Hinweise, dass YC-Unternehmen GitHub-Aktivitäten sammeln und Nutzern Spam-E-Mails senden

 (news.ycombinator.com)
2 Punkte von GN⁺ 2026-02-27 | 1 Kommentare | Auf WhatsApp teilen
  • Es wurde berichtet, dass einige Y Combinator( im Folgenden YC)-Portfoliounternehmen GitHub-Aktivitätsdaten von Nutzern automatisiert erfassen und darauf basierend Marketing-E-Mails versenden
  • Der Verfasser kritisierte den Empfang von E-Mails ohne Einwilligung, die auf Commit- und Repository-Aktivitäten im GitHub-Profil basierten
  • Diese E-Mails sollen laut Beschreibung zur Produktwerbung oder zur Anmeldung für einen Dienst versendet worden sein
  • In der Community wurde Kritik an Datenschutz und ethischen Marketingpraktiken geäußert
  • Der Fall dient erneut als Anlass für eine Debatte über die Grenze zwischen Datennutzung und Nutzerzustimmung im Startup-Ökosystem

Sammlung von GitHub-Aktivitätsdaten und E-Mail-Versand

  • Es wurde von Fällen berichtet, in denen einige YC-Startups öffentliche Aktivitätsdaten von GitHub-Nutzern scrapeten, um an E-Mail-Adressen zu gelangen
    • Der Verfasser erklärte, dass er nach seiner GitHub-Aktivität Werbe-E-Mails von einem bestimmten YC-Unternehmen erhalten habe
    • Der Inhalt der E-Mails war vor allem auf Produktvorstellung und die Aufforderung zur Nutzung ausgerichtet
  • Problematisch sei dabei insbesondere, dass es sich um die Nutzung von ohne Zustimmung gesammelten Daten handle

Reaktion der Community und ethische Debatte

  • Nutzer von Hacker News reagierten kritisch und betrachteten den Versand von E-Mails ohne Einwilligung als Spam
    • Einige argumentierten, dass selbst öffentliche Daten nicht automatisch für marketingbezogenes Scraping geeignet seien
  • Die Diskussion weitete sich auf die Frage des Gleichgewichts zwischen Wachstumsstrategien von Startups und Datenschutz aus
    • Gerade weil es sich um YC-Unternehmen handele, gebe es laut einigen eine höhere Erwartung an ethische Standards

Datennutzung und Nutzerzustimmung

  • Obwohl die öffentlichen Daten von GitHub zugänglich sind, wurde betont, dass für eine kommerzielle Nutzung eine ausdrückliche Zustimmung erforderlich sei
  • Die Community wies darauf hin, dass für die Aufrechterhaltung des Vertrauens im Entwickler-Ökosystem transparente Richtlinien zur Datennutzung nötig seien
  • Der Vorfall wird als ein Fall bewertet, der das Bewusstsein für automatisierte Marketingpraktiken von Startups geschärft hat

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-02-27
Hacker-News-Meinungen

  • Hier ist Martin von GitHub. Dieses Datenscraping verstößt eindeutig gegen die GitHub-Nutzungsbedingungen
    Wenn wir es entdecken, ergreifen wir Maßnahmen wie Kontosperrungen. Aber es ist ein sich ständig wiederholendes Problem, wie bei einem Whac-A-Mole-Spiel
    Aufgrund der Struktur von Git ist es technisch nicht schwer, Daten aus Open-Source-Repositories abzugreifen. Commits enthalten schließlich Namen und E-Mail-Adressen
    Damit Nutzer beim Committen anonyme E-Mail-Adressen verwenden können, bieten wir die no-reply-Adressfunktion an
    Wie man das einrichtet, steht in der offiziellen Dokumentation
    Es ist schwierig, die Offenheit von Open Source zu bewahren und gleichzeitig Spam zu verhindern. Es gibt auch API-Beschränkungen, aber darüber wird viel geklagt. Ich würde gern die Meinung der Community hören

    • Meiner Erfahrung nach blockiert GitHub solche Accounts in der Praxis nicht
      Ich habe im Juli 2025 einen Spammer gemeldet, aber keine Antwort erhalten, und der Account ist weiterhin aktiv
      Ich habe meine E-Mail veröffentlicht, weil ich erwartet habe, dass die Nutzungsbedingungen durchgesetzt werden. Wenn GitHub Spammer gewähren lässt, wird es schwer, eine öffentliche Kontaktadresse beizubehalten
    • Ich habe denselben Spam-Fall auch mehr als fünfmal gemeldet, aber es wurde nichts unternommen
      Fälle, in denen YC-Firmen Spam an meine GitHub-E-Mail geschickt haben, habe ich in meinem Blog zusammengefasst
    • Ich habe keinen konkreten Vorschlag, aber ich wäre dankbar für eine Funktion, die Pushes blockiert, wenn das E-Mail-Feld keine anonyme Adresse ist
      Die meisten Nutzer achten nicht auf Datenschutz, daher sind solche Schutzmechanismen nützlich
    • Ich bekomme viel zu oft Spam von Leuten, die mein mit Stern markiertes Repository gesehen haben und dann schreiben, ich würde „etwas Ähnliches machen“
      Deshalb vergebe ich jetzt für kein Repository mehr Sterne
    • Ich weiß, dass es gegen die Nutzungsbedingungen verstößt, aber selbst wenn ich mehrere Organisationen melde, werden die Tickets geschlossen mit der Begründung, es handle sich um Aktivitäten außerhalb der Plattform

  • Ich habe dieselbe E-Mail auch bekommen
    Sie kam vom Team von RunanywhereAI und stellte ein On-Device-LLM-SDK vor
    Nachdem ich tatsächlich mit dem Team gesprochen habe, hatte ich den Eindruck, dass sie Feedback ernst nehmen und auch das Flutter SDK schnell verbessern
    Sie haben sogar innerhalb einer Woche eine RAG-Implementierung ergänzt. Vielleicht ist es besser, es direkt auszuprobieren, statt sie öffentlich anzuprangern

  • Ich weiß, dass YC in Flock investiert hat, aber ich frage mich, was genau mit dem „YC-Ethikproblem“ gemeint ist

    • Mich erinnert das auch an die Überwachungssoftware-Demo von Optifye.ai
    • Cluely gibt es auch
    • Gecko Security gibt es auch

  • Ich mache seit langem Marketing für Entwickler, und Spam an GitHub-E-Mail-Adressen zu schicken ist eines der schlimmsten Marketingmittel überhaupt
    Cold E-Mails an Entwickler sind fast wirkungslos und beschädigen das Vertrauen in die Marke

    • Wenn mir aber jemand aufgrund meiner GitHub-Beiträge ein relevantes maßgeschneidertes Angebot schicken würde, würde ich es vermutlich positiv prüfen
      Das ist etwas völlig anderes als einfacher automatisierter Spam
    • Ich sehe das ähnlich. Wenn jemand meine Arbeit gesehen und mich direkt kontaktiert hätte, würde ich das eher als Zeichen von hohem Interesse und Einsatz empfinden

  • Es gibt einen Grund, warum YC im Bewerbungsformular fragt, ob man schon einmal „ein System gehackt und daraus Nutzen gezogen“ hat
    Sie bevorzugen Gründer, die wissen, wie man rechtliche Grauzonen ausnutzt
    Airbnb ist gewachsen, indem es gegen die Craigslist-Nutzungsbedingungen verstoßen hat, Reddit hat Inhalte von Digg gestohlen, und OpenAI hat Modelle mit urheberrechtlich geschütztem Material trainiert

  • Ich habe auch eine unerwünschte Spam-Mail von Vincent Jiang von der YC-Firma Aden bekommen
    Darin wurde ich in eine Community für die Entwicklung von KI-Agenten eingeladen

    • Von einem Unternehmen namens Backdrop habe ich ebenfalls mehrfach ähnliche Mails bekommen
      Ich habe die erste als Spam markiert, trotzdem kam wieder eine Mail mit „letzte Nachfrage“
      Solche Firmen werde ich nie wieder nutzen
    • Jemand sagte, er habe vom selben Absender ein Angebot bekommen, Open-Source-PRs für 25 bis 50 Dollar pro Stunde zu übernehmen
      Als er geantwortet hat, kam nur eine automatische Antwort zurück

  • Auch heute habe ich wieder Spam an meine GitHub-E-Mail bekommen, diesmal von der YC-nahen Firma Cactus Compute
    Sie stellten eine On-Device-Sprachmodell-Engine vor und schickten einen Link zum GitHub-Repository cactus-compute/cactus

    • Immerhin haben sie nicht nach einem Stern gefragt. Das Entwicklungstempo scheint ziemlich hoch zu sein
    • Die Formulierung „wir wären dankbar für einen Stern“ wirkte wie eine 419-Betrugsmail

  • Dieses Thema wurde schon früher mehrfach diskutiert
    Vor 11 Jahren, 7 Jahren, 5 Jahren und 4 Jahren gab es dieselbe Diskussion
    Es ist ein sich wiederholendes chronisches Problem

  • Während ich diesen Thread gelesen habe, habe ich ebenfalls eine Spam-Mail von einem GitHub-Scraper bekommen
    Der Absender war james@techglobal.website, und die Mail gab sich als Angebot zur Zusammenarbeit mit US-basierten Ingenieuren aus
    Meiner Erfahrung nach handelt es sich bei diesem Typ sehr wahrscheinlich um einen Betrugsversuch aus Nordkorea

    • Ich habe vom selben Absender fast dieselbe Mail bekommen. Nur Betreff und Signatur waren leicht anders
    • Warum denkst du, dass es Nordkorea war? Liegt es an einer Tarnstruktur mit einem anonymen Team und vorgeschobenen US-Personen?

  • Zur Einordnung: Solche unerlaubten Werbe-E-Mails sind in Europa illegal
    Die Ausrede „das wussten wir nicht“ zieht nicht. In GitHub-Profilen ist der Standort oft ausdrücklich angegeben
    Ein Startup, das mit etwas Illegalem beginnt, startet auch bei der Vertrauenswürdigkeit bereits im Minus