4 điểm bởi GN⁺ 2023-08-10 | 1 bình luận | Chia sẻ qua WhatsApp
  • Người bảo trì Hover Zoom+ đã công khai các đề nghị kiếm tiền và mua lại mà tiện ích nhận được từ năm 2015 đến 2026, đồng thời cho biết ông luôn từ chối để không bán người dùng
  • Các đề nghị lặp đi lặp lại theo những cách biến quyền của trình duyệt và tệp người dùng thành tiền, như bán dữ liệu người dùng ẩn danh, kiếm tiền từ lưu lượng tìm kiếm, chèn liên kết affiliate, hiển thị quảng cáo·coupon, cài SDK, hoặc mua lại tiện ích mở rộng
  • Các bản đề xuất nhấn mạnh những cụm như “ẩn danh”, “không có thông tin cá nhân”, “không ảnh hưởng UX”, “tuân thủ chính sách Google”, nhưng vẫn yêu cầu dữ liệu hành vi như lỗi DNS, GEO, DAU/MAU, URL, referrer, browsing behavior, clickstream, truy vấn tìm kiếm
  • Người bảo trì giải thích rằng Hover Zoom+ có khoảng 400.000 người dùng trên nhiều trình duyệt và hoạt động trên mọi trang, nên tạo ra bề mặt tấn công lớn và khả năng sinh lợi cao cho các tác nhân độc hại
  • Trong phần bình luận, các biện pháp thực tế để giảm rủi ro từ tiện ích mở rộng được nêu ra gồm kiểm tra mã nguồn, rà soát danh sách quyền, xem tab privacy practices trên Chrome Web Store, đọc đánh giá gần đây, kiểm tra network request, và giới hạn Site Access ở chế độ “On Click”

Mối lo ngại mà người bảo trì công khai

  • Người bảo trì Hover Zoom+ cho biết trong nhiều năm đã nhận được rất nhiều đề nghị kiếm tiền từ tiện ích, và nói rằng ông “phát hành công khai vì vui, chứ không phải vì lợi nhuận”
  • Ông giải thích lý do lớn nhất để tiếp tục tự bảo trì là vì khó có thể tin tưởng rằng nếu giao cho người khác, họ sẽ không bị những đề nghị như vậy cám dỗ
  • Bản thân ông nói mình có một công việc được trả công đủ tốt nên có thể giữ được “la bàn đạo đức” và bỏ qua các đề nghị đó
  • Ông cũng nói không phải nhà phát triển nào cũng có sự ổn định tài chính như vậy, nên hy vọng chuỗi thảo luận này cho thấy áp lực tiền bạc mà các nhà phát triển tiện ích mở rộng phải đối mặt

Các kiểu đề nghị kiếm tiền lặp đi lặp lại

  • Nhiều đề nghị tiếp cận với lập luận rằng tệp người dùng của Hover Zoom+ trên Chrome Web Store có thể tạo ra “doanh thu đáng kể”
  • Các cách lặp lại nhiều lần gồm:
    • Thu thập dữ liệu người dùng ẩn danh rồi bán cho quảng cáo nhắm mục tiêu, nghiên cứu thị trường, business intelligence, hoặc dưới dạng dữ liệu clickstream
    • Thêm Bing, Yahoo, Google Search hoặc search lander/feed để chia doanh thu từ truy vấn tìm kiếm và lượt nhấp quảng cáo
    • Chèn store logo, affiliate link, hoặc liên kết “Sponsored” vào kết quả tìm kiếm tự nhiên để nhận hoa hồng khi có mua hàng
    • Chèn các định dạng quảng cáo như coupon, cashback, PopUnder, in-text, new tab, search injection, in-image monetization
    • Thêm SDK hoặc vài dòng JS để tích hợp chức năng thu thập dữ liệu hay hiển thị quảng cáo vào tiện ích
    • Đề nghị mua lại chính tiện ích hoặc chuyển quyền sở hữu Chrome extension mà không cần chuyển tài khoản Google
  • Một số đề nghị còn nhấn mạnh việc kiếm tiền khó bị người dùng nhận ra, với các cụm như “soft to hard methods”, “invisible monetization methods”, “does not interfere with UX”

Dữ liệu và số tiền xuất hiện trong các đề nghị

  • Một đề nghị năm 2015 nói rằng nếu không kiếm tiền từ anonymous user data thì có thể đang “bỏ lỡ rất nhiều tiền”, đồng thời nhắc đến các mạng quảng cáo được NAI và IAB phê duyệt
  • Đề nghị nghiên cứu lỗi DNS năm 2016 yêu cầu các dữ liệu sau:
    • NXD, tức các tên miền mà người dùng nhập nhưng không tồn tại
    • Thời điểm xảy ra
    • GEO
    • ID người dùng ngẫu nhiên duy nhất mà họ khẳng định có thể băm và không thể dùng để theo dõi người dùng
  • Từ sau năm 2020, các đề nghị liên tục nhắc đến những mục như GEO, số người dùng hoạt động hằng ngày/hằng tháng, phân loại sở thích, URL, referrer, country, timestamp, browsing behavior, clickstream, browser history
  • Mức tiền được đưa ra rất đa dạng:
    • Đề nghị mua tiện ích năm 2016: $14,500
    • Đề nghị tích hợp analytics platform năm 2020: $2,000/tháng
    • Đề nghị kiếm tiền từ tìm kiếm năm 2020: tuyên bố có thể đạt $9,000/ngày với 300.000 người dùng
    • Đề nghị tích hợp data marketplace SDK năm 2021: $30,000/năm
    • Đề nghị dữ liệu năm 2023: tối đa $20K/tháng
    • Đề nghị hợp tác clickstream data năm 2024: $30,000~$40,000/tháng
    • Đề nghị mua lại năm 2024: $30,000
    • Đề nghị mua lại năm 2025: $0.05~$0.15 mỗi người dùng
  • Cuối năm 2024, một đề nghị kiếm tiền bằng thuê bao đã đưa ví dụ rằng với tệp hơn 400.000 người dùng và giả định chuyển đổi 5%, mức $0.99/tháng sẽ cho khoảng $19,800/tháng, $4.99/tháng khoảng $99,800/tháng, và $9.99/tháng khoảng $199,800/tháng

Cách người bảo trì phản ứng và tiêu chí phán đoán

  • Về lý do không công khai tên công ty, ông trả lời rằng một số công ty có thể giàu có và hoạt động hợp pháp, và ông không muốn chấp nhận rủi ro kiện tụng
  • Ông giải thích rằng quảng cáo popup thì người dùng dễ nhận ra và dễ vô hiệu hóa tiện ích gây ra nó, còn các cách làm âm thầm có thể tồn tại lâu hơn
  • Về telemetry, người bảo trì nói rằng từ góc nhìn người dùng thì đó là sự cân bằng giữa tính hữu ích và mức độ xâm phạm theo dõi, nhưng từ góc nhìn nhà phát triển thì không thêm bất kỳ cơ chế theo dõi nào là cách tốt nhất để tiếp cận tập người dùng rộng nhất và tránh tranh cãi về mức độ ẩn danh hóa
  • Trước ý kiến cho rằng tên Hover Zoom+ dễ bị nhầm với Hover Zoom từng dính tranh cãi độc hại trong quá khứ, ông đáp rằng mục tiêu không phải là thu hút mọi người dùng; đã có hơn 300.000 người thấy nó có giá trị, và vì đây là tiện ích miễn phí, không doanh thu, ông sẽ không dành thời gian đổi tên hay chứng minh thêm
  • Trong bình luận năm 2023, người bảo trì tóm tắt giá trị của Hover Zoom+ bằng hai điểm:
    • Khoảng 400.000 người dùng trên tất cả trình duyệt
    • Hoạt động trên mọi trang, không chỉ một website cụ thể
  • Ông nói sự kết hợp của hai yếu tố này tạo ra bề mặt tấn công tiềm năng rất lớn với người dùng cuối, đồng thời đồng nghĩa với khả năng kiếm lợi lớn cho các tác nhân độc hại

Dấu hiệu cảnh báo rủi ro cho người dùng và nhà phát triển

  • Một bình luận lưu ý rằng sau khi tiện ích bị mua lại, phiên bản kế tiếp có thể cài adware hoặc botnet script và vẫn hoạt động mà không cần hiện thêm cửa sổ xin quyền do đã có sẵn quyền cũ
  • Một bình luận khác giải thích rằng một số đề nghị dữ liệu có thể liên quan đến việc bán dữ liệu người dùng cho mục đích AdTech/RTB, đồng thời dẫn liên kết đến tài liệu adtech của Privacy International
  • Với đề nghị yêu cầu dữ liệu lỗi DNS, một bình luận diễn giải rằng mục đích có thể là chiếm các tên miền gõ sai phổ biến hoặc tên miền đã hết hạn để chặn hướng đi của người dùng
  • Bình luận nhắc đến trường hợp The Great Suspender chỉ ra rằng một số thương vụ không nhắm đến cài SDK mà nhằm chuyển giao repository hoặc quyền sở hữu tiện ích
  • Một trong các đề nghị năm 2026 nhắc đến quyền you.com, đọc nội dung trang, ghi lại keystroke, gửi dữ liệu ra máy chủ ngoài, truy cập session cookie, và thu thập browsing history, nhưng ghi chú của người bảo trì bổ sung rằng Hover Zoom+ không làm những việc đó, và ví dụ này chỉ cho thấy công ty kia muốn mua loại dữ liệu nào

Cách kiểm tra một tiện ích có bị kiếm tiền hóa hay không

  • Người bảo trì nói cách đáng tin cậy nhất là đọc mã nguồn
  • Ngoài ra, ông nêu ra các dấu hiệu để kiểm tra:
    • Xem tab privacy practices trên Chrome Web Store để biết nhà phát triển có công khai rằng họ không thu thập hay sử dụng dữ liệu hay không
    • Kiểm tra xem có public source hay không
    • Kiểm tra danh sách quyền của tiện ích có yêu cầu những quyền đáng ngờ không phù hợp với chức năng hay không
    • Xem các đánh giá người dùng gần đây có lặp lại một kiểu phàn nàn nào về hành vi của tiện ích hay không
    • Tham khảo ước tính rủi ro từ các trang như chrome-stats
  • Người bảo trì nói thêm rằng mọi dấu hiệu này đều có thể bị thao túng, nên chúng gần với việc xác định vấn đề hơn là “chứng minh vô tội”
  • Một bình luận khác gợi ý rằng do Webpack và các công cụ tương tự có thể khiến việc đọc mã nguồn khó khăn, nên cách dễ hơn có thể là kiểm tra các network request mà tiện ích tạo ra
  • Bình luận đó cũng khuyên nên kiểm tra cả các request từ background hoặc service worker, và giải thích rằng vì nhiều tiện ích chạy trên mọi trang nhiều hơn mức cần thiết, người dùng có thể giới hạn Site Access của Chrome thành “On Click”

Phản ứng của cộng đồng và thảo luận tiếp theo

  • Nhiều bình luận ủng hộ việc người bảo trì không bán người dùng và công khai các đề nghị này
  • Một người dùng nói rằng cả người dùng lẫn nhà phát triển tiện ích cần nhận thức nhiều hơn về những thực hành như vậy
  • Người bảo trì đáp lại rằng tình hình xung quanh các tiện ích độc hại vốn đã đủ tệ, và nhiều người hơn cần biết điều đó
  • Trước bình luận cho biết chủ đề này đã được đăng lên Hacker News, người bảo trì nói ông hy vọng điều đó sẽ truyền cảm hứng để các nhà phát triển khác dám “stand”
  • Một nhà phát triển tiện ích khác cho biết bản thân họ cũng có 170.000 người dùng và đã nhận nhiều đề nghị tương tự; với tư cách một sinh viên nghèo thì đó là cám dỗ rất lớn, nhưng cuối cùng họ đã kiếm tiền theo những cách khác ít xâm phạm hơn

1 bình luận

 
GN⁺ 2023-08-10
Các ý kiến trên Hacker News
  • ChatGPT for Google từng đứng số 1 trên HN hồi đầu năm nay, nhưng nhìn kho GitHub hiện tại thì tiện ích mở rộng đó đã được bán rồi
    Tôi cũng từng có một tiện ích mở rộng dự án phụ miễn phí với khoảng 25.000 lượt cài đặt, và nhận được khá nhiều liên hệ nói rằng “sẽ giúp kiếm tiền”
    Vì vậy tôi thấy đáng để tổng hợp đủ loại con đường kiếm tiền đầy đáng ngờ: https://mattfrisbie.substack.com/p/the-ugly-business-of-mone...

    • Đề xuất quái gở nhất tôi từng thấy ở mảng ứng dụng di động là bật micro của người dùng để nghe âm thanh quảng cáo TV xung quanh, nhằm theo dõi họ đã tiếp xúc với quảng cáo nào ngoài đời
      Ngành công nghệ quảng cáo nói chung thật sự là một lĩnh vực đáng kinh tởm
    • Nếu được đề nghị 11.000 đô la cho một tiện ích mở rộng thì có lẽ khá khó để từ chối
      Số tiền đó sẽ khiến vấn đề tiền đặt cọc mua nhà nhỏ đi rất nhiều
      Luôn tốt khi nghĩ trước ranh giới đạo đức của mình nằm ở đâu
    • Tôi không hề ngạc nhiên khi một trong những email tôi nhận được trùng khớp hoàn toàn với lời lẽ trong bài được liên kết, chỉ khác tên tiện ích mở rộng
      Rõ ràng phần lớn các đề nghị rác kiểu này đã được tự động hóa
      Đại loại như: “Tôi là người hâm mộ [extension name], và thật sự thích việc nó tiện lợi và hữu ích đến mức nào.
      Bạn đã cân nhắc cung cấp vị trí quảng bá cho những người muốn quảng cáo sản phẩm của họ trong tiện ích mở rộng chưa? Tôi muốn quảng bá tiện ích mở rộng của mình trong [extension name], và muốn thảo luận về khả năng này.
      Nếu bạn quan tâm, xin hãy cho tôi biết.”
  • Nhân tiện, tiện ích mở rộng JSON Formatter [0] mà có lẽ vài người ở đây đang dùng là của tôi
    Tôi tạo nó 12 năm trước, công bố mã nguồn mở, duy trì đến nay, và [1] hiện có 2 triệu người dùng
    Tôi nghiêm túc thề rằng sẽ không bao giờ thêm mã gửi bất kỳ dữ liệu nào đi đâu cả, cũng sẽ không giao nó vào tay người sẽ làm chuyện đó
    Tôi đã nhiều lần nhận được các đề nghị tiền mặt rất hấp dẫn từ những người đáng ngờ, có vẻ muốn đánh cắp dữ liệu của mọi người hoặc làm chuyện còn tệ hơn
    Đôi khi tôi nghĩ lẽ ra mình không nên gắn tên mình vào đó. Nếu vậy có lẽ tôi đã có thể nhận tiền mà không làm tổn hại danh tiếng
    Nhưng vì đã gắn tên mình, nên tôi chỉ còn cách giữ danh dự. Dù sao điểm tốt là tôi luôn có thể nói rằng mình chưa bao giờ bán đứng nó
    [0] https://chrome.google.com/webstore/detail/json-formatter/bcj...
    [1] Thành thật mà nói thì tôi cũng không tốn nhiều công sức lắm

    • Trước đây tôi từng có một tiện ích mở rộng mà tôi hứa sẽ không bao giờ bán, cũng không cập nhật sau bản phát hành đầu tiên
      Vì nó chỉ có một dòng nên hoàn toàn không có gì để thay đổi
      Nhưng Chrome Web Store đã gỡ nó xuống sau hơn 5 năm, có lẽ vì tôi chưa từng phát hành bản cập nhật nào nên các trường nhập liệu về sau trở thành bắt buộc vẫn bị bỏ trống
    • Nếu đề nghị tiền mặt tỉ lệ tuyến tính với số người dùng, tiện ích mở rộng đó hẳn là một cám dỗ rất lớn
      Thật đáng kính khi bạn đã không bán đứng nó
      Tôi tự hỏi liệu bạn có nghĩ đến việc bắt đầu công khai các lời đề nghị mua lại như tôi đang làm không
    • Chuyện này thật sự khiến tôi thấy rất lạ
      Rõ ràng bạn đang tạo ra giá trị cho thế giới, và theo quan niệm đạo đức của tôi, bạn phải có quyền thu lại một phần giá trị đó mà không cần làm điều gì đáng ngờ
      Tôi là nhà sáng lập Streak, và chúng tôi trực tiếp kiếm tiền từ tiện ích mở rộng của mình, giống như Grammarly và những nơi khác
      Tôi tò mò liệu bạn đã từng thử yêu cầu người dùng trả tiền trực tiếp cho công sức bạn bỏ ra chưa
    • Với tư cách là người dùng tiện ích mở rộng đó hằng ngày, tôi thật sự biết ơn ý chí mạnh mẽ của bạn
      Trong ngành này, có vẻ càng ngày càng khó duy trì ý thức đạo đức vững vàng
    • Tôi tự hỏi nếu một tiện ích mở rộng tôi đang dùng bị bán đi thì nó có hỏi khi quyền thay đổi không
      Hay là cứ lặng lẽ nhét thêm vào
      Ít nhất tôi muốn thấy một thông báo bật lên có thể đóng vai trò tín hiệu cảnh báo
  • Tôi là người bảo trì
    Tiện ích mở rộng của tôi trên thực tế gần như không thể kiếm tiền, nên bất kỳ đề nghị nào tôi nhận được cũng đều đòi hỏi một mức hy sinh đạo đức nào đó
    Đề nghị ít xâm phạm nhất tôi từng thấy cho đến nay là đặt trong tiện ích của tôi một liên kết chéo dẫn sang tiện ích mở rộng khác, tương tự như việc DarkReader làm trên website của họ
    Dù không xâm phạm dữ liệu người dùng, lý do tôi không làm là vì như vậy chẳng khác nào gián tiếp bảo chứng cho tiện ích mở rộng kia, trong khi tôi không kiểm soát được họ xử lý dữ liệu người dùng ra sao

    • Bạn đang làm một việc thật sự đáng kính trọng
      Nếu chuyện này lan rộng, nó sẽ giúp phá vỡ nhận thức phổ biến nhưng ít được nói ra rằng “cuối cùng ai cũng bán đứng thôi”
    • Cảm ơn vì đã nói minh bạch
      Hiện tôi không dùng Chrome nữa, nhưng trước đây tôi thật sự thích Hover Zoom+, còn vợ tôi đến giờ vẫn dùng tốt
      Đây là một tiện ích mở rộng tuyệt vời, và sau khi đọc bình luận này cùng issue GitHub được liên kết, tôi càng thấy yên tâm hơn
    • Trước đây tôi rất thích Hover Zoom, nhưng không rõ có đúng là nó từng có tranh cãi về mã độc một thời gian không, hay tôi đang nhầm với một plugin có tên tương tự
      Khi đó tôi đã chuyển sang imagus và quen với nó
      Dù sao cũng cảm ơn vì đã từ chối các nỗ lực kiếm tiền
  • Tôi không biết lời giải cho vấn đề này, nhưng tôi biết vài công ty hợp pháp, đáng tin cậy, vừa thực sự kiếm tiền từ người dùng bằng tiền thật, vừa bán dữ liệu người dùng với giá khoảng 20 bảng mỗi năm
    Tôi sẽ không bao giờ làm vậy vì xâm phạm quyền riêng tư đi ngược lại cốt lõi niềm tin của tôi, nhưng ở đây có một xung đột chưa được giải quyết
    Một mặt, tôi biết rằng đại đa số người dùng thà bán quyền riêng tư của mình còn hơn trả dù chỉ một xu
    Họ lúc nào cũng sẵn sàng bấm nút “bán dữ liệu của tôi” hơn là nút “trả tiền”
    Tôi có thể nói mình biết điều đó vì đã tiếp xúc với đủ nhiều người dùng
    Nhiều người dùng sẽ làm ầm lên nếu không được miễn phí, nhưng lại chẳng mất ngủ vì chuyện giao nộp thông tin cá nhân
    Tất nhiên, tôi đang nói về đa số nói chung
    Mặt khác, tôi muốn internet trở thành một nơi mà những kẻ vô lương tâm không thể phát triển mạnh
    Trong thế giới thực, hầu hết mọi người không kỳ vọng nhận được thứ gì đó miễn phí, vậy tại sao internet lại phải khác
    Tại sao tất cả mọi người, kể cả chính tôi, luôn tìm kiếm đồ miễn phí trên internet
    Tệ nhất là cuối cùng, những chủ thể duy nhất sẵn sàng chi tiền online lại là kẻ trộm dữ liệu và nhà quảng cáo
    Những người còn lại thì đang bán linh hồn của mình
    Các nhà phát triển bị kỳ vọng phải làm việc miễn phí để toàn bộ cấu trúc này tiếp tục tồn tại

    • Bạn nói “người ta lúc nào cũng sẵn sàng bấm ‘bán dữ liệu của tôi’ hơn là ‘trả tiền’”, nhưng thực tế chưa bao giờ có một lựa chọn rõ ràng như vậy được đưa ra, nên không thể biết được
      Hơn nữa, cách gọi “dữ liệu” cũng mơ hồ đối với người dùng thông thường
      Các quy định như ở EU và California nên buộc phải làm đúng điều này
      Nếu đưa ra lựa chọn kiểu “Đây là các dữ liệu chúng tôi có về bạn: bao gồm các sản phẩm từ việc theo dõi rùng rợn a,b,c,d... Nếu bạn cho phép chúng tôi xâm phạm quyền riêng tư của bạn theo nhiều cách, chúng tôi sẽ tặng miễn phí món đồ lặt vặt nhỏ này. Hoặc bạn trả x đồng”, thì bao nhiêu người sẽ chọn bị xâm phạm quyền riêng tư
      Một phần đáng kể của internet, dưới hình thức nào đó, là giao tiếp
      Trong thế giới thực, nhiều hình thức giao tiếp cũng là miễn phí
      Tôi lại thắc mắc vì sao mọi người mặc định internet là một nền tảng để làm giàu bằng cách bán đồ trang sức lặt vặt cho những thổ dân thiếu hiểu biết
      Có những thứ có lẽ sẽ tốt hơn nếu được vận hành phi lợi nhuận
    • Lời giải có thể là tiện ích mở rộng mã nguồn mở và đã được kiểm toán
      Firefox dường như đã có thứ như vậy rồi (https://mzl.la/3Acn4DU)
      Tôi không biết đơn vị kiểm toán nào dành cho tiện ích mở rộng Chrome
      Chỉ cần để một tổ chức hoặc nhóm đáng tin cậy như Google hay Mozilla kiểm toán các tiện ích mở rộng và “chứng nhận” rằng chúng không có mã độc
      Ngoài ra, tiện ích mở rộng phải là mã nguồn mở 100%, và nếu tổ chức đáng tin cậy bị xâm nhập hoặc làm không tốt, cuối cùng chuyện đó cũng sẽ lộ ra và mọi người sẽ ngừng sử dụng
      Tất nhiên không hoàn hảo
      Adware có thể bị che giấu cả với bên kiểm toán, hoặc bên kiểm toán bị xâm nhập mà không ai hay biết
      Tiện ích mở rộng càng có nhiều mã phức tạp thì càng tốn kém và mất thời gian, nên cả những tiện ích mở rộng phổ biến không có vấn đề gì cũng có thể không được chứng nhận
      Các thay đổi cũng luôn phải được kiểm toán, khiến cập nhật bị chậm và bị kìm lại
      Vấn đề cuối cùng dễ bị bỏ qua là bên kiểm toán có thể thiên vị khi phê duyệt một tiện ích mở rộng nào đó, chẳng hạn phía trả tiền
      Nếu mã quá khó đọc hoặc đang ở phía sau hàng đợi xét duyệt thì có thể không được phê duyệt, mà tiêu chí “quá khó đọc” và vị trí trong hàng đợi lại dễ bị tiền bạc tác động
      Dù vậy, tiện ích mở rộng web là loại phần mềm phù hợp để kiểm toán hơn so với các ứng dụng khác
      Nhìn chung chúng nhỏ và đơn giản hơn nhiều, cần ít người dùng hơn, và hoạt động trong một phạm vi có mức độ tin cậy rất cao: toàn bộ hoạt động duyệt web, bao gồm cả ngân hàng và các trang nhạy cảm
      So với ứng dụng điện thoại được sandbox hoặc chương trình user-mode trên máy tính, thiệt hại vẫn có, nhưng nhỏ hơn nhiều
    • Trên internet không có vật tương đương tiền mặt hoàn toàn ẩn danh mà lại dễ dùng
      Khi thanh toán thứ gì đó, đằng nào bạn cũng phải giao thông tin định danh
      Trao đổi giá trị rõ ràng đang nghiêng về một phía, nhưng nếu để có được X mà bạn vừa phải chia sẻ danh tính vừa phải trả tiền, thì bạn vừa mất tiền vừa chia sẻ danh tính
      Nếu chia sẻ danh tính và nhận X miễn phí, ít nhất bạn không mất tiền
    • Lựa chọn giữa “bán dữ liệu của tôi” và “trả tiền” trên thực tế gần như không xảy ra
      Trong thực tế, bạn thường đứng giữa lựa chọn: dù trả tiền vẫn bị bán dữ liệu, còn dùng miễn phí thì bị bán dữ liệu rất nhiều
      Phần lớn dịch vụ trả phí cũng ghi trong chính sách quyền riêng tư, điều khoản và thỏa thuận người dùng cách họ bán dữ liệu hệt như vậy
      Trường hợp tốt nhất, bạn chỉ có thể hy vọng rằng vì ít desperate hơn về dòng tiền nên họ sẽ chọn lọc hơn một chút về đối tượng bán dữ liệu
      Nhưng tác động lên người dùng lại lớn hơn
      Giờ họ có thẻ tín dụng, địa chỉ, tên thật, số điện thoại, và tất cả những thứ này đều dễ bị hack và rò rỉ
      Vì khó giả mạo các thông tin này hơn so với tài khoản miễn phí, dữ liệu được thu thập có giá trị hơn, và cám dỗ cũng lớn hơn tương ứng
      Hơn nữa, dịch vụ trả phí có hệ thống đăng ký thuê bao thù địch với người tiêu dùng đầy rẫy dark pattern
      Nếu không thích và muốn hủy thì phiền phức một cách vô ích, ngay cả dùng thử miễn phí cũng yêu cầu thẻ tín dụng
      Tính minh bạch về việc tiền thực sự được dùng vào đâu cũng rất thấp
      Nhiều dịch vụ vận hành trong tình trạng thua lỗ, phí khách hàng chỉ là vỏ bọc, còn tiền thật đến từ nhà đầu tư
      Với một số công ty, mô hình trả phí gần như chỉ là ngụy trang, còn lối thoát thực sự có thể là thu thập dữ liệu trong vài năm rồi được một công ty tổng hợp dữ liệu mua lại
      Ở phía ngược lại cũng có những người câu khách nhẹ dạ bằng mức giá bị thổi phồng vô lý
      Vì những lý do này, lựa chọn trả tiền đã bị vấy bẩn bởi sự thiếu tin tưởng, chứ không chỉ vì người tiêu dùng keo kiệt và có tâm lý đòi quyền lợi
      Sự thiếu tin tưởng có thể nhanh chóng làm bất kỳ thị trường nào đình trệ
      Dù vậy, tôi không trách ngành này quá nhiều
      Như California năm 1848, khó mà trách người nhặt vàng nằm la liệt ngoài kia
      Vấn đề thật sự là thiếu công cụ, hạ tầng và khung pháp lý cho phép người dùng thấy và kiểm soát cách dữ liệu của họ được sử dụng
      Nếu mọi người thật sự muốn bán dữ liệu của mình thay vì thanh toán, thì cứ để họ làm vậy
      Nhưng hiện tại, phần lớn người dùng không biết chính xác dữ liệu nào đang được thu thập, giá trị của nó là bao nhiêu
      Họ không ở trong trạng thái có thể quyết định hợp lý rằng mua ứng dụng 5 đô la sẽ tốt hơn bị khai thác dữ liệu trị giá 20 đô la
    • Bản thân một quyết định được cung cấp đầy đủ thông tin thì không có vấn đề lớn
      Điều gây khó chịu là khi các ứng dụng che giấu việc kiếm tiền từ dữ liệu, biến nó thành bắt buộc, hoặc không cung cấp cách sử dụng dịch vụ nếu không đồng ý
      Đặc biệt tệ hơn nữa là những dịch vụ thậm chí không cho phép chọn không tham gia

Ví dụ, nơi tôi làm việc vừa mới áp dụng dịch vụ “The Work Number” của Equifax, nên dù tôi có tạo tài khoản hay không thì dữ liệu của tôi cũng đã nằm ở đó rồi
Tệ hơn nữa là nếu tôi không tạo tài khoản, vẫn còn khả năng ai đó sẽ cố tạo tài khoản để thu thập thêm thông tin bất chấp ý muốn của tôi
Dù mọi người chọn làm gì với dữ liệu của chính họ, tôi không cảm thấy có nghĩa vụ đạo đức phải áp đặt quan điểm của mình
Nếu họ thật sự đồng ý và muốn tiết kiệm 20 đô la, hoặc số tiền tương ứng với giá trị của dữ liệu đó trong ứng dụng, thì việc tôi tước đi lựa chọn của họ chỉ vì tôi không đồng ý với cách họ xử lý thông tin riêng tư cũng chẳng khác mấy với việc áp đặt vì cùng lý do
Khác biệt quan trọng đối với tôi là liệu tôi có thu lợi từ đó hay không, nhưng nếu trong từng trường hợp người dùng đều có quyền lựa chọn, thì thật ra điều đó không quan trọng đối với cách người dùng cân nhắc tình huống

  • Nếu vận hành một website, bạn sẽ liên tục nhận được những email kiểu này
    “Xin chào,
    Tôi muốn hỏi liệu bên bạn có nhận bài guest post hoặc chèn liên kết vào các bài viết hiện có không. Nếu có thể, tôi muốn biết thêm về hướng dẫn và các chủ đề quan tâm.
    Cảm ơn bạn đã dành thời gian. Tôi mong nhận được phản hồi.
    Trân trọng.”
    Những thứ này chắc chắn là spam hàng loạt. Trang của tôi thậm chí còn không có blog
    Trang của tôi cũng có vài bản tải xuống phần mềm Windows, và thỉnh thoảng tôi cũng nhận được email đề nghị gói kèm trình cài đặt đáng ngờ
    Phần lớn là các dịch vụ proxy dân cư muốn bán quyền truy cập vào kết nối Internet của người dùng

    • Chúng tôi vận hành một blog đào tạo cho sản phẩm SaaS, và tuy cũng có email thật từ độc giả, spam thì rất nhiều, trong đó có một số được làm tinh vi đến mức đáng sợ
      Chúng nhồi nhét quá nhiều ngữ cảnh khiến trông như người thật, cuối cùng làm lãng phí rất nhiều thời gian và nói thật là khá gây tổn thương
      Chúng tôi dành nhiều thời gian để chia sẻ tài liệu, nên những kết nối giả tạo như vậy gây cảm giác rất khó chịu
      Gần đây, chúng tôi nhận dồn dập các email kiểu “danh sách đề cử giải thưởng” do AI viết, với rất nhiều ngữ cảnh sâu
      Kiểu như chỉ cần một khoản thanh toán dễ dàng là sẽ được cân nhắc làm ứng viên cho giải thưởng
      Tuy nhiên chúng luôn quên điều chỉnh chủ đề rằng chúng tôi không vận hành dịch vụ bảo mật phần mềm mà làm về web scraping
      Có lẽ AI sẽ giết chết việc trao đổi email giữa những người xa lạ
      Càng ngày càng quá mệt mỏi
    • Đây là kiểu email tôi thích nhất trong số những email nhận được khoảng mỗi tháng một lần dưới nhiều hình thức
      Chức danh gắn ở cuối thật buồn cười
      “Tiêu đề: Tôi đã phát hiện một lỗ hổng bảo mật trên website của bạn.
      Xin chào đội ngũ,
      Tôi là Harris, một nhà nghiên cứu bảo mật, và tôi đã phát hiện một lỗ hổng bảo mật trên website của bạn ngoài chương trình bug bounty.
      Tôi có thể tiết lộ tất cả các lỗ hổng đã phát hiện cùng cách khắc phục phù hợp để giúp website của bạn an toàn hơn.
      Các công ty tôi từng giúp đỡ luôn rất hào phóng và đã thưởng cho tôi số tiền mà họ cho là phù hợp với vấn đề tôi phát hiện. Nếu bạn đánh giá cao sự hỗ trợ của tôi, tôi sẽ rất vui nếu được nhận khoản thưởng qua PayPal, Bitcoin, Payoneer hoặc chuyển khoản ngân hàng.
      Mong nhận được phản hồi tích cực.
      Trân trọng,
      Harris A
      Certified Ethical Hacker”
    • Tôi tò mò không biết những người này đang nghĩ gì
      Các nhà vận hành TOR biết rủi ro của việc chia sẻ kết nối, đặc biệt là nguy cơ những kẻ ấu dâm dùng dịch vụ đó để chia sẻ CSAM
      Nhưng người bình thường thì không biết
      Hoàn toàn không biết cho đến một ngày bị bắt
    • Tôi muốn để lại một thẻ liên hệ hoạt động trên website, nhưng làm vậy có vẻ sẽ kéo về một lượng khổng lồ spam kiểu này, hoặc những lời đề nghị từ các nhóm web developer ngẫu nhiên muốn “cải thiện” website đơn giản, mộc mạc của tôi
    • Nhờ chuyện này mà tôi bớt được một việc phải làm
      Tôi cũng nhận những email như vậy, nhưng vì đang vận hành site WordPress nên tôi từng chắc chắn rằng họ fingerprint website rồi chỉ gửi mail cho các site WordPress
      Vì thế việc kiểm tra xem có thể che dấu fingerprint WordPress hay không từng nằm trong danh sách việc cần làm của tôi
      Nhưng nghe nói thế này thì rõ ràng sẽ chẳng có mấy tác dụng
      Nhìn lại thì lẽ ra tôi đã có thể nhận ra rằng những spammer này đơn giản là sẽ rải hàng loạt cho tất cả mọi người
  • Vấn đề gốc rễ ở đây là không có cách nào kiếm tiền một cách hợp pháp từ tiện ích mở rộng trình duyệt
    Vì tiện ích mở rộng được thiết kế để đơn giản, rất khó bán tính năng premium, và thường cũng không có không gian riêng để đặt quảng cáo

    • Trước đây từng có cách
      https://developer.chrome.com/docs/webstore/money/
      “Trong 11 năm kể từ khi ra mắt Chrome Web Store, web đã phát triển rất nhiều. Khi đó, chúng tôi muốn cung cấp cho các nhà phát triển một cách để kiếm tiền từ các mục trên Web Store. Nhưng kể từ đó, hệ sinh thái đã trưởng thành, và các nhà phát triển hiện có nhiều lựa chọn xử lý thanh toán có thể sử dụng.”
    • Về lý thuyết, người dùng tiện ích mở rộng có thể sẵn sàng trả tiền cho giá trị mà tiện ích đó mang lại
      Những tác nhân độc hại gửi các email kiểu này thì sẵn sàng trả tiền cho giá trị mà dữ liệu người dùng mang lại cho họ
      Hai con số này không liên quan gì đến nhau, và trong nhiều trường hợp giá trị của dữ liệu người dùng cao hơn nhiều so với giá trị của chức năng tiện ích mở rộng
      Không có cách kiếm tiền nào có thể giải quyết vấn đề này
      Vì hai khách hàng tiềm năng đó không mua cùng một sản phẩm
    • Tôi tự hỏi liệu có ai tin rằng nếu có cách kiếm tiền từ tiện ích mở rộng thì các nhà phát triển đã không bị kẻ trộm dữ liệu tiếp cận hay không
    • Nếu người dùng có thể tắt cập nhật tiện ích mở rộng, hoặc phải đồng ý rõ ràng với các bản cập nhật, thì có lẽ ít nhất cũng khiến kiểu tấn công này khó hơn
      Phần lớn tiện ích mở rộng rất đơn giản và thật ra không cần cập nhật
      Vậy mà cơ chế cập nhật lại hoàn toàn tự động trong im lặng và không có rollback
      Tôi thậm chí không nghĩ ra Steam có kiểu cập nhật hung hăng đến mức này
    • Tôi không hẳn nghĩ vậy
      Tôi vận hành một API cấp phép phần mềm, và có không ít khách hàng là tiện ích mở rộng trình duyệt với cơ sở người dùng khá ổn
      Cũng như các kênh phân phối khác, cơ hội kiếm tiền vẫn tồn tại
  • Đề xuất này trông có vẻ vô hại, thậm chí có thể hữu ích, nên khá thú vị
    Họ nói là giám sát lỗi DNS, không biết mình đang bỏ sót điều gì
    “Có lẽ anh/chị thường nhận được các đề nghị kinh doanh, nên tôi xin đi thẳng vào vấn đề. Nội dung tôi đề xuất hơi khác một chút và hy vọng là thực sự có thể thú vị. Tôi nghĩ Hover Zoom+ là một lựa chọn thay thế tuyệt vời cho người anh em lớn hơn Hover Zoom, vốn đã mất sức hút trong vài tháng qua.
    Chúng tôi đang thực hiện nghiên cứu về lỗi DNS và quan tâm đến một lượng nhỏ dữ liệu ẩn danh mà có thể được cung cấp thông qua tiện ích Chrome của anh/chị. Nghiên cứu của chúng tôi đã diễn ra trong nhiều năm và Google chưa từng nêu vấn đề.

    • Tương thích với các chính sách nghiêm ngặt của Google
    • Không có dữ liệu người dùng cá nhân
    • Không quảng cáo, không mã độc
      Dữ liệu chúng tôi quan tâm về cơ bản chỉ là lỗi DNS:
    • NXD – tên miền không tồn tại - tên miền người dùng nhập vào dẫn đến lỗi DNS
    • Dấu thời gian – thời điểm xảy ra
    • GEO – vị trí xảy ra (USA, UK, RU, v.v.)
    • ID người dùng duy nhất được tạo ngẫu nhiên (có thể băm, không thể truy ngược về người dùng). Xin đừng nhầm với địa chỉ IP của người dùng.
      Chỉ có vậy. Anh/chị có thể dùng script của chúng tôi, hoặc tự thu thập dữ liệu rồi gửi đến máy chủ FTP, API, v.v. Có nhiều cách thực hiện. Chúng tôi thanh toán theo tháng; số tiền phụ thuộc vào GEO của người dùng, nhưng sẽ ở mức vài nghìn đô la mỗi năm.
      Liệu có đáng để trao đổi ngắn gọn không? Mong nhận được phản hồi từ anh/chị.
      Cách đây không lâu chúng tôi đã liên hệ về nghiên cứu lỗi DNS mà công ty chúng tôi đang thực hiện. Hover Zoom+ sẽ là một phương tiện lý tưởng cho nghiên cứu của chúng tôi. Đổi lại, đây có thể trở thành một nguồn doanh thu mới vững chắc cho anh/chị.
      Cách làm của chúng tôi đã tồn tại nhiều năm và chưa từng gặp vấn đề với Google. Chúng tôi thanh toán định kỳ hằng tháng. Với anh/chị, con số sẽ ở mức hàng chục nghìn đô la mỗi năm, tùy thuộc vào cơ sở người dùng và chất lượng dữ liệu.
      Nếu anh/chị lo ngại việc nhúng script bên thứ ba, vẫn còn rất nhiều cách để thực hiện việc này.
      Hãy cho tôi biết liệu có đáng để trao đổi ngắn gọn không.”
    • Nếu đoán thì có thể họ muốn mua những tên miền đang có truy vấn nhưng vẫn còn có thể đăng ký
      Ví dụ như các tên miền thường bị gõ sai
      Không hẳn là bị cấm, nhưng vẫn hơi đáng ngờ
    • Đây là nghiên cứu chiếm trước tên miền gõ sai
      Họ xem những tên miền người dùng thường gõ sai và nhận phản hồi NX, rồi đăng ký chúng để hiển thị quảng cáo hoặc làm phishing, v.v.
    • Khả năng cao là họ muốn tìm những tên miền mọi người hay gõ sai, mua chúng rồi chạy quảng cáo
    • Tôi cá là họ muốn biết mọi người gõ nhầm hoặc quan tâm đến những tên miền nào, để lừa đảo hiệu quả hơn
    • Có tiền trao đổi nhưng lại không nêu rõ ý định thiện chí
      Vì vậy, trong trường hợp tốt nhất thì vẫn có lợi ích kinh doanh nào đó, còn tệ nhất thì có thể là hành vi gây hại cho người dùng
      Viết một script bề ngoài trông như làm một việc nhưng bí mật mang thêm thông tin khác đi không hề khó
      Ví dụ viết một hàm băm tệ? Dễ như ăn kẹo
      Luôn phải đi theo độ dốc của ATP
  • Nếu ngay cả một tiện ích có khoảng 300 nghìn người dùng cũng nhận nhiều đề nghị hung hăng như vậy, tôi tự hỏi các tiện ích đạt đến hàng triệu người dùng thì đề nghị sẽ dữ dội đến mức nào
    Động lực trong hệ sinh thái tiện ích mở rộng trông hoàn toàn lệch lạc

  • Hộp thư chính thức của Ruffle cũng đầy những đề nghị như thế này
    Số tiền được đề xuất cho một tiện ích miễn phí và là phần mềm tự do lớn đến mức tôi chỉ có thể nghĩ rằng người mua muốn nhét đầy mã độc vào đó, miễn là không bị Google hoặc Mozilla[0] chặn ngay lập tức
    Cá nhân tôi cho rằng không nên cho phép chuyển quyền sở hữu tiện ích mở rộng nếu không có phê duyệt và thẩm tra trước về cơ cấu sở hữu mới
    Một mục đăng ký mới không có đánh giá hay độ tin cậy, nên việc chuyển nhượng tiện ích hiện có nên cố ý bị làm khó hơn so với việc tạo một tiện ích mới
    Là người đôi khi trực tiếp chịu nỗi khổ thực tế của các chính sách như vậy[1], tôi nói điều này dù biết việc vượt qua thủ tục quan liêu phiền phức đến mức nào
    Chợ đen mua bán tiện ích mở rộng đáng ngờ đến khó tin và xem nhẹ niềm tin của người dùng quá mức
    [0] Đáng tiếc là mục đăng ký AMO của chúng tôi đã bị gắn cờ là mã sinh bằng máy. Vì chúng tôi dùng Rust/WASM. Do đó, việc gửi tiện ích chỉ được chấp thuận khi Mozilla có thể tái tạo bản build của chúng tôi đến từng byte
    [1] https://ruffle.rs/blog/2023/04/23/mozilla-extension-postmort...

  • Nhớ lại một kế hoạch bẩn thỉu tôi từng nghĩ ra hồi học cấp hai

    1. Tạo một plugin Minecraft Bukkit thực sự hữu ích
    2. Chờ đến khi có nhiều lượt cài đặt
    3. Thêm một backdoor được giấu kỹ để biến tôi thành “op”, tức quản trị viên, trên máy chủ tôi muốn
    4. Bất ngờ chặn các quản trị viên xấu tính của máy chủ công khai để làm họ ngạc nhiên
      Tôi đã đi đến bước 2 rồi quyết định dừng lại ở đó
    • Plugin Minecraft Bukkit thực chất là vùng vô luật
      Rất khó phân biệt hành vi nào là có chủ ý và hành vi nào không
      Tôi nhớ nhiều năm trước từng tìm một plugin motd chỉ hiển thị thông báo khi kết nối vào máy chủ
      Tôi tìm được một plugin đủ đơn giản, nhưng nó đang ping về nhà để kiểm tra cập nhật
      Có thể nhà phát triển muốn thêm một tính năng hữu ích, nhưng phần hoài nghi trong tôi tin rằng họ muốn lấy địa chỉ IP của các máy chủ chạy plugin đó
      Nó cũng có một lệnh debug không cần xác thực, có thể in ra nội dung của bất kỳ file motd nào trong thư mục
      Nhưng do không escape chuỗi đúng cách, có thể dùng ../... để thoát khỏi thư mục và in ra bất kỳ file nào
      Tôi không biết tác giả có thực sự khai thác nó không, hay chỉ là một đứa 14 tuổi ngây thơ đang viết plugin đầu tay
      Nếu họ định khai thác, tôi cũng không biết họ muốn in file nào, nhưng chắc chắn là rất đáng ngờ
    • 2b2t đã nhiều lần bị cài backdoor theo cách này
      Nhiều người đã có thể truy cập WorldEdit, chế độ sáng tạo, lệnh quản trị, v.v.
      Không chỉ các máy chủ vô chính phủ cũ, cộng đồng mod Minecraft hiện nay cũng đang trải qua nhiều cuộc tấn công chuỗi cung ứng, lỗ hổng giải tuần tự hóa, v.v.
    • Backdoor nhắm mục tiêu vào máy chủ Minecraft thỉnh thoảng thực sự xảy ra