KONTAKT OS

Vi hører gerne fra dig

Anonymt angreb på Molly

Molly blev d. 11. juli 2024 udsat for et anonymt angreb fra en dansk konkurrent i form af et opslag på GitHub.

Dette er sket i form af en aggressiv anonym e-mail sendt til det meste af branchen samt et anonymt opslag på Github. Der er dog lykkes for os at identifecere personen bag det anonyme alias FraudExposer, og det trækker desværre direkte tråde til en dansk konkurrent til Molly. Mollys advokat opfatter angrebet som et af de hidtil groveste forsøg på misrekommandering af en konkurrent i Danmark, så vi ser med meget stor alvor på denne  hændelse og illoyale adfærd i markedet.  

Forfatteren bag opslaget kalder sig FraudExposer, men identificerer ikke sig selv eller organisationen bag. Forfatteren kender tilsyneladende en del til affiliate branchen og shopping apps, og der er lagt mange kræfter i et - forhåbentlig forgæves - forsøg på at skade Molly specifikt. Kort fortalt bliver Molly beskyldt for “cookie stuffing”, men den viste dokumentation illustrerer blot, hvordan et onsite-samarbejde med Molly afregnes i praksis, og dette vil vi gerne have lov til at uddybe, da vi ikke mener at dokumentationen vises i en korrekt sammenhæng og derved er stærkt misvisende og forkert:

Sådan lægger Molly cookies
Da Molly er en extension og dermed ikke kun arbejder med traditionelle links, har vi været i dialog med affiliate branchen for at finde et passende niveau for at lægge cookies og dermed honorere de fordele, annoncøren kan opnå med Molly under besøg på egen side.

Hvis ikke andet er aftalt, er det sådan, at der skal ske bestemte aktive interaktioner med Molly (dog ikke lukning af Molly), for at der kan lægges en cookie. Hyppigheden kan variere fra side til side, men der vil typisk blive lagt en cookie på hvert 8. besøg fra en Molly bruger.

I det anonyme opslag er der dog nogle få eksempler, hvor der bliver lagt cookies allerede ved ankomsten til siden. Dette vil bestemt kunne opfattes som cookie-stuffing, men dette er IKKE tilfældet, da det er specifikt ønsket af og aftalt med de pågældende annoncører, at der lægges cookies på al Molly trafik (som til gengæld modsvares af en meget lavere kommission på denne del af trafikken). Men alt dette kan den anonyme forfatter til indlægget naturligvis ikke vide, og derfor har vi også valgt at gå i direkte dialog ved at sende en mail til den opgivne e-mail-adresse i håb om at forklare, at det ikke er rimelig at advare imod samarbejde med Molly på dette grundlag.

Hvorfor lægger Molly overhovedet cookies?
For langt de fleste af Mollys samarbejder betales der udelukkende via kommission af salg fra det pågældende samarbejde. Dette er standarden i affiliate branchen. Da Molly er en extension, har vi i dialog med affiliate branchen fundet en standard model for, hvornår vi må lægge cookies som betaling for vores onsite-samarbjeder, da vi ikke kan arbejde med traditionelle affiliate-links i den forbindelse, så ved langt de fleste besøg fra Mollys brugere, bliver der ikke lagt cookies.

Enkelte annoncører har dog aktivt ønsket, at Molly lægger cookies på alle besøg, men til en langt lavere betaling.

Spørgsmål og svar
Vi vil her forsøge at svare på de bekymringer, der måtte følge i kølvandet på denne målrettede hetz mod Molly. Skriv endelig til kontakt@mollyapp.io, hvis du har flere spørgsmål.

Hvorfor bliver kun Molly nævnt?
Det undrer også os, da vi er orienterede om, at andre konkurrenter arbejder på samme måde. Da det gik op for os, hvor FraudExposer er ansat, står det nu klart for os, at motivet bag angrebet alene er at skade en konkurrent, og netop derfor har FraudExposer forsøgt at holde det anonymt. Derfor er det bemærkelsesværdigt, at netop vores konkurrenter er havnet på listen over 'ofre' i den e-mail, som den anonyme forfatter har sendt til branchen med en opfordring om helt at stoppe samarbejdet kun med Molly.

Kan man som annoncør helt undgå cookies?
Som annoncør kan man sagtens undgå cookies under besøg på egen side, hvis man ikke ønsker at gøre brug af Mollys mange onsite-fordele. Dette kan aftales direkte med Molly eller gennem eget affiliate bureau.

Ødelægger Molly det for andre publishers?
Vi har bygget vores system, så vores enkelte samarbejdspartnere kan tilgodese andre publishers ved helt at blokere for Mollys cookies, når trafikken kommer fra disse. Dette kræver blot en henvendelse fra den pågældende samarbejdspartner til Molly.

Kan ekstensions ødelægge noget for andre publishers?
Ja, ofte er det den publisher, som sidst har været i "kontakt" med brugeren før evt. køb, som bliver tildelt hele eller størstedelen af en eventuel kommission.Derfor er det vigtigt, at der er en fornuftig balance i tingene, og derfor har vi været i dialog med affiliate branchen om et passende niveau ift. vores standard løsning. Derudover giver vi vores samarbejdspartere mulighed for helt at frasortere trafik fra bestemte publishers, så vi aldrig lægger cookies i disse tilfælde, selvom vi normalt ville være berettigede til det.

‍Hvad dokumenterer videoerne i det anonyme opslag på Github?
De fleste videoer viser, at når en Molly bruger ankommer til en side, som Molly har et samarbejde med, henter Molly information fra vores servere om, at vi har et samarbejde med den pågældende side. Dette har INTET med cookies at gøre. Først når brugeren efterfølgende interagerer med Molly på en meningsfyldt måde, lægges der en cookie som betaling for samarbejdet. Videoerne dokumenterer ikke cookie stuffing, men dokumenterer, at der naturligvis lægges cookies, når de aftalte kriterier er overholdt.

I få tilfælde har samarbejdspartneren dog ønsket, at der lægges cookies allerede ved ankomst til siden aht til indsamling af statistik, eller fordi der ønskes afregnet for alle besøg af Mollys brugere, men til en væsentligt lavere kommission.

Risikerer man at betale dobbelt med Molly?
Vi har bygget vores system, så vores enkelte samarbejdspartere i høj grad kan sikre sig, at de ikke skal betale Molly ifm trafik, som kommer fra andre betalte kilder. Dette kræver blot en henvendelse fra den pågældende samarbejdspartner til Molly.

Hvem er FraudExposer?
Vi kan se, at FraudExposer er helt ny på Github og tilsyneladende kun har oprettet sig der for at angribe Molly. Vi ved nu også, at personen bag FraudExposer har en ledende stilling hos en konkurrent og tilmed er medejer af konkurrentens selskab. Vi kan se at der trods et lavt kendskab til Molly er et højt kendskab til branchen, og der er investeret mange ressourcer i at starte denne hetz. FraudExposer opererer anonymt, sandsynligvis fordi det ellers ville være tydeligt, at organisationen bag har en kommerciel interesse i at angribe os og så fordi karakteren af angrebet direkte er ulovligt. Vi overvejer selvfølgelig, hvem der kan have motiv og kræfter til at ville os til livs. Skriv gerne til peter@mollyapp.io, hvis du har informationer eller har væsentligt behov for at vide mere om FraudExposer.

Er det ikke ulovligt at drive hetz mod Molly?
Vi beundrer, at nogen har taget sig tid til at dokumentere, hvordan der lægges cookies - helt efter forskrifterne. Desværre kan vi se på mails fra den anonyme afsender, at det desværre kun sker med en hensigt om at skade Molly, og der er desværre tale om en alvorlig grad af grov misrekommandering. Derfor har vi nu også taget juridiske skridt i sagen.

Molly's svar på e-mail til den anonyme kilde:

Hi FraudExposer

We (The team behind Mollyapp.io) saw your work, and first of all - nice work👏 It is really nice that the global public is diving into these kind of issues and exposes fraud!

We however would like to explain why you have experienced what you document with Molly and hopefully add some nuances to your view.

Cookies:
First of all, YES, we are adding cookies. Nothing deceptive in that. The reason that we add it in the background is because it would otherwise disturb the users interaction with the site. Thus it is at least not in the intent deceptive 😇

Cookie stuffing:
Second, we are NOT simply cookie stuffing. We are adding the cookie when the user interacts with Molly in a meaningful way. This could fx. be when using Molly to find information about the shop or when automatically testing coupons. Thus simply closing Molly because it pops up on a site, will NOT trigger a cookie. Unfortunately the flow that you show in your recordings where you close Molly and open it again moments after, does trigger a cookie. Clicking on Molly when it is closed on a site, is in our opinion clearly for researching information. If closing Molly and accidentally opening Molly again by double clicking, it should not. We don't regard this as a very common scenario, however it should probably not do that, and is something we will consider for a future version.

Partnerships:
We as Molly have directly explained this behaviour to dozens of partners, and all major affiliate networks. It is thus not deceptive behaviour, but intentional. We are not trying to grab everything we can on every site, but trying to deliver certain perks for our partners in exchange for the cookie when the user interacts with Molly. We regard the flow as being similar to going researching fx reviews or coupons of a shop, and clicking an affiliate link there, giving the informant the attribution.

Reason behind different behaviours on shops:
In your work, you have correctly found that Molly acts like it is tailored to each shop. This is exactly the specific partnerships we have described above. Thus it simply shows that the cooperation with partners is deliberate.

Offsite:
You correctly state that we have onsite and offsite partnerships. But your wording about the offsite indicates that we simply intercepts the navigation to a site when navigated to. This is not the case. Offsite is just the term for traffic from elsewhere, fx. our shop catalogue in mollyapp.io/shops. When using an offsite link, it is exactly the same as normal affiliate links.

Publicity:
As you may have guessed, we are not thrilled with the accusations in your mail and github repositories. We as a business have openness as one of our key guidelines and will therefore make this email and further correspondence public in order to let the public judge🙂

Code exposing:
In your work, you are digesting parts of our code to show our ‘deceptive methods’. These days, it is really easy to obfuscate javascript code and hide the true agenda behind it. This has not at all been a necessity for us, as we dont feel like we have something to hide. The code has only been through an optimizer, which can be seen in the funny variable names, but otherwise it is easily read. If our true objective was to be deceptive, we would for sure have done everything to hide it from people like you 🙂

Attaching Scripts for Tracking:
Just to clarify, you mention that we are attaching scripts for tracking. It is by no means necessary to attach (or inject) scripts to enable tracking. This is done from the background script without the use of script injection. Injecting scripts is for showing the visual interface for Molly. This indirectly activates tracking when interacted with as mentioned before, but it would be much easier to do from the background script when navigating, if it should not be discovered.

FraudExposer:
We can not seem to notice that FraudExposer is a brand new user in github, just one day old, when uploading this giant work to github. And this giant work is the first and only repository uploaded by FraudExposer. A huge work for a first repository. This we must admit seems a bit deceptive itself. Can you tell who is behind FraudExposer and why you have started this quite extensive work?

Best regards

Team Molly

E-mail til FraudExposer:

Hi FraudExposer

Adding further responses directly in the email will get messy, so we have chosen to extract what we see as the main points.

Cookie discussion:
We as a new type of service are a disruption to an existing industry. This usually comes with a certain amount of turmoil before the different partners adjust to the new situation. We fully agree that there is and should be a discussion regarding how to handle last clicks in situations where a service like Molly is in the loop. We don’t claim that the current agreed setup is perfect, and we are open to discuss how to achieve this. Ideally it should be done in the context of the generalised discussion of who should be attributed to the sale. At Molly we basically like the idea that all contributing publishers in the ‘journey’ should benefit. This discussion, however, should be led by the affiliate networks, and it should not be on the basis of an anonymous attack targeted against one publisher. This is not the way to handle this constructively.

Fraud and deception:
What we oppose in this campaign is not the actual facts that we add cookies and when we do it. Most of the facts stated in the Github repository is true, and not something we have tried to hide. It is the claim that we are doing this fraudulently and deceptively that we believe is false and defamatory. It seems that it has all been created by you as a competitor in a pursuit to commercially harm Molly, and to get involved partners to retract their corporation with Molly in fear of the pressure. The agreed facts in the repository is being angled in such a way that it for a not well informed outsider may be seen as fraud. A very serious allegation of a criminal nature. Searching for “fraud” alone, when viewing the https://github.com/FraudExposer/mollyapp.io page counts up to 42 occurrences.

On top of this, these claims are being spread in the industry with a “call to action” to stop collaborating with Molly. This has been done without the prior warning to and invitation to discuss it with us. In total we see this behaviour as highly defamatory and will likely take legal actions in this direction.

Best regards,
Team Molly

Opdateret d. 19/7-2024

Chrome understøtter desværre ikke extensions som Molly på Android telefoner, så her skal du vænne dig til at åbne en anden browser end Chrome, når du vil shoppe. I hvert fald hvis du ikke vil undvære Mollys rabatter, bedre priser og advarsler.

Du har 3 muligheder:

1. Test vores Molly-browser nu (beta)

Vi arbejder på en Android-app til online shopping - som du kan bruge i stedet for din browser. Den vil indeholde alt det, du elsker ved Molly, og det kan du opleve som beta-tester, hvis du er nysgerrig, kan leve med små fejl og vil påvirke vores udvikling.

Bliv beta-tester her
2. Få besked når Molly-browser er klar

Skriv dig op med din e-mail her, så får du direkte besked, når Molly-browseren er helt færdigudviklet til shopping på din Android-telefon.

Tak! Vi giver dig direkte besked - men du mangler én ting…

Ved at følge disse skridt sikrer du, at Molly automatisk bliver installeret på din Android telefon, så snart den er klar til brug.
Hov! Noget gik galt. Prøv igen.
3. Brug Kiwi som browser (med småfejl)

Det er muligt at installere Molly som extension til browseren Kiwi, som ikke er udviklet af os. Derfor vil du kunne opleve småfejl, fx at Molly ikke popper frem med de informationer, du ellers ville have fået.

Se hvordan her