ハクソク

世界を動かす技術を、日本語で。

HNに知らせる: YC企業がGitHubの活動をスクレイピングし、ユーザーにスパムメールを送信

88日前

概要

  • GitHub活動 をもとにした 無断マーケティングメール の受信
  • Run Anywhere (YC企業)や Voice.AI など複数社からの連絡
  • GDPR違反 の懸念
  • 苦情提出 済み(企業・GitHub・YC Ethics)
  • 今後の対応や経過報告 を予定

GitHub活動を利用したマーケティングメール問題

  • GitHub上の活動履歴 を企業が 自動収集 し、対象者へ 宣伝メール を送付
  • Run Anywhere(YC W26)Voice.AI からのコンタクト事例
  • コミットメタデータ (メールアドレス・リポジトリ内容など)を利用したターゲティング
  • 受信者の 事前同意 なしでの連絡
  • GDPR(一般データ保護規則) 違反の可能性

受信者の対応と懸念

  • 両社に苦情 を送信したが、 返答なし
  • GitHub運営 および YC Ethics にも連絡済み
  • 個人情報の利用目的取得経路 の透明性欠如
  • 不特定多数への スパム的アプローチ への不安
  • 欧州在住者 にとっては特に 法的リスク が高い状況

GDPRと今後の動向

  • GDPR では、 個人データの利用 には 明確な同意 が必要
  • 違反した場合、企業に 高額な罰金 が科される可能性
  • プライバシー保護データ取得の適法性 が今後の焦点
  • GitHubYC からの対応・声明に注目
  • 今後のアップデート追加報告 が期待される状況

Hackerたちの意見

これはスパムだからまあいいけど、実際の詐欺に巻き込まれたことがあって、そっちはフロントページにすら載らなかったんだよね。 https://news.ycombinator.com/item?id=45357205

でも、GHがそれを消したみたいだね。あんまり被害者が出てないといいけど。

OSSに貢献したからって、新しい暗号通貨を押し売りしてくるメールが来た時よりはちょっと気持ち悪いかも。

でも、それはYCになりすました誰かの話で、YCの会社が悪いことをするよりは面白くないよね。フィッシャーたちは正当な企業を真似ることが多いから、簡単に引っかかることもあるし、同情するよ。誰でも影響を受けやすいからね(今日もフィッシングトレーニングのメールをクリックしそうになったけど、急いでる感じで、ちょうど心に響くボタンを押してた)。

これ、前に話題になってたの覚えてるよ。 https://news.ycombinator.com/item?id=9332418 (11年前) https://news.ycombinator.com/item?id=20660624 (7年前) https://news.ycombinator.com/item?id=27855152 (5年前) https://news.ycombinator.com/item?id=30900237 (4年前) どうやら再発してる問題みたいだね。

ここ数年、YC資金を受けた会社からこういうスパムがたくさん来てて、今ではYC資金って書いてあるメールは、どんなに正当なものであっても反射的にスパム扱いしちゃってる。

君を責める気にはなれないよ。FOMOが本当にやばくて、最近は基本的なChatGPTのラッパーですら資金調達されてるからね。

私も同じだよ。YCが名前に付いてるからって、そんなに自慢できることじゃないし、むしろ逆の意味だね。

こういうことはよくあるし、GitHubのAPIが本当に便利で、実際の確認済みメールアドレスを使って価値のあるリードを簡単に抜き出せちゃうから、驚きはしないよ。

うん、もう10年くらい続いてるね。

メールアドレスのプライバシーはGitHubが提供してる機能で、日常のメールを置き換えるものだよ。 https://docs.github.com/en/account-and-profile/how-tos/email...

GitHubのマーチンです。こういう行動はGitHubの利用規約に明確に反してます。こういうアカウントを見つけたら、私たちは(そして実際に)そのアカウントに対して行動を起こします。アカウントを禁止することもありますよ。確かに、これは「モグラたたき」みたいなもので、実際にはスタートアップだけじゃなくて、いろんなところがこの怪しい行動に関わってるのが現実です。私の経験上、いろんな例を見てきました。Gitの基本的な性質上、オープンソースのリポジトリからデータをスクレイピングするのは簡単なんです。これは私たちの利用規約に反していて、そういう人たちは弁護士に相談した方がいいかもしれません。でも、すべてのGitコミットにはあなたの名前とメールアドレスが含まれているので、技術的には難しくないんですよね。倫理的には問題がありますが。初期の頃から、GitHubに投稿するコミットのメールアドレスを匿名化するための機能を追加してきました。基本的には、ローカルのGitクライアントを設定して「no-reply」のメールアドレスを使うようにすれば、プッシュしたときにGitHubアカウントにリンクされます。詳細はここにあります: https://docs.github.com/en/account-and-profile/reference/ema... これが今でも一番の方法だと思います。オープンソースデータはできるだけオープンに保ちたいので、APIを制限するのは正しい方法ではないと思います。APIリクエストやスクレイピングトラフィックは制限していますが、限界に引っかかってイライラしている人たちの投稿もたくさん見てきたので、これはバランスを取るのが難しいですね。みんなの意見も聞きたいです。

私もずっとスパムが来てるんだけど、どうやら誰がリポジトリをスターしたか見えるみたいで(つまり、「あなたがリポジトリXをスターしたのを見たよ、私たちも似たようなことをやってるから」って感じ)、もう何もスターしないことにした。

何か見落としてるかもしれないけど、gitコミットでメールアドレスを表示しないようにすればいいんじゃない?(真剣な質問で、簡単なことだとは言ってないよ。私はバカだから、恥ずかしいかもしれないけどバカな質問をするのが好きなんだ)誰かにメッセージを送りたいなら、GitHubの通知やメールを通じてできるし、アカウントを禁止するのも重い罰とは思えない。だって、GitLabやBitbucketに移るだけじゃん。

過去2年でこれに関して何度か経験があって、私の返事はいつも同じだよ。「あなたがやってることはGitHubの利用規約に違反してる。」

特に具体的な提案はないけど、メールアドレスが匿名のものじゃない場合にプッシュをブロックする機能を実装してくれてありがとう。匿名のメールアドレスを提供するのもいいけど、ユーザーのメールアドレスが漏れないように助けてくれるのも素晴らしいよね。GitHubでプライバシーに気を使ってる人がどれくらいいるか分からないけど、ほとんどのユーザーはそうじゃないと思うから、この機能があるのは嬉しいな。

これがGitHubの利用規約に違反してるなんて知らなかったよ。今のリクルーターにとっては普通のことだと思ってた。知れてよかった!でも、その人をどうやって報告すればいいの?あなたのサポートページは、報告する相手のGitHubアカウントを知ってる前提になってるけど:https://docs.github.com/en/communities/maintaining-your-safe...

利用規約に違反してるのは知ってるよ。これをやってる複数の組織を報告したことがある。前回報告したときは、サポートが「その活動はプラットフォーム外なので何もできない」と言ってチケットを閉じちゃった。

いいね、ありがとうマーチン。詐欺師にはどうやって罰を与えるの?CFAAの利用規約違反で刑務所に送るの?

ユーザー名が変更された場合、ノーリプライのメールはアカウントに関連付けられてるのかな?それが理由で、個人のメールに戻したんだ。

YCはFlockに誇りを持って投資してるけど、あなたが言ってるYCの倫理って何のこと?

それとCluely。

YCのスタートアップで、他のスタートアップが雇わないように従業員のブラックリストを作ってるところがあるんだ。女性創業者の会社だったかな。名前は忘れちゃった。編集:AIの助けで名前が分かったよ。スタートアップの名前は「Bad News」。

開発者向けのマーケティングを長いことやってきたけど、GitHubアカウントにスパム送るのは最悪のマーケティング手法の1つか2つだと思う。コールドメールだけじゃほとんど効果ないし、GitHubから引っ張ったメールアドレスで開発者にコールドメール送るなんて、ブランドに悪影響を与えてるだけだよ。スパムのダイエットピル広告でも送った方がマシだね。

今日、GitHubのアドレスにスパムが来たんだけど、YC関連のやつだよ。 差出人: henry@joincactuscompute.com 「こんにちは、元気ですか?あなたがデバイス上の音声モデルに興味がありそうなので連絡しました。Cactusは、スマホやMac、ウェアラブル、Raspberry Piなどの消費者向けデバイス用の低遅延AIエンジンです。WhisperやParakeetのようなトランスクリプションモデルをサポートしていて、ベンチマークは添付のGitHubリポジトリにあります。 GitHub: https://github.com/cactus-compute/cactus あなたのフィードバックが欲しいし、気が向いたらスターもお願いします。ありがとう!」

私もAdenのVincent Jiangから、また別のYC企業のスパムが来たよ。 「こんにちは、ダニエル。あなたのプロフィールをSNSで見かけて、AIエージェント開発のためのDiscordコミュニティに参加しないかと思って連絡しました。現在、エージェントが壊れたり、ループしたり、迷子になったり、幻覚を見たり、すごくお金がかかることが多いので、開発者が課題や洞察を共有できるスペースを作りました。」