Как программист обманул eBay на 28 миллионов долларов

Это история про Шона Хогана, программиста, который в 2004 году придумал одну из самых элегантных схем обмана в истории интернета. Человек ничего не продавал, ничего не взламывал в классическом смысле и формально даже не ломал правила партнёрской программы. Просто выкатил бесплатный виджет для блогеров, и через пару лет eBay выплатил ему 28 миллионов долларов.

Для итшников этот сюжет интересен не столько суммой, сколько идеей. Это учебник по тому, как любая атрибуция по последнему клику, любые куки и любая метрика, на которую завязаны деньги, превращаются в кормушку для того, кто хорошо разбирается в коде и плохо в совести. И ещё это отличная иллюстрация к разговору про ML и антифрод, который сейчас держится на моделях обнаружения аномалий и графах поведения.

Виджет, который принёс десятки миллионов

Идея была простой до скуки. Назывался продукт Geo Visitors. Блогер вставлял себе на сайт маленький блок, который показывал карту с флажками, откуда приходят посетители. Симпатично, бесплатно, вирусно. Виджет разлетелся по тысячам блогов.

Рядом с картинкой сидела вторая, вполне себе скрытая функция. При заходе любого человека на страницу с виджетом в браузер молча укладывалась партнёрская кука eBay. Дальше работала стандартная логика аффилиатки. Если в ближайшие тридцать дней человек хоть раз чтото покупал на eBay, система считала, что его привёл именно Хоган, и отправляла ему комиссию.

На этом этапе явного взлома нет. Есть виджет, есть куки, есть правила программы. Просто посредник, который в абсолютно промышленных масштабах присваивает себе весь трафик, который и без него пришёл бы на eBay.

Как это выглядело в цифрах

К 2006 году виджет хранил 650 тысяч активных кук, а сам Хоган забирал примерно 15 процентов от всего партнёрского бюджета eBay. На фоне 26 тысяч других аффилиатов он был первым номером. eBay лично возил его в Вегас, кормил икрой в ресторане Алена Дюкасса в Mandalay Bay и предоставлял кредиты на частные рейсы, которыми он реально пользовался.

При этом Хоган вел себя как аккуратный инженер. Виджет был отдельно запрограммирован так, чтобы никогда не оставлять куки на компьютерах рядом с штабквартирой eBay в СанДиего. Человек буквально прописал фильтр по геолокации, чтобы сотрудники жертвы случайно не увидели в своих браузерах чужую куку.

Trip Wire, или как наконец разобрались

Схема работала до тех пор, пока внутри eBay не построили отдельный антифрод под названием Trip Wire. На главную страницу площадки добавили невидимый пиксель, который фиксировал факт реального визита. Дальше простая сверка. Берём пользователей с кукой Хогана, которые якобы пришли из его виджета, и смотрим, сколько из них на самом деле открывали eBay.

Оказалось, что примерно 99 процентов его рефералов никогда не были никакими рефералами. Люди просто читали блоги, видели карту с флажками и жили своей жизнью. Покупки на eBay они делали сами, из поиска, рекламы или закладок. Хоган просто приходил и выписывал себе чек.

Чем всё закончилось

Дальше сюжет становится очень американским. ФБР приходит с обыском в квартиру Хогана. Он в итоге признаёт себя виновным по одному эпизоду мошенничества с использованием средств связи, получает пять месяцев федеральной тюрьмы и штраф 25 тысяч долларов.

Арифметика выходит жутковатой. eBay выплатил 28 миллионов, суд вернул 25 тысяч. Чистым итогом человек выходит из истории с суммой, которую большинству инженеров не снилось даже после двадцати лет в больших компаниях.

Почему это интересно для ИТ и АИ

История Шона Хогана это классическое cookie stuffing, про которое до сих пор рассказывают на лекциях по инфобезопасности и антифроду. И это очень актуальный кейс для 2026 года. Вся экономика веба до сих пор держится на атрибуции. Кто привёл пользователя, кто показал рекламу, кто заслуживает выплату. И эта же экономика переезжает в эпоху AIагентов, которые сами кликают по ссылкам, сами ходят по страницам и сами покупают. Браузерные куки в таком мире становятся вообще очень весёлым инструментом атрибуции.

Ответ на это всё идёт в сторону ML и поведенческой аналитики. Антифрод крупных площадок сейчас строится на графах связей между аккаунтами, моделях обнаружения аномалий в кликах и проверке того, похоже ли поведение пользователя на живого человека вообще. Именно это и делал Trip Wire, только на очень простом уровне и с опозданием на несколько лет.

Что из этого стоит унести

Любая система атрибуции без проверки факта визита рано или поздно превращается в казино для талантливых разрабов. Разработчик, который понимает продукт глубже бизнеса, опаснее любого внешнего хакера. Антифрод и бизнеслогика должны жить в одном репо и в одних головах, а не в соседних отделах.

Оригинал: https://x.com/0xSweep/status/2048396106686419076