Anonieme aanval op Molly

Dette er sket i form af en aggressiv anonym e-mail sendt til det meste af branchen samt et anonymt opslag på Github. Der er dog lykkes for os at identifecere personen bag det anonyme alias FraudExposer, og det trækker desværre direkte tråde til en dansk konkurrent til Molly. Mollys advokat opfatter angrebet som et af de hidtil groveste forsøg på misrekommandering af en konkurrent i Danmark, så vi ser med meget stor alvor på denne  hændelse og illoyale adfærd i markedet.  

Forfatteren bag opslaget kalder sig FraudExposer, men identificerer ikke sig selv eller organisationen bag. Forfatteren kender tilsyneladende en del til affiliate branchen og shopping apps, og der er lagt mange kræfter i et - forhåbentlig forgæves - forsøg på at skade Molly specifikt. Kort fortalt bliver Molly beskyldt for “cookie stuffing”, men den viste dokumentation illustrerer blot, hvordan et onsite-samarbejde med Molly afregnes i praksis, og dette vil vi gerne have lov til at uddybe, da vi ikke mener at dokumentationen vises i en korrekt sammenhæng og derved er stærkt misvisende og forkert:

Sådan lægger Molly cookies
‍Da Molly er en extension og dermed ikke kun arbejder med traditionelle links, har vi været i dialog med affiliate branchen for at finde et passende niveau for at lægge cookies og dermed honorere de fordele, annoncøren kan opnå med Molly under besøg på egen side.

Hvis ikke andet er aftalt, er det sådan, at der skal ske bestemte aktive interaktioner med Molly (dog ikke lukning af Molly), for at der kan lægges en cookie. Hyppigheden kan variere fra side til side, men der vil typisk blive lagt en cookie på hvert 8. besøg fra en Molly bruger.

I det anonyme opslag er der dog nogle få eksempler, hvor der bliver lagt cookies allerede ved ankomsten til siden. Dette vil bestemt kunne opfattes som cookie-stuffing, men dette er IKKE tilfældet, da det er specifikt ønsket af og aftalt med de pågældende annoncører, at der lægges cookies på al Molly trafik (som til gengæld modsvares af en meget lavere kommission på denne del af trafikken). Men alt dette kan den anonyme forfatter til indlægget naturligvis ikke vide, og derfor har vi også valgt at gå i direkte dialog ved at sende en mail til den opgivne e-mail-adresse i håb om at forklare, at det ikke er rimelig at advare imod samarbejde med Molly på dette grundlag.

Hvorfor lægger Molly overhovedet cookies?
‍For langt de fleste af Mollys samarbejder betales der udelukkende via kommission af salg fra det pågældende samarbejde. Dette er standarden i affiliate branchen. Da Molly er en extension, har vi i dialog med affiliate branchen fundet en standard model for, hvornår vi må lægge cookies som betaling for vores onsite-samarbjeder, da vi ikke kan arbejde med traditionelle affiliate-links i den forbindelse, så ved langt de fleste besøg fra Mollys brugere, bliver der ikke lagt cookies.

Enkelte annoncører har dog aktivt ønsket, at Molly lægger cookies på alle besøg, men til en langt lavere betaling.

Spørgsmål og svar
‍Vi vil her forsøge at svare på de bekymringer, der måtte følge i kølvandet på denne målrettede hetz mod Molly. Skriv endelig til kontakt@mollyapp.io, hvis du har flere spørgsmål.

Hvorfor bliver kun Molly nævnt?
‍Det undrer også os, da vi er orienterede om, at andre konkurrenter arbejder på samme måde. Da det gik op for os, hvor FraudExposer er ansat, står det nu klart for os, at motivet bag angrebet alene er at skade en konkurrent, og netop derfor har FraudExposer forsøgt at holde det anonymt. Derfor er det bemærkelsesværdigt, at netop vores konkurrenter er havnet på listen over 'ofre' i den e-mail, som den anonyme forfatter har sendt til branchen med en opfordring om helt at stoppe samarbejdet kun med Molly.

Kan man som annoncør helt undgå cookies?
‍Som annoncør kan man sagtens undgå cookies under besøg på egen side, hvis man ikke ønsker at gøre brug af Mollys mange onsite-fordele. Dette kan aftales direkte med Molly eller gennem eget affiliate bureau.

Ødelægger Molly det for andre publishers?
‍Vi har bygget vores system, så vores enkelte samarbejdspartnere kan tilgodese andre publishers ved helt at blokere for Mollys cookies, når trafikken kommer fra disse. Dette kræver blot en henvendelse fra den pågældende samarbejdspartner til Molly.

Kan ekstensions ødelægge noget for andre publishers?
‍Ja, ofte er det den publisher, som sidst har været i "kontakt" med brugeren før evt. køb, som bliver tildelt hele eller størstedelen af en eventuel kommission.Derfor er det vigtigt, at der er en fornuftig balance i tingene, og derfor har vi været i dialog med affiliate branchen om et passende niveau ift. vores standard løsning. Derudover giver vi vores samarbejdspartere mulighed for helt at frasortere trafik fra bestemte publishers, så vi aldrig lægger cookies i disse tilfælde, selvom vi normalt ville være berettigede til det.

‍Hvad dokumenterer videoerne i det anonyme opslag på Github?
‍De fleste videoer viser, at når en Molly bruger ankommer til en side, som Molly har et samarbejde med, henter Molly information fra vores servere om, at vi har et samarbejde med den pågældende side. Dette har INTET med cookies at gøre. Først når brugeren efterfølgende interagerer med Molly på en meningsfyldt måde, lægges der en cookie som betaling for samarbejdet. Videoerne dokumenterer ikke cookie stuffing, men dokumenterer, at der naturligvis lægges cookies, når de aftalte kriterier er overholdt.

I få tilfælde har samarbejdspartneren dog ønsket, at der lægges cookies allerede ved ankomst til siden aht til indsamling af statistik, eller fordi der ønskes afregnet for alle besøg af Mollys brugere, men til en væsentligt lavere kommission.

Risikerer man at betale dobbelt med Molly?
‍Vi har bygget vores system, så vores enkelte samarbejdspartere i høj grad kan sikre sig, at de ikke skal betale Molly ifm trafik, som kommer fra andre betalte kilder. Dette kræver blot en henvendelse fra den pågældende samarbejdspartner til Molly.

Hvem er FraudExposer?
‍Vi kan se, at FraudExposer er helt ny på Github og tilsyneladende kun har oprettet sig der for at angribe Molly. Vi ved nu også, at personen bag FraudExposer har en ledende stilling hos en konkurrent og tilmed er medejer af konkurrentens selskab. Vi kan se at der trods et lavt kendskab til Molly er et højt kendskab til branchen, og der er investeret mange ressourcer i at starte denne hetz. FraudExposer opererer anonymt, sandsynligvis fordi det ellers ville være tydeligt, at organisationen bag har en kommerciel interesse i at angribe os og så fordi karakteren af angrebet direkte er ulovligt. Vi overvejer selvfølgelig, hvem der kan have motiv og kræfter til at ville os til livs. Skriv gerne til peter@mollyapp.io, hvis du har informationer eller har væsentligt behov for at vide mere om FraudExposer.

Er det ikke ulovligt at drive hetz mod Molly?
‍Vi beundrer, at nogen har taget sig tid til at dokumentere, hvordan der lægges cookies - helt efter forskrifterne. Desværre kan vi se på mails fra den anonyme afsender, at det desværre kun sker med en hensigt om at skade Molly, og der er desværre tale om en alvorlig grad af grov misrekommandering. Derfor har vi nu også taget juridiske skridt i sagen.

Hi FraudExposer
‍
We (The team behind Mollyapp.io) saw your work, and first of all - nice work👏 It is really nice that the global public is diving into these kind of issues and exposes fraud!
‍
We however would like to explain why you have experienced what you document with Molly and hopefully add some nuances to your view.
‍
Cookies:
First of all, YES, we are adding cookies. Nothing deceptive in that. The reason that we add it in the background is because it would otherwise disturb the users interaction with the site. Thus it is at least not in the intent deceptive 😇
‍
Cookie stuffing:
Second, we are NOT simply cookie stuffing. We are adding the cookie when the user interacts with Molly in a meaningful way. This could fx. be when using Molly to find information about the shop or when automatically testing coupons. Thus simply closing Molly because it pops up on a site, will NOT trigger a cookie. Unfortunately the flow that you show in your recordings where you close Molly and open it again moments after, does trigger a cookie. Clicking on Molly when it is closed on a site, is in our opinion clearly for researching information. If closing Molly and accidentally opening Molly again by double clicking, it should not. We don't regard this as a very common scenario, however it should probably not do that, and is something we will consider for a future version.
‍
Partnerships:
We as Molly have directly explained this behaviour to dozens of partners, and all major affiliate networks. It is thus not deceptive behaviour, but intentional. We are not trying to grab everything we can on every site, but trying to deliver certain perks for our partners in exchange for the cookie when the user interacts with Molly. We regard the flow as being similar to going researching fx reviews or coupons of a shop, and clicking an affiliate link there, giving the informant the attribution.

Reason behind different behaviours on shops:
In your work, you have correctly found that Molly acts like it is tailored to each shop. This is exactly the specific partnerships we have described above. Thus it simply shows that the cooperation with partners is deliberate.
‍
Offsite:
You correctly state that we have onsite and offsite partnerships. But your wording about the offsite indicates that we simply intercepts the navigation to a site when navigated to. This is not the case. Offsite is just the term for traffic from elsewhere, fx. our shop catalogue in mollyapp.io/shops. When using an offsite link, it is exactly the same as normal affiliate links.
‍
Publicity:
As you may have guessed, we are not thrilled with the accusations in your mail and github repositories. We as a business have openness as one of our key guidelines and will therefore make this email and further correspondence public in order to let the public judge🙂

Code exposing:
In your work, you are digesting parts of our code to show our ‘deceptive methods’. These days, it is really easy to obfuscate javascript code and hide the true agenda behind it. This has not at all been a necessity for us, as we dont feel like we have something to hide. The code has only been through an optimizer, which can be seen in the funny variable names, but otherwise it is easily read. If our true objective was to be deceptive, we would for sure have done everything to hide it from people like you 🙂
‍
Attaching Scripts for Tracking:
Just to clarify, you mention that we are attaching scripts for tracking. It is by no means necessary to attach (or inject) scripts to enable tracking. This is done from the background script without the use of script injection. Injecting scripts is for showing the visual interface for Molly. This indirectly activates tracking when interacted with as mentioned before, but it would be much easier to do from the background script when navigating, if it should not be discovered.

FraudExposer:
We can not seem to notice that FraudExposer is a brand new user in github, just one day old, when uploading this giant work to github. And this giant work is the first and only repository uploaded by FraudExposer. A huge work for a first repository. This we must admit seems a bit deceptive itself. Can you tell who is behind FraudExposer and why you have started this quite extensive work?
‍
Best regards

Team Molly

Hoi FraudeExposer Verdere reacties direct in de e-mail toevoegen wordt rommelig, dus we hebben ervoor gekozen om de voor ons belangrijkste punten eruit te halen.


‍Cookiediscussie: ‍Wijals een nieuw soort dienst zijn een verstoring van een bestaande industrie. Dit gaat meestal gepaard met een zekere mate van onrust voordat de verschillende partners zich aanpassen aan de nieuwe situatie. We zijn het er volledig mee eens dat er een discussie is en zou moeten zijn over hoe om te gaan met last clicks in situaties waar een dienst als Molly in het spel is. We beweren niet dat de huidige overeengekomen opzet perfect is en we staan open voor discussie over hoe we dit kunnen bereiken. Idealiter zou dit gedaan moeten worden in de context van de algemene discussie over wie er verantwoordelijk is voor de verkoop. Bij Molly vinden we het in principe een goed idee dat alle bijdragende uitgevers in het 'traject' moeten profiteren. Deze discussie moet echter worden geleid door de affiliate netwerken en niet op basis van een anonieme aanval gericht tegen één publisher. Dit is niet de manier om hier constructief mee om te gaan.


‍Fraudeen misleiding: ‍Watwe tegenwerken in deze campagne zijn niet de feitelijke feiten dat we cookies toevoegen en wanneer we dat doen. De meeste feiten in de Github repository zijn waar en niet iets wat we hebben geprobeerd te verbergen. Het is de bewering dat we dit frauduleus en bedrieglijk doen die volgens ons vals en lasterlijk is. Het lijkt erop dat dit alles door jou als concurrent is gecreëerd in een poging om Molly commercieel te schaden en om betrokken partners zover te krijgen dat ze hun samenwerking met Molly intrekken uit angst voor de druk. De overeengekomen feiten in het depot worden op zo'n manier gehengeld dat het voor een niet goed geïnformeerde buitenstaander als fraude kan worden gezien. Een zeer ernstige beschuldiging van criminele aard. Alleen al het zoeken naar "fraude" op de pagina https://github.com/FraudExposer/mollyapp.io levert 42 gevallen op.

Bovendien worden deze beweringen in de industrie verspreid met een "oproep tot actie" om niet langer met Molly samen te werken. Dit is gedaan zonder voorafgaande waarschuwing en uitnodiging om dit met ons te bespreken.


In totaal zien we dit gedrag als zeer lasterlijk en zullen we waarschijnlijk juridische stappen ondernemen in deze richting. Met vriendelijke groet, Team Molly

Bijgewerkt op 19/7-2024