000 Dollar pro Jahr. Über zehn Jahre könnten so etwa 3 Millionen Dollar zurückgehalten worden sein.
      Wenn Vates bezahlt werden will, müssen sie die Kontrolle wohl von der operativen Organisation, die die tatsächliche Arbeit macht, lösen und auf eine zentrale IT-Organisation abstrahieren.
  • Mir gefällt die Formulierung „Aber irgendwann geht es nicht mehr darum, ein paar Cent zu sparen, sondern wird zu Performancekunst“. Guter Humor und gutes Beispiel.
    Das Unternehmen gibt wahrscheinlich mehr Geld für die Arbeitszeit seiner Mitarbeitenden aus als das Produkt kosten würde.
    Dass man mit einer kostenlosen Testversion etwas Mission-Critical betreibt, ist kaum vorstellbar. Ich habe einmal gehört, dass Adobe einen Prozess verloren hat, weil jemand in einer kostenlosen Testversion ein Bild erstellt hatte und es nach Ablauf des Testzeitraums nicht mehr öffnen konnte.
    Wenn ich Kunde dieses Unternehmens wäre, wäre ich ziemlich beunruhigt.

  • Man kann einfach sagen: „Ihre kostenlose Testversion ist abgelaufen, und Ihr Unternehmen kann keine weiteren Testkeys erhalten.“ Dafür braucht man weder Anwälte noch Drohungen.
    Höflich formuliert etwa: „Wir freuen uns, dass Ihnen unser Produkt gefällt. Leider können wir Sie nicht länger über kostenlose Testversionen unterstützen.“
    Wenn sie ihre Zugehörigkeit verschleiern und weiter kostenlose Testversionen bekommen, blockiert man jede entdeckte Scheinanmeldung, und wirklich als letztes Mittel schickt man eine rechtliche Warnung. Man wird nicht alle erwischen, aber für die Gegenseite wird es sehr lästig.
    Das Ziel ist, sie als zahlende Kunden zu onboarden. Jedes andere Ergebnis ist im Grunde ein Verlust. Höflich, aber bestimmt.

    • Ich hätte zumindest eine kleine Routine in die Backend-Logik für Test-Registrierungen eingebaut, die den Firmennamen und bekannte Aliasse prüft und dann eine Meldung zurückgibt wie: „Sie kommen leider nicht für eine kostenlose Testversion infrage, aber unser Vertrieb berät Sie gern! Einen schönen Tag noch!“
  • Am deprimierendsten ist, dass das alles überhaupt nicht überraschend ist.
    Genau deshalb verlangen kostenlose Testversionen zuerst eine Kreditkarte. Nicht, weil sie heimlich abrechnen wollen, sondern weil sie schwerer zu fälschen ist. Wegen solcher Leute.

    • Wenn man es wirklich darauf anlegt, ist auch diese Methode fast trivial zu umgehen. CapitalOne in den USA kann, wenn man eine Kreditkarte hat, überprüfbare virtuelle Karten erstellen, die man jederzeit kostenlos löschen oder sperren kann.
      Solche Praktiken halten vielleicht Leute davon ab, Trial-Versionen leichtfertig auszunutzen, aber gefühlt machen sie vor allem echten zahlenden Kunden das Leben schwer und halten böswillige Akteure kaum auf.
  • Als CTO lehne ich ein solches Verhalten ziemlich entschieden ab, und ich sehe die Verantwortung beim CTO des Luft- und Raumfahrtunternehmens.
    Am Anfang sparsam zu sein und sich durchzuschlagen gehört dazu, aber sobald Umsatz hereinkommt, muss man in der Phase des Skalierens vom kostenlosen Tarif auf einen Einstiegstarif wechseln.
    Es ist bedauerlich, dass es in unserer Branche Menschen gibt, die sich so verhalten.

    • Stimme zu 120 % zu. Allerdings würde mich auch interessieren, wie gut sie den kostenlosen Tarif tatsächlich ausnutzen.
      Persönlich sehe ich kostenlose Tarife bei Cloud/SaaS eher als Ausgleich für die anfänglichen Nutzungskosten. Wenn man also nicht wirklich sehr klein ist, passt ein kostenloser Tarif nicht.
  • Bei einem Consumer-Startup habe ich wegen eines Empfehlungsprogramms etwas Ähnliches erlebt.
    Jeden Monat, wie ein Uhrwerk, erstellte eine Person gefälschte Empfehlungen, um einen Monat kostenlos zu bekommen, und durchlief dafür einen ziemlich umständlichen Prozess: App neu installieren, Inhalte mit Fake-Accounts erstellen, wieder zurückkommen. Das alles, um 5 Dollar zu sparen, obwohl es auch einen kostenlosen Tarif mit fast derselben Qualität gab.
    Ich denke, der Kick, das System auszutricksen und nicht erwischt zu werden, war ebenfalls ein ziemlich großer Faktor. Ich kann es nachvollziehen.

  • Als ich früher in der IT-Abteilung eines Großunternehmens gearbeitet habe, war der Aufwand für den Kauf von Software so enorm, dass jede „kreative Lösung“ viel besser erschien.
    Das Schlimmste ist, dass günstige Software am stärksten darunter leidet. Ein Cisco-Upgrade für mehrere Millionen Dollar ist kein Problem. Es kostet ja ohnehin schon Millionen. Aber um eine E-Mail-Shareware-Lizenz für 10 Dollar zu kaufen, müssten mehrere Leute viele Arbeitsstunden aufwenden – wer macht das schon?

    • Ich hatte einmal ein Meeting mit einem Kunden. Sie evaluierten unser Produkt, und unser Produkt war keine OSS. Die Stimmung war gut, sie mochten das Produkt und es sah so aus, als würden sie kaufen.
      Dann sagte der Verantwortliche dem CEO etwas peinlich berührt, es gebe eine Regel: Das Unternehmen dürfe nur OSS verwenden. Das eigene Produkt dieses Unternehmens war allerdings selbst keine OSS.
    • Ich erlebe gerade etwas Ähnliches beim Versuch, Software zur Unterstützung von Neurodiversität auf meinem Laptop zu installieren. Es gibt viele Leute, die helfen wollen, und der Staat erstattet auch die Kosten, aber die Registrierung eines neuen Lieferanten ist schwierig und es braucht auch eine Sicherheitsfreigabe.
    • Aus Sicht der Buchhaltung ist das vermutlich vor allem eine Vorkehrung gegen Kreditorenbetrug.
  • Wenn man annimmt, dass diese Geschichte ziemlich genau ist, frage ich mich, was beide Seiten sich dabei gedacht haben.
    Dachten die, die es kostenlos nutzten, sie bewegten sich innerhalb der Regeln? Wie weit nach oben ging die Genehmigung, diese Methode weiterzuverwenden? Wollte jemand bezahlen, wurde aber blockiert? Hat jemand seinem Chef erzählt, alles sei intern gebaut worden, und will nun nicht zugeben, dass es inzwischen extern vergeben wurde und das Unternehmen exponiert ist? Ging es bis ganz nach oben, und hat ein Anwalt geraten, dass man durch guten Glauben geschützt sei, wenn man jedes Mal den Firmennamen und Klarnamen einträgt?
    Warum hat auf Anbieterseite kein Vertriebsmitarbeiter zugeschlagen, als er einen Unternehmensnutzer sah, der zehn Jahre lang gebunden war? Wie konnte man es zehn Jahre lang laufen lassen, ohne die Richtlinie ein wenig zu ändern, um diesen Trittbrettfahrer und andere, die es nachmachen könnten, zu stoppen? Was sagten die Business-Verantwortlichen in all der Zeit, wenn das Thema aufkam? Lief das Geschäft so gut, dass ihnen die Zeit zu schade war, diese Leute in zahlende Kunden umzuwandeln?