Fortæl HN: YC-virksomheder skraber GitHub-aktivitet, sender spam-e-mails til brugere

Når din GitHub-aktivitet bliver en andens salgstragt

Forestil dig, at du skubber en commit kl. 23.00 og retter en knastør autentificeringsfejl i dit sideprojekt. To dage senere lander en e-mail i din indbakke: "Hej, jeg har bemærket, at du har arbejdet på brugergodkendelse til din SaaS - vores værktøj kan hjælpe." Du har aldrig tilmeldt dig deres mailingliste. Du har aldrig besøgt deres hjemmeside. Du har aldrig givet dem din e-mailadresse. Men på en eller anden måde ved de præcis, hvad du har bygget. Den foruroligende følelse? Det er ikke paranoia. Det er en systematisk, industrialiseret skrabeoperation, der gør dine open source-bidrag til råmateriale til andres vækstmålinger.

En nylig tråd på Hacker News dukkede op, hvad mange udviklere længe havde haft mistanke om: en undergruppe af Y Combinator-støttede virksomheder - og masser af ikke-YC-startups, der følger den samme playbook - har programmæssigt høstet GitHub-aktivitetsdata for at identificere og kold-e-maile udviklere. Modreaktionen var hurtig og voldsom. For udviklerfællesskabet krydser dette en grænse, som intet smart growth hack kan overskride.

Hvordan skrabemaskinen faktisk fungerer

GitHubs offentlige API er, ved design, åben. Det driver legitime integrationer, udviklerværktøjer og økosystemanalyser. Men den samme infrastruktur, som lader dig bygge et CI/CD-dashboard, kan genbruges til at bygge en leadgenereringspipeline. Skrabere indtager commit-historier, depotemner, stjernetællinger, bidragyderlister og - kritisk - de e-mailadresser, som udviklere nogle gange afslører i deres Git-konfiguration eller profilmetadata.

Derfra krydshenviser berigelsesværktøjer GitHub mod LinkedIn-profiler, virksomhedsdomæner og datamæglerdatabaser. Inden for få minutter forvandles et råt GitHub-brugernavn til en fuld kontaktoptegnelse: virksomhed, titel, udledt tech-stack, omtrentlig teamstørrelse. Nogle operationer behandler efter sigende titusindvis af profiler om dagen, og leverer resultaterne direkte ind i automatiserede e-mail-sekvenser forklædt som personlig opsøgende kontakt.

Det sofistikerede ved operationen er det, der gør den særligt invasiv. Disse er ikke massesprængninger til købte lister. De er meget målrettede, kontekstuelt bevidste e-mails, der er udformet til at føle, at afsenderen rent faktisk kender dig - fordi algoritmisk, i en hul datadrevet forstand, gør de det. Den tekniske fortrolighed skaber en falsk følelse af et legitimt forhold, hvor ingen eksisterer.

Hvorfor udviklere er unikt sårbare over for denne taktik

De fleste professionelle kan se en kold e-mail for, hvad den er. Men udviklere står over for en specifik psykologisk fælde: e-mailen refererer til ægte, aktuelt arbejde. Når nogen nævner det nøjagtige lager, du har bidraget til, den specifikke ramme, du vedtog i sidste måned, eller det fejlmønster, der dukkede op i dine seneste commits, udløser det et "hvordan ved de det?" svar, der midlertidigt kan omgå spamfilteret i din hjerne.

Dette forstærkes af kulturen med open source-udvikling. At bidrage offentligt til GitHub er både en professionel praksis og en samfundsværdi. Udviklere deler kode åbenlyst, fordi gennemsigtighed og samarbejde er grundlæggende for økosystemet - ikke som en invitation til at blive prospekteret. At udnytte denne åbenhed til kommerciel vinding uden samtykke er et grundlæggende forræderi mod den kultur, der gør platformen værdifuld i første omgang.

"Problemet er ikke, at startups ønsker at finde deres kunder. Problemet er, at de har forvekslet 'offentligt synlig' med 'frit tilgængeligt til ethvert kommercielt formål'. Offentlige data og samtykkedata er ikke det samme."

Der er også en magtasymmetri på spil. Individuelle udviklere har ingen indsigt i, hvem der skraber deres aktivitet, eller hvordan deres data behandles. En startup kan bygge en udviklerliste på 50.000 personer på en weekend; udviklerne på den liste aner ikke, at den eksisterer, før e-mails begynder at ankomme.

De reelle omkostninger for startups, der spiller dette spil

Fra et rent lejesoldatperspektiv er strategien selvdestruktiv. Udviklersamfund taler. Hacker nyheder tråde

Frequently Asked Questions

How do these companies get my email address from GitHub activity?

Most GitHub profiles include a public email address, and even when they don't, scrapers cross-reference your username against other public data sources — npm packages, commit metadata, forum posts, and leaked data breaches. Automated pipelines then enrich these records with professional emails sourced from services like Hunter.io or Apollo, all without any direct interaction from you.

Is it legal to scrape GitHub profiles and send unsolicited emails?

It exists in a legal grey area. While scraping publicly available data is generally not prohibited outright, sending unsolicited commercial email without consent may violate CAN-SPAM, GDPR, or CASL depending on jurisdiction. GitHub's Terms of Service explicitly prohibit scraping for spamming purposes, but enforcement against offending companies remains inconsistent and largely complaint-driven.

How can I reduce my exposure to developer-targeted sales spam?

Hide your email on GitHub by setting it to private in profile settings and using a masked address for commits via Git config. Consider using a dedicated developer alias for open-source work. If you're building tools for a team, platforms like Mewayz — a 207-module business OS at $19/mo (app.mewayz.com) — let you centralize operations without scattering personal contact details across public repositories.

Why do YC-backed companies rely on GitHub scraping instead of legitimate marketing?

Investor pressure to show rapid user growth creates incentives to prioritize volume over consent. GitHub scraping delivers highly targeted leads — developers actively solving specific problems — at near-zero marginal cost. It's a shortcut that trades long-term brand trust for short-term pipeline metrics. Companies serious about sustainable growth build products worth discovering organically, rather than hijacking developers' workflows as a prospecting database.

Related Posts

• Claude Codes komprimering kasserer data, der stadig er på disken
• Spørg HN: Hvorfor er elektronik stadig så genanvendelig?
• Hvem smurte Feynman
• FAA lukker luftrummet omkring El Paso, Texas, i 10 dage og sætter alle flyvninger på grund