Anonym attack mot Molly

Dette er sket i form af en aggressiv anonym e-mail sendt til det meste af branchen samt et anonymt opslag på Github. Der er dog lykkes for os at identifecere personen bag det anonyme alias FraudExposer, og det trækker desværre direkte tråde til en dansk konkurrent til Molly. Mollys advokat opfatter angrebet som et af de hidtil groveste forsøg på misrekommandering af en konkurrent i Danmark, så vi ser med meget stor alvor på denne  hændelse og illoyale adfærd i markedet.  

Forfatteren bag opslaget kalder sig FraudExposer, men identificerer ikke sig selv eller organisationen bag. Forfatteren kender tilsyneladende en del til affiliate branchen og shopping apps, og der er lagt mange kræfter i et - forhåbentlig forgæves - forsøg på at skade Molly specifikt. Kort fortalt bliver Molly beskyldt for “cookie stuffing”, men den viste dokumentation illustrerer blot, hvordan et onsite-samarbejde med Molly afregnes i praksis, og dette vil vi gerne have lov til at uddybe, da vi ikke mener at dokumentationen vises i en korrekt sammenhæng og derved er stærkt misvisende og forkert:

Sådan lægger Molly cookies
‍Da Molly er en extension og dermed ikke kun arbejder med traditionelle links, har vi været i dialog med affiliate branchen for at finde et passende niveau for at lægge cookies og dermed honorere de fordele, annoncøren kan opnå med Molly under besøg på egen side.

Hvis ikke andet er aftalt, er det sådan, at der skal ske bestemte aktive interaktioner med Molly (dog ikke lukning af Molly), for at der kan lægges en cookie. Hyppigheden kan variere fra side til side, men der vil typisk blive lagt en cookie på hvert 8. besøg fra en Molly bruger.

I det anonyme opslag er der dog nogle få eksempler, hvor der bliver lagt cookies allerede ved ankomsten til siden. Dette vil bestemt kunne opfattes som cookie-stuffing, men dette er IKKE tilfældet, da det er specifikt ønsket af og aftalt med de pågældende annoncører, at der lægges cookies på al Molly trafik (som til gengæld modsvares af en meget lavere kommission på denne del af trafikken). Men alt dette kan den anonyme forfatter til indlægget naturligvis ikke vide, og derfor har vi også valgt at gå i direkte dialog ved at sende en mail til den opgivne e-mail-adresse i håb om at forklare, at det ikke er rimelig at advare imod samarbejde med Molly på dette grundlag.

Hvorfor lægger Molly overhovedet cookies?
‍For langt de fleste af Mollys samarbejder betales der udelukkende via kommission af salg fra det pågældende samarbejde. Dette er standarden i affiliate branchen. Da Molly er en extension, har vi i dialog med affiliate branchen fundet en standard model for, hvornår vi må lægge cookies som betaling for vores onsite-samarbjeder, da vi ikke kan arbejde med traditionelle affiliate-links i den forbindelse, så ved langt de fleste besøg fra Mollys brugere, bliver der ikke lagt cookies.

Enkelte annoncører har dog aktivt ønsket, at Molly lægger cookies på alle besøg, men til en langt lavere betaling.

Spørgsmål og svar
‍Vi vil her forsøge at svare på de bekymringer, der måtte følge i kølvandet på denne målrettede hetz mod Molly. Skriv endelig til kontakt@mollyapp.io, hvis du har flere spørgsmål.

Hvorfor bliver kun Molly nævnt?
‍Det undrer også os, da vi er orienterede om, at andre konkurrenter arbejder på samme måde. Da det gik op for os, hvor FraudExposer er ansat, står det nu klart for os, at motivet bag angrebet alene er at skade en konkurrent, og netop derfor har FraudExposer forsøgt at holde det anonymt. Derfor er det bemærkelsesværdigt, at netop vores konkurrenter er havnet på listen over 'ofre' i den e-mail, som den anonyme forfatter har sendt til branchen med en opfordring om helt at stoppe samarbejdet kun med Molly.

Kan man som annoncør helt undgå cookies?
‍Som annoncør kan man sagtens undgå cookies under besøg på egen side, hvis man ikke ønsker at gøre brug af Mollys mange onsite-fordele. Dette kan aftales direkte med Molly eller gennem eget affiliate bureau.

Ødelægger Molly det for andre publishers?
‍Vi har bygget vores system, så vores enkelte samarbejdspartnere kan tilgodese andre publishers ved helt at blokere for Mollys cookies, når trafikken kommer fra disse. Dette kræver blot en henvendelse fra den pågældende samarbejdspartner til Molly.

Kan ekstensions ødelægge noget for andre publishers?
‍Ja, ofte er det den publisher, som sidst har været i "kontakt" med brugeren før evt. køb, som bliver tildelt hele eller størstedelen af en eventuel kommission.Derfor er det vigtigt, at der er en fornuftig balance i tingene, og derfor har vi været i dialog med affiliate branchen om et passende niveau ift. vores standard løsning. Derudover giver vi vores samarbejdspartere mulighed for helt at frasortere trafik fra bestemte publishers, så vi aldrig lægger cookies i disse tilfælde, selvom vi normalt ville være berettigede til det.

‍Hvad dokumenterer videoerne i det anonyme opslag på Github?
‍De fleste videoer viser, at når en Molly bruger ankommer til en side, som Molly har et samarbejde med, henter Molly information fra vores servere om, at vi har et samarbejde med den pågældende side. Dette har INTET med cookies at gøre. Først når brugeren efterfølgende interagerer med Molly på en meningsfyldt måde, lægges der en cookie som betaling for samarbejdet. Videoerne dokumenterer ikke cookie stuffing, men dokumenterer, at der naturligvis lægges cookies, når de aftalte kriterier er overholdt.

I få tilfælde har samarbejdspartneren dog ønsket, at der lægges cookies allerede ved ankomst til siden aht til indsamling af statistik, eller fordi der ønskes afregnet for alle besøg af Mollys brugere, men til en væsentligt lavere kommission.

Risikerer man at betale dobbelt med Molly?
‍Vi har bygget vores system, så vores enkelte samarbejdspartere i høj grad kan sikre sig, at de ikke skal betale Molly ifm trafik, som kommer fra andre betalte kilder. Dette kræver blot en henvendelse fra den pågældende samarbejdspartner til Molly.

Hvem er FraudExposer?
‍Vi kan se, at FraudExposer er helt ny på Github og tilsyneladende kun har oprettet sig der for at angribe Molly. Vi ved nu også, at personen bag FraudExposer har en ledende stilling hos en konkurrent og tilmed er medejer af konkurrentens selskab. Vi kan se at der trods et lavt kendskab til Molly er et højt kendskab til branchen, og der er investeret mange ressourcer i at starte denne hetz. FraudExposer opererer anonymt, sandsynligvis fordi det ellers ville være tydeligt, at organisationen bag har en kommerciel interesse i at angribe os og så fordi karakteren af angrebet direkte er ulovligt. Vi overvejer selvfølgelig, hvem der kan have motiv og kræfter til at ville os til livs. Skriv gerne til peter@mollyapp.io, hvis du har informationer eller har væsentligt behov for at vide mere om FraudExposer.

Er det ikke ulovligt at drive hetz mod Molly?
‍Vi beundrer, at nogen har taget sig tid til at dokumentere, hvordan der lægges cookies - helt efter forskrifterne. Desværre kan vi se på mails fra den anonyme afsender, at det desværre kun sker med en hensigt om at skade Molly, og der er desværre tale om en alvorlig grad af grov misrekommandering. Derfor har vi nu også taget juridiske skridt i sagen.

Hi FraudExposer
‍
We (The team behind Mollyapp.io) saw your work, and first of all - nice work👏 It is really nice that the global public is diving into these kind of issues and exposes fraud!
‍
We however would like to explain why you have experienced what you document with Molly and hopefully add some nuances to your view.
‍
Cookies:
First of all, YES, we are adding cookies. Nothing deceptive in that. The reason that we add it in the background is because it would otherwise disturb the users interaction with the site. Thus it is at least not in the intent deceptive 😇
‍
Cookie stuffing:
Second, we are NOT simply cookie stuffing. We are adding the cookie when the user interacts with Molly in a meaningful way. This could fx. be when using Molly to find information about the shop or when automatically testing coupons. Thus simply closing Molly because it pops up on a site, will NOT trigger a cookie. Unfortunately the flow that you show in your recordings where you close Molly and open it again moments after, does trigger a cookie. Clicking on Molly when it is closed on a site, is in our opinion clearly for researching information. If closing Molly and accidentally opening Molly again by double clicking, it should not. We don't regard this as a very common scenario, however it should probably not do that, and is something we will consider for a future version.
‍
Partnerships:
We as Molly have directly explained this behaviour to dozens of partners, and all major affiliate networks. It is thus not deceptive behaviour, but intentional. We are not trying to grab everything we can on every site, but trying to deliver certain perks for our partners in exchange for the cookie when the user interacts with Molly. We regard the flow as being similar to going researching fx reviews or coupons of a shop, and clicking an affiliate link there, giving the informant the attribution.

Reason behind different behaviours on shops:
In your work, you have correctly found that Molly acts like it is tailored to each shop. This is exactly the specific partnerships we have described above. Thus it simply shows that the cooperation with partners is deliberate.
‍
Offsite:
You correctly state that we have onsite and offsite partnerships. But your wording about the offsite indicates that we simply intercepts the navigation to a site when navigated to. This is not the case. Offsite is just the term for traffic from elsewhere, fx. our shop catalogue in mollyapp.io/shops. When using an offsite link, it is exactly the same as normal affiliate links.
‍
Publicity:
As you may have guessed, we are not thrilled with the accusations in your mail and github repositories. We as a business have openness as one of our key guidelines and will therefore make this email and further correspondence public in order to let the public judge🙂

Code exposing:
In your work, you are digesting parts of our code to show our ‘deceptive methods’. These days, it is really easy to obfuscate javascript code and hide the true agenda behind it. This has not at all been a necessity for us, as we dont feel like we have something to hide. The code has only been through an optimizer, which can be seen in the funny variable names, but otherwise it is easily read. If our true objective was to be deceptive, we would for sure have done everything to hide it from people like you 🙂
‍
Attaching Scripts for Tracking:
Just to clarify, you mention that we are attaching scripts for tracking. It is by no means necessary to attach (or inject) scripts to enable tracking. This is done from the background script without the use of script injection. Injecting scripts is for showing the visual interface for Molly. This indirectly activates tracking when interacted with as mentioned before, but it would be much easier to do from the background script when navigating, if it should not be discovered.

FraudExposer:
We can not seem to notice that FraudExposer is a brand new user in github, just one day old, when uploading this giant work to github. And this giant work is the first and only repository uploaded by FraudExposer. A huge work for a first repository. This we must admit seems a bit deceptive itself. Can you tell who is behind FraudExposer and why you have started this quite extensive work?
‍
Best regards

Team Molly

Hej FraudExposer Att lägga till ytterligare svar direkt i mailet blir rörigt, så vi har valt att extrahera det som vi ser som huvudpunkterna.


‍Cookie-diskussion: ‍Visom en ny typ av tjänst är en störning i en befintlig bransch. Detta brukar medföra en viss turbulens innan de olika parterna anpassar sig till den nya situationen. Vi håller helt med om att det finns och bör finnas en diskussion om hur man ska hantera sista klick i situationer där en tjänst som Molly är med i loopen. Vi påstår inte att det nuvarande överenskomna upplägget är perfekt, och vi är öppna för att diskutera hur man kan uppnå detta. Helst bör det göras i samband med den allmänna diskussionen om vem som ska tillskrivas försäljningen. På Molly gillar vi i grunden tanken på att alla publicister som bidrar till "resan" ska gynnas. Den här diskussionen bör dock ledas av affiliatenätverken, och den bör inte baseras på en anonym attack riktad mot en publicist. Det är inte så man hanterar detta på ett konstruktivt sätt.


‍Fusk och bedrägeri: ‍Vadvi motsätter oss i denna kampanj är inte de faktiska fakta som vi lägger till cookies och när vi gör det. De flesta av de fakta som anges i Github-arkivet är sanna och inte något vi har försökt dölja. Det är påståendet att vi gör detta på ett bedrägligt och vilseledande sätt som vi anser är falskt och ärekränkande. Det verkar som om allt har skapats av dig som konkurrent i en strävan att skada Molly kommersiellt och att få involverade partners att dra tillbaka sitt samarbete med Molly av rädsla för påtryckningar. De överenskomna fakta som finns i förvaret vinklas på ett sådant sätt att det för en icke välinformerad utomstående kan ses som bedrägeri. En mycket allvarlig anklagelse av kriminell natur. Enbart sökningen efter "bedrägeri", när man tittar på sidan https://github.com/FraudExposer/mollyapp.io, räknar upp till 42 förekomster.

Utöver detta sprids dessa påståenden i branschen med en "uppmaning" om att sluta samarbeta med Molly. Detta har skett utan föregående varning till och inbjudan att diskutera det med oss.


Sammantaget ser vi detta beteende som mycket ärekränkande och kommer sannolikt att vidta rättsliga åtgärder i denna riktning. Bästa hälsningar, Team Molly

Uppdaterad den 19/7-2024