Honeys Dieselskandal: Tester erkennen und täuschen

(vptdigital.com)

1 Punkte von GN⁺ 2026-01-01 | Noch keine Kommentare. | Auf WhatsApp teilen

Es sind Hinweise darauf aufgetaucht, dass das Browser-Shopping-Plugin Honey einen „Dieselgate-artigen“ Manipulationscode verwendet, der Testsituationen erkennt und sein Verhalten daran anpasst
Honey bestimmt anhand von vier Kriterien, ob ein Nutzer ein Tester ist: Erstellungsdatum des Kontos, angesammelte Punkte, Blacklist und Erkennung von Affiliate-Netzwerk-Cookies
Trifft auch nur eines dieser Kriterien zu, führt Honey regelkonform ein „Stand-down“ aus; wird der Nutzer jedoch als normaler Anwender eingestuft, ignoriert es die Regeln und fügt Affiliate-Links zwangsweise ein
Der Analyst konnte Honeys selektive Regelverstöße wiederholt anhand von Quellcode, Konfigurationsdateien, Paketmitschnitten und Telemetrie-Logs nachweisen
Dieses Verhalten ist einem Vertuschungsversuch ähnlich wie beim Volkswagen-Dieselskandal und könnte das Vertrauen von Affiliate-Netzwerken, Merchants und Plattformen (Google, Apple) gleichermaßen beschädigen

Struktur von Honeys Regelverstößen

Honey ist so konzipiert, dass es von Affiliate-Netzwerken und Merchants festgelegte „Stand-down“-Regeln umgeht
- Stand-down ist eine Regel, nach der andere Software keine zusätzlichen Links anzeigen darf, wenn ein bestehender Web-Publisher bereits einen Affiliate-Link bereitgestellt hat
- Honey ignoriert diese Regel bei normalen Nutzern und hält sich nur dann an die Vorgaben, wenn ein Tester vermutet wird
Diese Struktur ist so angelegt, dass sie wie bei Volkswagens Dieselgate nur in Testumgebungen regelkonform arbeitet
- Obwohl Honey die Regeln kennt, versuchte es, sie zu umgehen; deshalb wird dies als vorsätzliche Vertuschung bewertet

Honey beurteilt anhand der folgenden vier Kriterien, ob ein Nutzer ein Tester ist
- Neues Konto: Liegt die Erstellung weniger als 30 Tage zurück, werden die Regelverstöße eingestellt
- Punktestand: Liegt er unter 65.000 Punkten (entspricht etwa 650 US-Dollar), wird der Nutzer als Tester betrachtet
- Server-Blacklist: Bei einer Vorgeschichte von Beschwerden oder wenn bestimmte IPs bzw. Cookies registriert sind, werden die Regelverstöße gestoppt
- Affiliate-Netzwerk-Cookies: Sind Login-Cookies von Partnern wie CJ, Rakuten Advertising oder Awin vorhanden, wird der Nutzer als Tester eingestuft
Trifft eines dieser Kriterien zu, hält Honey die Regeln ein; werden jedoch alle Prüfungen bestanden, ignoriert es die Regeln vollständig und fügt Affiliate-Links ein
Dieses Design erschwert die Erkennung durch Tester und macht kurzfristige Tests oder Prüfungen mit neuen Konten wirkungslos

Hands-on-Tests: Durch Manipulation des Punktestands wurde Honeys Reaktion verglichen
- Bei niedrigem Punktestand hielt es die Regeln ein, bei vorgetäuschtem hohem Punktestand ignorierte es die Regeln und zeigte Links an
- Nachdem Affiliate-Netzwerk-Cookies hinzugefügt wurden, hielt Honey die Regeln erneut ein
Analyse der Konfigurationsdatei: In ssd.json wurde die Logik für selektives Stand-down bestätigt
- Enthalten sind Einträge wie uP:65000 (Punkteschwelle), gca (Cookie-Prüfung) und bl (Blacklist)
- Für bestimmte Merchants wie Booking.com und Kayosports sind höhere Punktschwellen gesetzt
Telemetrie-Logs: Honey protokolliert im JSON-Format, aus welchem Grund ein Stand-down ausgeführt wurde
- Interne Entscheidungsgründe werden ausdrücklich festgehalten, etwa state:"uP:5001" oder state:"gca"
Quellcodeanalyse: Die JavaScript-Funktion P() vergleicht die einzelnen Schwellenwerte und entscheidet, ob ein Stand-down erfolgt
- Werden alle Bedingungen bestanden, wird mit dem Status "ssd" die Regel ignoriert
- Geprüft wird auch, ob email das Wort „test“ enthält und ob ein affiliate cookie vorhanden ist

Für eBay wendet Honey ein 24-stündiges Stand-down (86.400 Sekunden) an, deutlich strenger als bei anderen Merchants
- Im Code ist für die eBay-Domain sogar bedingungslos ein Stand-down fest eingebaut
- Dies wirkt wie eine Maßnahme mit Blick auf eBays striktes Affiliate-Management nach einem früheren Affiliate-Betrugsfall im Jahr 2008

2022 gab es in den meisten Netzwerken noch keine Punktschwelle; nur Rakuten (LinkShare) nutzte einen Wert von 501 Punkten (etwa 5 US-Dollar)
Im Jahr 2025 liegt dieser Wert nun bei 65.000 Punkten
- Es wird vermutet, dass Honey die Schwelle nach der Veröffentlichung von MegaLags Video im Jahr 2024 deutlich angehoben hat
Im Fall von LinkShare wurde die Schwelle dagegen gelockert; aktuell kann die Regel bereits ab 5.001 Punkten ignoriert werden

Honeys Verhalten ähnelt früheren Fällen von Affiliate-Betrug wie Cookie Stuffing, Geofencing und IP-Filtering
- Bestimmte IPs oder Cookies werden blockiert, damit Tester das Problem nicht reproduzieren können
- Durch die Erkennung von Affiliate-Netzwerk-Cookies wird gegenüber Branchenbeteiligten gezielt ein anderes Verhalten gezeigt
Diese Vertuschung ist schwerwiegender als ein bloßer Regelverstoß und belegt vorsätzliche Täuschung
- Dass Amazon Honey in der Vergangenheit als „Sicherheitsrisiko“ gewarnt hat, erscheint dadurch im Nachhinein gerechtfertigt

Möglicherweise verstößt Honey gegen Richtlinien des Google Chrome Web Store (Transparenz, Verbot der Verschleierung von Funktionen)
Auch im Apple App Store sind wegen der strengen Prüfverfahren Sanktionen möglich
Im laufenden Sammelklageverfahren dürften Honeys Vertuschungshandlungen als zusätzliche Belege genutzt werden
- Da die Ursache für Honeys unregelmäßiges Verhalten nun klarer bestimmt ist, könnte sich die Struktur des Verfahrens vereinfachen

Der Analyst manipulierte mit FiddlerScript die Kommunikation mit Honeys Servern und veränderte die Punktwerte beliebig
- So ließ sich ein Szenario mit einem Konto mit hohem Punktestand nachstellen und Honeys Reaktion überprüfen
Diese Methode wird inzwischen auch im automatisierten Monitoring-System für Shopping-Plugins von VPT eingesetzt