Honeys Dieselskandal: Tester erkennen und täuschen

 (vptdigital.com)
1 Punkte von GN⁺ 2026-01-01 | 1 Kommentare | Auf WhatsApp teilen
  • Es sind Hinweise darauf aufgetaucht, dass das Browser-Shopping-Plugin Honey einen „Dieselgate-artigen“ Manipulationscode verwendet, der Testsituationen erkennt und sein Verhalten daran anpasst
  • Honey bestimmt anhand von vier Kriterien, ob ein Nutzer ein Tester ist: Erstellungsdatum des Kontos, angesammelte Punkte, Blacklist und Erkennung von Affiliate-Netzwerk-Cookies
  • Trifft auch nur eines dieser Kriterien zu, führt Honey regelkonform ein „Stand-down“ aus; wird der Nutzer jedoch als normaler Anwender eingestuft, ignoriert es die Regeln und fügt Affiliate-Links zwangsweise ein
  • Der Analyst konnte Honeys selektive Regelverstöße wiederholt anhand von Quellcode, Konfigurationsdateien, Paketmitschnitten und Telemetrie-Logs nachweisen
  • Dieses Verhalten ist einem Vertuschungsversuch ähnlich wie beim Volkswagen-Dieselskandal und könnte das Vertrauen von Affiliate-Netzwerken, Merchants und Plattformen (Google, Apple) gleichermaßen beschädigen

Struktur von Honeys Regelverstößen

  • Honey ist so konzipiert, dass es von Affiliate-Netzwerken und Merchants festgelegte „Stand-down“-Regeln umgeht

    • Stand-down ist eine Regel, nach der andere Software keine zusätzlichen Links anzeigen darf, wenn ein bestehender Web-Publisher bereits einen Affiliate-Link bereitgestellt hat
    • Honey ignoriert diese Regel bei normalen Nutzern und hält sich nur dann an die Vorgaben, wenn ein Tester vermutet wird

  • Diese Struktur ist so angelegt, dass sie wie bei Volkswagens Dieselgate nur in Testumgebungen regelkonform arbeitet

    • Obwohl Honey die Regeln kennt, versuchte es, sie zu umgehen; deshalb wird dies als vorsätzliche Vertuschung bewertet

Mechanismus zur Erkennung von Testern

  • Honey beurteilt anhand der folgenden vier Kriterien, ob ein Nutzer ein Tester ist

    • Neues Konto: Liegt die Erstellung weniger als 30 Tage zurück, werden die Regelverstöße eingestellt
    • Punktestand: Liegt er unter 65.000 Punkten (entspricht etwa 650 US-Dollar), wird der Nutzer als Tester betrachtet
    • Server-Blacklist: Bei einer Vorgeschichte von Beschwerden oder wenn bestimmte IPs bzw. Cookies registriert sind, werden die Regelverstöße gestoppt
    • Affiliate-Netzwerk-Cookies: Sind Login-Cookies von Partnern wie CJ, Rakuten Advertising oder Awin vorhanden, wird der Nutzer als Tester eingestuft

  • Trifft eines dieser Kriterien zu, hält Honey die Regeln ein; werden jedoch alle Prüfungen bestanden, ignoriert es die Regeln vollständig und fügt Affiliate-Links ein

  • Dieses Design erschwert die Erkennung durch Tester und macht kurzfristige Tests oder Prüfungen mit neuen Konten wirkungslos

Technische Belege

  • Hands-on-Tests: Durch Manipulation des Punktestands wurde Honeys Reaktion verglichen

    • Bei niedrigem Punktestand hielt es die Regeln ein, bei vorgetäuschtem hohem Punktestand ignorierte es die Regeln und zeigte Links an
    • Nachdem Affiliate-Netzwerk-Cookies hinzugefügt wurden, hielt Honey die Regeln erneut ein

  • Analyse der Konfigurationsdatei: In ssd.json wurde die Logik für selektives Stand-down bestätigt

    • Enthalten sind Einträge wie uP:65000 (Punkteschwelle), gca (Cookie-Prüfung) und bl (Blacklist)
    • Für bestimmte Merchants wie Booking.com und Kayosports sind höhere Punktschwellen gesetzt

  • Telemetrie-Logs: Honey protokolliert im JSON-Format, aus welchem Grund ein Stand-down ausgeführt wurde

    • Interne Entscheidungsgründe werden ausdrücklich festgehalten, etwa state:"uP:5001" oder state:"gca"

  • Quellcodeanalyse: Die JavaScript-Funktion P() vergleicht die einzelnen Schwellenwerte und entscheidet, ob ein Stand-down erfolgt

    • Werden alle Bedingungen bestanden, wird mit dem Status "ssd" die Regel ignoriert
    • Geprüft wird auch, ob email das Wort „test“ enthält und ob ein affiliate cookie vorhanden ist

Auffällige Sonderbehandlung für eBay

  • Für eBay wendet Honey ein 24-stündiges Stand-down (86.400 Sekunden) an, deutlich strenger als bei anderen Merchants
    • Im Code ist für die eBay-Domain sogar bedingungslos ein Stand-down fest eingebaut
    • Dies wirkt wie eine Maßnahme mit Blick auf eBays striktes Affiliate-Management nach einem früheren Affiliate-Betrugsfall im Jahr 2008

Änderungen der Konfiguration und zeitlicher Verlauf

  • 2022 gab es in den meisten Netzwerken noch keine Punktschwelle; nur Rakuten (LinkShare) nutzte einen Wert von 501 Punkten (etwa 5 US-Dollar)
  • Im Jahr 2025 liegt dieser Wert nun bei 65.000 Punkten
    • Es wird vermutet, dass Honey die Schwelle nach der Veröffentlichung von MegaLags Video im Jahr 2024 deutlich angehoben hat
  • Im Fall von LinkShare wurde die Schwelle dagegen gelockert; aktuell kann die Regel bereits ab 5.001 Punkten ignoriert werden

Kontext der Vertuschung

  • Honeys Verhalten ähnelt früheren Fällen von Affiliate-Betrug wie Cookie Stuffing, Geofencing und IP-Filtering

    • Bestimmte IPs oder Cookies werden blockiert, damit Tester das Problem nicht reproduzieren können
    • Durch die Erkennung von Affiliate-Netzwerk-Cookies wird gegenüber Branchenbeteiligten gezielt ein anderes Verhalten gezeigt

  • Diese Vertuschung ist schwerwiegender als ein bloßer Regelverstoß und belegt vorsätzliche Täuschung

    • Dass Amazon Honey in der Vergangenheit als „Sicherheitsrisiko“ gewarnt hat, erscheint dadurch im Nachhinein gerechtfertigt

Ausblick

  • Möglicherweise verstößt Honey gegen Richtlinien des Google Chrome Web Store (Transparenz, Verbot der Verschleierung von Funktionen)
  • Auch im Apple App Store sind wegen der strengen Prüfverfahren Sanktionen möglich
  • Im laufenden Sammelklageverfahren dürften Honeys Vertuschungshandlungen als zusätzliche Belege genutzt werden
    • Da die Ursache für Honeys unregelmäßiges Verhalten nun klarer bestimmt ist, könnte sich die Struktur des Verfahrens vereinfachen

Offenlegung der Testmethode

  • Der Analyst manipulierte mit FiddlerScript die Kommunikation mit Honeys Servern und veränderte die Punktwerte beliebig
    • So ließ sich ein Szenario mit einem Konto mit hohem Punktestand nachstellen und Honeys Reaktion überprüfen
  • Diese Methode wird inzwischen auch im automatisierten Monitoring-System für Shopping-Plugins von VPT eingesetzt

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-01-01
Hacker-News-Kommentare
  • Ich habe früher bei einem Adtech-Unternehmen gearbeitet, und ich finde, das hier geht zu weit.
    Branchenbegriffe werden oft mit Formulierungen wie „revealed preferences“ oder „enabling personalization“ beschönigt, aber ich frage mich wirklich, was Ingenieure gedacht haben, als sie eine Funktion wie „selective stand down“ entworfen haben.
    Ein Produkt zu bauen, das im Auftrag eines Unternehmens Verträge umgehen soll, ist an sich schon eine Entscheidung.
    • Wahrscheinlich dachten sie so etwas wie: „Ich habe nicht die Freiheit, moralische Maßstäbe einzuhalten, ich bin als austauschbare Arbeitskraft verunsichert, der Lebensunterhalt meiner Familie und meine Krankenversicherung hängen an meinem Job, und ich glaube nicht, dass der Staat mich schützen wird.“
    • Ich finde, das unterscheidet sich nicht von Ubers Greyball-Projekt aus dem Jahr 2017.
      Wie auch der New-York-Times-Artikel zeigt, betrachten manche Unternehmen eine Kultur des Umgehens von Gesetzen und Verträgen als selbstverständlich.
    • Guido Palazzos Buch The Dark Pattern ist ein gutes Beispiel dafür.
      Das Buch zeigt, dass die Macht des Kontexts stärker ist als Vernunft oder Moral.
      Es erinnert an die „Banalität des Bösen“ im Zweiten Weltkrieg. Wenn sich alle um einen herum so verhalten, ist jeder zu allem fähig.
    • Es wirkt wie Ingenieure mit kollabierten ethischen Maßstäben, die erwarten, dass andere die Zivilisation aufrechterhalten.
    • Mir fällt der Satz ein: „Ethik kommt erst, wenn der Bauch voll ist.“
  • Das ursprüngliche MegaLag-Video kann man hier sehen.
    Wenn man ein solches System baut, sollte man sich doch eigentlich fragen: „Sind wir die Bösen?“ — aber offenbar nicht.
    • Der Autor des Blogbeitrags, Ben Edelman, kommt übrigens bei Minute 33 im Video vor.
      Seine persönliche Website ist benedelman.org/honey-detecting-testers.
    • Der Kapitalismus ist hervorragend darin, sich von bösen Taten reinzuwaschen.
      Selbst in meinem Smartphone steckt vermutlich teilweise Sklavenarbeit, und letztlich sind wir alle Teil dieser Struktur.
    • Zuerst dachte ich, „Honey“ sei ein Honigprodukt, tatsächlich war es aber eine Coupon-Erweiterung.
  • Vor etwa 15 Jahren hatte ich bei einem Telekommunikationsanbieter ein ähnliches Problem mit Affiliate-Marketing.
    Testweise haben wir alle Affiliate-Provisionszahlungen gestoppt; der Traffic ging etwas zurück, aber die Verkaufszahlen blieben fast unverändert.
    Am Ende reichte allein die Markenbekanntheit aus, um Kunden zu gewinnen.
  • Ich verstehe nicht, warum Unternehmen wie Amazon weiterhin Geld an Honeys Affiliate-Konto zahlen.
    Sie müssten doch wissen, dass es sich nicht um echten Referral-Traffic handelt, und zahlen trotzdem weiter.
  • Dass diese Erweiterung im Chrome Web Store genehmigt wurde, bedeutet, dass die Verlässlichkeit der Malware-Filterung des Stores praktisch gegen null geht.
    • Das ist allerdings keine Malware.
      Es ist nur so, dass Marketingfirmen sich gegenseitig Provisionen wegnehmen, und es werden auch keine Nutzerdaten auf Server hochgeladen.
      Alle Prüfungen finden clientseitig statt.
    • Tatsächlich weiß Google wahrscheinlich ganz genau, was Honey macht.
      Wenn sie wollten, könnten sie es mit einer einzigen Maßnahme aus Chrome entfernen.
  • Ursprünglich begann Honey als Klon von camelcamelcamel, wurde aber wegen Missbrauchs des Systems von Amazon ausgeschlossen.
    Danach wechselte es zu einer Coupon-Seite, und PayPal übernahm es für 4 Milliarden Dollar in bar.
    Das führte dazu, dass meine Affiliate-Einnahmen zurückgingen.
  • Den Archivlink gibt es hier.
    • Allerdings flackert dieser Link ständig und scrollt merkwürdig, sodass ich ihn nicht lesen kann.
      Ich weiß nicht, ob das ein Problem des Originals oder des Archivs ist.
    • Hast du archive.org vielleicht benutzt, weil die Originalseite nicht aufgeht?
      Das Original ist vptdigital.com/blog/honey-detecting-testers.
      Falls es ein Problem gibt, würde ich empfehlen, Ben Edelman direkt zu kontaktieren.
  • Soweit ich mich erinnere, ist dieser Honey-Betrugsfall schon vor etwa einem Jahr aufgeflogen.
    Ich bin überrascht, dass er in den letzten Tagen wieder in Artikeln aufgegriffen wurde.
    • Der YouTuber MegaLag hat vor einem Jahr Teil 1 hochgeladen und kürzlich Teil 2 sowie Teil 3 veröffentlicht.
      Die neuen Informationen haben Honeys Image noch weiter verschlechtert.
  • Das gesamte Affiliate-Marketing-Ökosystem wirkt auf mich wie ein Krebsgeschwür.
    Ich wünschte, Amazon würde dieses System einfach komplett abschalten.
    • Trotzdem halte ich Affiliate-Links für die fairste Form von Werbung.
      In Blogs über Holzarbeiten oder Malerei Links zu Produkten zu sehen, die tatsächlich verwendet werden, ist besser als zufällige Werbung.
    • Aus Sicht der Verbraucher wären direkte Rabatte ohnehin besser.
      Wenn der offizielle Store denselben Rabattcode anbieten würde, hätten alle etwas davon.
  • Der Originalartikel ist derzeit nicht erreichbar, kann aber unter archive.is/7Y9Jq gelesen werden.