Dieselgate của Honey: phát hiện và đánh lừa người kiểm thử

 (vptdigital.com)
1 điểm bởi GN⁺ 2026-01-01 | 1 bình luận | Chia sẻ qua WhatsApp
  • Tiện ích mua sắm trên trình duyệt Honey bị phát hiện có dấu hiệu sử dụng mã thao túng kiểu ‘dieselgate’ để nhận biết khi nào đang bị kiểm thử và thay đổi hành vi
  • Honey xác định người dùng có phải người kiểm thử hay không dựa trên bốn tiêu chí: ngày tạo tài khoản, số điểm đã tích lũy, danh sách đen và phát hiện cookie của mạng liên kết
  • Nếu rơi vào bất kỳ điều kiện nào trong số này, Honey sẽ thực hiện ‘stand-down’ theo quy định, nhưng nếu bị xem là người dùng bình thường thì bỏ qua quy định và cưỡng ép chèn liên kết liên kết
  • Nhà phân tích đã nhiều lần xác nhận việc Honey vi phạm quy định một cách chọn lọc thông qua mã nguồn, tệp cấu hình, bắt gói tin và nhật ký telemetry
  • Hành vi này là nỗ lực che giấu tương tự vụ Volkswagen Dieselgate, và có thể làm xói mòn niềm tin của cả mạng liên kết, merchant lẫn nền tảng (Google, Apple)

Cấu trúc vi phạm quy định của Honey

  • Honey được thiết kế để né tránh quy tắc ‘stand-down’ do mạng liên kết và merchant đặt ra

    • Stand-down là quy tắc yêu cầu phần mềm khác không được hiển thị thêm liên kết nếu một web publisher hiện có đã cung cấp liên kết liên kết trước đó
    • Honey bỏ qua quy tắc này với người dùng thông thường, nhưng chỉ tuân thủ quy định khi nghi ngờ đối tượng là người kiểm thử

  • Cấu trúc này được thiết kế để chỉ tuân thủ quy định trong môi trường kiểm thử, tương tự Volkswagen Dieselgate

    • Dù biết rõ quy định, Honey vẫn cố tình né tránh, nên được đánh giá là hành vi che giấu có chủ đích

Cơ chế phát hiện người kiểm thử

  • Honey xác định người dùng có phải người kiểm thử hay không theo bốn tiêu chí sau

    • Tài khoản mới: nếu chưa đến 30 ngày kể từ khi tạo thì dừng hành vi vi phạm quy định
    • Điểm tích lũy: nếu dưới 65.000 điểm (tương đương khoảng 650 USD) thì bị xem là người kiểm thử
    • Danh sách đen trên máy chủ: nếu có lịch sử khiếu nại hoặc IP/cookie cụ thể đã được đăng ký thì dừng vi phạm quy định
    • Cookie mạng liên kết: nếu có cookie đăng nhập của các đối tác như CJ, Rakuten Advertising, Awin thì bị xem là người kiểm thử

  • Chỉ cần thỏa mãn một trong các điều kiện này, Honey sẽ tuân thủ quy định; nhưng nếu vượt qua tất cả thì hoàn toàn phớt lờ quy định và chèn liên kết liên kết

  • Thiết kế này cản trở việc bị người kiểm thử phát hiện, đồng thời vô hiệu hóa các kiểm chứng ngắn hạn hoặc dựa trên tài khoản mới

Bằng chứng kỹ thuật

  • Kiểm thử thực tế: thao túng giá trị điểm để so sánh phản ứng của Honey

    • Khi điểm thấp, Honey tuân thủ quy định; nhưng khi giả mạo thành mức điểm cao, nó bỏ qua quy định và hiển thị liên kết
    • Khi thêm cookie của mạng liên kết, Honey lại quay về trạng thái tuân thủ quy định

  • Phân tích tệp cấu hình: xác nhận logic stand-down chọn lọc trong ssd.json

    • Có các mục như uP:65000 (ngưỡng điểm), gca (kiểm tra cookie), bl (danh sách đen)
    • Một số merchant cụ thể như Booking.com, Kayosports được đặt ngưỡng điểm cao hơn

  • Nhật ký telemetry: Honey ghi lại dưới dạng JSON lý do vì sao nó thực hiện stand-down

    • Các căn cứ đánh giá nội bộ như state:"uP:5001", state:"gca" được nêu rõ

  • Phân tích mã nguồn: hàm JavaScript P() so sánh từng giá trị tiêu chí để quyết định có stand-down hay không

    • Nếu vượt qua mọi điều kiện thì chuyển sang trạng thái "ssd" để bỏ qua quy định
    • Nó cũng kiểm tra việc email có chứa “test” hay không, và sự tồn tại của affiliate cookie

Ngoại lệ đặc biệt đối với eBay

  • Với eBay, Honey áp dụng stand-down trong 24 giờ (86.400 giây), nghiêm ngặt hơn nhiều so với các merchant khác
    • Trong mã, miền eBay còn bị hardcode để luôn luôn stand-down
    • Điều này có vẻ phản ánh sự dè chừng trước quản lý liên kết nghiêm ngặt của eBay sau vụ gian lận liên kết năm 2008

Thay đổi cấu hình và thời điểm

  • Vào năm 2022, phần lớn mạng không có ngưỡng điểm; chỉ Rakuten (LinkShare) áp dụng mức 501 điểm (khoảng 5 USD)
  • Đến năm 2025, ngưỡng này đã tăng mạnh lên 65.000 điểm
    • Nhiều khả năng Honey đã siết chặt tiêu chí sau khi video của MegaLag được công bố vào năm 2024
  • Riêng LinkShare lại được nới lỏng, hiện chỉ cần 5.001 điểm là có thể bỏ qua quy định

Bối cảnh của hành vi che giấu

  • Hành vi của Honey tương tự các vụ gian lận liên kết trước đây như cookie stuffing, geofencing, lọc IP

    • Chặn một số IP hoặc cookie cụ thể để người kiểm thử không thể tái hiện vấn đề
    • Phát hiện cookie của mạng liên kết để chỉ hành xử khác với người trong ngành

  • Đây là vấn đề nghiêm trọng hơn một vi phạm quy định đơn thuần, vì nó chứng minh sự lừa dối có chủ đích

    • Lý do Amazon từng cảnh báo Honey là “rủi ro bảo mật” vì thế cuối cùng lại trở nên có cơ sở

Triển vọng sắp tới

  • Honey có khả năng vi phạm chính sách của Google Chrome Web Store về tính minh bạch và cấm che giấu chức năng
  • Apple App Store cũng áp dụng quy trình rà soát nghiêm ngặt, nên vẫn có khả năng bị xử phạt
  • Trong vụ kiện tập thể đang diễn ra, hành vi che giấu của Honey được dự báo sẽ được dùng làm bằng chứng bổ sung
    • Nguyên nhân cho hành vi bất thường của Honey đã được làm rõ, có thể giúp đơn giản hóa cấu trúc vụ kiện

Công bố phương pháp kiểm thử

  • Nhà phân tích đã dùng FiddlerScript để thao túng giao tiếp với máy chủ Honey và tùy ý thay đổi giá trị điểm
    • Nhờ đó có thể tái hiện kịch bản tài khoản điểm cao và kiểm chứng phản ứng của Honey
  • Cách làm này hiện cũng đang được áp dụng vào hệ thống giám sát tự động tiện ích mua sắm của VPT

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-01-01
Ý kiến trên Hacker News
  • Tôi từng làm ở một công ty ad tech, và tôi nghĩ vụ này đã vượt quá giới hạn
    Các thuật ngữ trong ngành thường được đánh bóng như “revealed preferences” hay “enabling personalization”, nhưng tôi thực sự tò mò các kỹ sư đã nghĩ gì khi thiết kế những tính năng như “selective stand down
    Việc thuộc về một công ty mà vẫn tạo ra sản phẩm để né tránh hợp đồng tự nó đã là một lựa chọn
    • Có lẽ là kiểu suy nghĩ: “Tôi không có tự do để giữ chuẩn mực đạo đức, tôi bất an vì mình có thể bị thay thế, sinh kế của gia đình và bảo hiểm y tế đều gắn với công việc, và tôi không tin chính phủ sẽ bảo vệ mình”
    • Tôi thấy chuyện này chẳng khác gì dự án Greyball của Uber năm 2017
      Như trong bài báo của New York Times, một số công ty xem văn hóa né tránh pháp luật và hợp đồng là điều hiển nhiên
    • Cuốn The Dark Pattern của Guido Palazzo là một ví dụ hay
      Cuốn sách này cho thấy sức mạnh của bối cảnh mạnh hơn lý trí hay đạo đức
      Nó gợi nhớ đến “sự tầm thường của cái ác” trong Thế chiến II. Nếu mọi người xung quanh đều hành xử như vậy, thì ai rồi cũng có thể làm bất cứ điều gì
    • Trông như thể những kỹ sư đã đánh mất chuẩn mực đạo đức lại đang mong những người khác giữ gìn nền văn minh
    • Tôi chợt nhớ đến câu “có thực mới vực được đạo”
  • Có thể xem video MegaLag gốc tại đây
    Nếu là kỹ sư xây hệ thống như thế này, đáng ra phải có lúc tự hỏi “liệu chúng ta có phải phe phản diện không?”, nhưng có vẻ là không
    • Nhân tiện, tác giả bài blog Ben Edelman xuất hiện ở mốc 33 phút của video
      Trang cá nhân của ông ấy là benedelman.org/honey-detecting-testers
    • Chủ nghĩa tư bản rất giỏi trong việc rửa tay khỏi chuyện xấu
      Ngay cả chiếc smartphone tôi đang dùng chắc cũng có phần nào dính đến lao động nô lệ, và rốt cuộc tất cả chúng ta đều là một phần của cấu trúc đó
    • Lúc đầu tôi tưởng ‘Honey’ là một sản phẩm về mật ong, hóa ra đó là tiện ích mở rộng mã giảm giá
  • Khoảng 15 năm trước tôi từng gặp vấn đề affiliate marketing tương tự ở một nhà mạng
    Chúng tôi thử nghiệm ngừng toàn bộ chi trả hoa hồng cho affiliate, lưu lượng truy cập có giảm nhẹ nhưng doanh số gần như không đổi
    Cuối cùng chỉ riêng độ nhận diện thương hiệu cũng đã đủ để thu hút khách hàng
  • Tôi không hiểu vì sao những công ty như Amazon vẫn tiếp tục trả tiền cho tài khoản affiliate của Honey
    Họ hẳn phải biết đó không phải là lưu lượng giới thiệu thực sự mà vẫn cứ trả
  • Việc tiện ích này được duyệt trên Chrome Web Store có nghĩa là mức độ đáng tin của bộ lọc malware của cửa hàng gần như bằng không
    • Nhưng đây không phải malware
      Chỉ là các công ty marketing cướp hoa hồng của nhau, và nó cũng không tải dữ liệu người dùng lên máy chủ
      Mọi kiểm tra đều diễn ra ở phía client
    • Thực ra Google chắc biết rất rõ Honey đang làm gì
      Nếu muốn, họ có thể gỡ nó khỏi Chrome chỉ bằng một động thái duy nhất
  • Ban đầu Honey khởi đầu như một bản clone của camelcamelcamel, nhưng bị Amazon đuổi vì lạm dụng hệ thống
    Sau đó nó chuyển sang làm site coupon, rồi được PayPal mua lại bằng 4 tỷ USD tiền mặt
    Kết quả là thu nhập affiliate của tôi giảm đi
  • Link lưu trữ nằm ở đây
    • Nhưng link này cứ nhấp nháy liên tục và cuộn trang rất kỳ quặc nên tôi không đọc nổi
      Tôi không rõ là lỗi của bản gốc hay của bản lưu trữ
    • Có phải bạn dùng archive.org vì site gốc không mở được không?
      Bản gốc là vptdigital.com/blog/honey-detecting-testers
      Nếu có vấn đề, tôi khuyên nên liên hệ trực tiếp với Ben Edelman
  • Tôi nhớ vụ lừa đảo Honey này đã nổ ra từ khoảng 1 năm trước rồi
    Khá bất ngờ khi mấy ngày gần đây nó lại được đưa tin trở lại
    • YouTuber MegaLag đã đăng phần 1 từ 1 năm trước, và gần đây công bố phần 2 cùng phần 3
      Những thông tin mới khiến hình ảnh của Honey còn tệ hơn nữa
  • Toàn bộ hệ sinh thái affiliate marketing trông như một khối u ung thư
    Tôi ước Amazon tắt luôn hệ thống này đi
    • Dù vậy, tôi vẫn nghĩ link affiliate là hình thức quảng cáo công bằng nhất
      Trên các blog về mộc hoặc sơn sửa, xem link đến những sản phẩm họ thực sự dùng vẫn tốt hơn quảng cáo ngẫu nhiên
    • Từ góc nhìn người tiêu dùng, nhận giảm giá trực tiếp vẫn tốt hơn
      Nếu store chính thức cung cấp cùng một mã giảm giá thì mọi bên đều có lợi
  • Bài gốc hiện không truy cập được, nhưng có thể đọc tại archive.is/7Y9Jq