Vertel HN: YC-bedrijven schrappen GitHub-activiteit en sturen spam-e-mails naar gebruikers

Wanneer uw GitHub-activiteit de verkooptrechter van iemand anders wordt

Stel je voor dat je om 23.00 uur een commit pusht en een vervelende authenticatiebug in je zijproject oplost. Twee dagen later belandt er een e-mail in je inbox: "Hé, ik heb gemerkt dat je hebt gewerkt aan gebruikersauthenticatie voor je SaaS - onze tool kan helpen." Je hebt je nooit aangemeld voor hun mailinglijst. Je hebt hun website nooit bezocht. Je hebt ze nooit je e-mailadres gegeven. Maar op de een of andere manier weten ze precies wat je hebt gebouwd. Dat verontrustende gevoel? Het is geen paranoia. Het is een systematische, geïndustrialiseerde scraping-operatie die uw open source-bijdragen omzet in grondstof voor de groeicijfers van iemand anders.

Een recente draad op Hacker News bracht naar voren wat veel ontwikkelaars al lang hadden vermoed: een subset van door Y Combinator gesteunde bedrijven – en veel niet-YC startups die hetzelfde draaiboek volgen – hebben programmatisch GitHub-activiteitsgegevens verzameld om ontwikkelaars te identificeren en koude e-mails te sturen. De tegenreactie was snel en hevig. Voor de ontwikkelaarsgemeenschap overschrijdt dit een grens die geen enkele slimme groeihack kan ontwijken.

Hoe de schrapmachine eigenlijk werkt

De openbare API van GitHub is van nature open. Het maakt legitieme integraties, ontwikkelaarstools en ecosysteemanalyses mogelijk. Maar dezelfde infrastructuur waarmee u een CI/CD-dashboard kunt bouwen, kan worden hergebruikt om een ​​pijplijn voor het genereren van leads op te bouwen. Scrapers verzamelen commitgeschiedenissen, onderwerpen uit de repository, sterrentellingen, lijsten met bijdragers en – cruciaal – de e-mailadressen die ontwikkelaars soms vrijgeven in hun Git-configuratie of profielmetagegevens.

Van daaruit vergelijken verrijkingstools GitHub-handles met LinkedIn-profielen, bedrijfsdomeinen en databrokerdatabases. Binnen enkele minuten verandert een onbewerkte GitHub-gebruikersnaam in een volledig contactrecord: bedrijf, titel, afgeleide tech-stack, geschatte teamgrootte. Sommige bedrijven verwerken naar verluidt tienduizenden profielen per dag, waarbij de resultaten rechtstreeks in geautomatiseerde e-mailreeksen worden ingevoerd, vermomd als persoonlijk bereik.

De verfijning van de operatie maakt deze bijzonder invasief. Dit zijn geen massale explosies op gekochte lijsten. Het zijn zeer doelgerichte, contextueel bewuste e-mails die zijn gemaakt om het gevoel te geven dat de afzender u daadwerkelijk kent, omdat ze dat algoritmisch, in holle, datagestuurde zin, ook doen. De technische bekendheid creëert een vals gevoel van legitieme relatie waar die niet bestaat.

Waarom ontwikkelaars op unieke wijze kwetsbaar zijn voor deze tactiek

De meeste professionals kunnen een koude e-mail herkennen voor wat het is. Maar ontwikkelaars worden geconfronteerd met een specifieke psychologische valkuil: de e-mail verwijst naar echt, actueel werk. Wanneer iemand de exacte repository vermeldt waaraan je hebt bijgedragen, het specifieke raamwerk dat je vorige maand hebt aangenomen, of het foutpatroon dat in je recente commits verschijnt, activeert dit een "hoe weten ze dit?" reactie die tijdelijk het spamfilter in uw hersenen kan omzeilen.

Dit wordt nog verergerd door de cultuur van open-sourceontwikkeling. Publiekelijk bijdragen aan GitHub is zowel een professionele praktijk als een gemeenschapswaarde. Ontwikkelaars delen code openlijk omdat transparantie en samenwerking fundamenteel zijn voor het ecosysteem – en niet als een uitnodiging om te worden geprospecteerd. Het exploiteren van die openheid voor commercieel gewin zonder toestemming is een fundamenteel verraad aan de cultuur die het platform in de eerste plaats waardevol maakt.

"Het probleem is niet dat startups hun klanten willen vinden. Het probleem is dat ze 'openbaar zichtbaar' hebben verward met 'vrij beschikbaar voor welk commercieel doel dan ook.' Publieke gegevens en consensuele gegevens zijn niet hetzelfde."

Er is ook sprake van machtsasymmetrie. Individuele ontwikkelaars hebben geen inzicht in wie hun activiteiten bijhoudt of hoe hun gegevens worden verwerkt. Een startup kan in een weekend een ontwikkelaarslijst van 50.000 personen opbouwen; de ontwikkelaars op die lijst hebben geen idee dat het bestaat totdat de e-mails binnenkomen.

De werkelijke kosten voor startups die dit spel spelen

Vanuit puur huurlingenperspectief is de strategie zelfvernietigend. Ontwikkelaarsgemeenschappen praten. Hackernieuws-threads

Frequently Asked Questions

How do these companies get my email address from GitHub activity?

Most GitHub profiles include a public email address, and even when they don't, scrapers cross-reference your username against other public data sources — npm packages, commit metadata, forum posts, and leaked data breaches. Automated pipelines then enrich these records with professional emails sourced from services like Hunter.io or Apollo, all without any direct interaction from you.

Is it legal to scrape GitHub profiles and send unsolicited emails?

It exists in a legal grey area. While scraping publicly available data is generally not prohibited outright, sending unsolicited commercial email without consent may violate CAN-SPAM, GDPR, or CASL depending on jurisdiction. GitHub's Terms of Service explicitly prohibit scraping for spamming purposes, but enforcement against offending companies remains inconsistent and largely complaint-driven.

How can I reduce my exposure to developer-targeted sales spam?

Hide your email on GitHub by setting it to private in profile settings and using a masked address for commits via Git config. Consider using a dedicated developer alias for open-source work. If you're building tools for a team, platforms like Mewayz — a 207-module business OS at $19/mo (app.mewayz.com) — let you centralize operations without scattering personal contact details across public repositories.

Why do YC-backed companies rely on GitHub scraping instead of legitimate marketing?

Investor pressure to show rapid user growth creates incentives to prioritize volume over consent. GitHub scraping delivers highly targeted leads — developers actively solving specific problems — at near-zero marginal cost. It's a shortcut that trades long-term brand trust for short-term pipeline metrics. Companies serious about sustainable growth build products worth discovering organically, rather than hijacking developers' workflows as a prospecting database.

Related Posts

• Waarom ik me zorgen maak over baanverlies en gedachten over comparatief voordeel
• Goede en praktische point-to-analyse voor onvolledige C-programma's [pdf]
• De weinig bekende opdrachtregel-sandboxtool van macOS (2025)
• Geen vaardigheid. Geen smaak