Diga a HN: As empresas YC eliminam as atividades do GitHub e enviam e-mails de spam aos usuários

Quando sua atividade no GitHub se torna o funil de vendas de outra pessoa

Imagine enviar um commit às 23h, corrigindo um bug de autenticação complicado em seu projeto paralelo. Dois dias depois, um e-mail chega à sua caixa de entrada: "Ei, percebi que você está trabalhando na autenticação de usuário para seu SaaS - nossa ferramenta pode ajudar." Você nunca se inscreveu na lista de e-mails deles. Você nunca visitou o site deles. Você nunca deu a eles seu endereço de e-mail. No entanto, de alguma forma, eles sabem exatamente o que você está construindo. Essa sensação perturbadora? Não é paranóia. É uma operação sistemática e industrializada que transforma suas contribuições de código aberto em matéria-prima para as métricas de crescimento de outra pessoa.

Um tópico recente no Hacker News revelou o que muitos desenvolvedores suspeitavam há muito tempo: um subconjunto de empresas apoiadas pelo Y Combinator - e muitas startups não YC seguindo o mesmo manual - têm coletado programaticamente dados de atividades do GitHub para identificar e enviar e-mails não solicitados aos desenvolvedores. A reação foi rápida e feroz. Para a comunidade de desenvolvedores, isso ultrapassa uma linha que nenhum hack de crescimento inteligente pode descruzar.

Como a máquina de raspagem realmente funciona

A API pública do GitHub é, por design, aberta. Ele possibilita integrações legítimas, ferramentas para desenvolvedores e análises de ecossistemas. Mas a mesma infraestrutura que permite construir um painel de CI/CD pode ser reaproveitada para construir um pipeline de geração de leads. Os scrapers ingerem históricos de commits, tópicos de repositórios, contagens de estrelas, listas de contribuidores e – principalmente – os endereços de e-mail que os desenvolvedores às vezes expõem em suas configurações do Git ou metadados de perfil.

A partir daí, as ferramentas de enriquecimento fazem referência cruzada aos identificadores do GitHub com perfis do LinkedIn, domínios de empresas e bancos de dados de corretores de dados. Em poucos minutos, um nome de usuário bruto do GitHub se transforma em um registro de contato completo: empresa, cargo, pilha de tecnologia inferida, tamanho aproximado da equipe. Algumas operações supostamente processam dezenas de milhares de perfis por dia, alimentando os resultados diretamente em sequências automatizadas de e-mail disfarçadas de divulgação personalizada.

A sofisticação da operação é o que a torna particularmente invasiva. Estas não são explosões em massa de listas de compras. Eles são e-mails altamente direcionados e contextualmente criados para parecer que o remetente realmente conhece você - porque algoritmicamente, em um sentido vazio baseado em dados, eles conhecem. A familiaridade técnica cria uma falsa sensação de relacionamento legítimo onde não existe.

Por que os desenvolvedores são exclusivamente vulneráveis a essa tática

A maioria dos profissionais consegue identificar um e-mail frio pelo que realmente é. Mas os desenvolvedores enfrentam uma armadilha psicológica específica: o e-mail faz referência a trabalhos reais e atuais. Quando alguém menciona o repositório exato para o qual você está contribuindo, a estrutura específica que você adotou no mês passado ou o padrão de erro que aparece em seus commits recentes, isso aciona uma pergunta "como eles sabem disso?" resposta que pode ignorar momentaneamente o filtro de spam em seu cérebro.

Isso é agravado pela cultura de desenvolvimento de código aberto. Contribuir publicamente para o GitHub é uma prática profissional e um valor comunitário. Os desenvolvedores compartilham código abertamente porque a transparência e a colaboração são fundamentais para o ecossistema — e não como um convite para serem prospectados. Explorar essa abertura para ganhos comerciais sem consentimento é uma traição fundamental à cultura que torna a plataforma valiosa em primeiro lugar.

“O problema não é que as startups queiram encontrar seus clientes. O problema é que elas confundiram 'publicamente visível' com 'disponível gratuitamente para qualquer finalidade comercial'. Dados públicos e dados consensuais não são a mesma coisa.”

Há também uma assimetria de poder em jogo. Os desenvolvedores individuais não têm visibilidade sobre quem está copiando suas atividades ou como seus dados estão sendo processados. Uma startup pode construir uma lista de desenvolvedores de 50 mil pessoas em um fim de semana; os desenvolvedores dessa lista não têm ideia de que ela existe até que os e-mails comecem a chegar.

O custo real para startups que jogam este jogo

De uma perspectiva puramente mercenária, a estratégia é autodestrutiva. Comunidades de desenvolvedores falam. Tópicos de notícias sobre hackers

Frequently Asked Questions

How do these companies get my email address from GitHub activity?

Most GitHub profiles include a public email address, and even when they don't, scrapers cross-reference your username against other public data sources — npm packages, commit metadata, forum posts, and leaked data breaches. Automated pipelines then enrich these records with professional emails sourced from services like Hunter.io or Apollo, all without any direct interaction from you.

Is it legal to scrape GitHub profiles and send unsolicited emails?

It exists in a legal grey area. While scraping publicly available data is generally not prohibited outright, sending unsolicited commercial email without consent may violate CAN-SPAM, GDPR, or CASL depending on jurisdiction. GitHub's Terms of Service explicitly prohibit scraping for spamming purposes, but enforcement against offending companies remains inconsistent and largely complaint-driven.

How can I reduce my exposure to developer-targeted sales spam?

Hide your email on GitHub by setting it to private in profile settings and using a masked address for commits via Git config. Consider using a dedicated developer alias for open-source work. If you're building tools for a team, platforms like Mewayz — a 207-module business OS at $19/mo (app.mewayz.com) — let you centralize operations without scattering personal contact details across public repositories.

Why do YC-backed companies rely on GitHub scraping instead of legitimate marketing?

Investor pressure to show rapid user growth creates incentives to prioritize volume over consent. GitHub scraping delivers highly targeted leads — developers actively solving specific problems — at near-zero marginal cost. It's a shortcut that trades long-term brand trust for short-term pipeline metrics. Companies serious about sustainable growth build products worth discovering organically, rather than hijacking developers' workflows as a prospecting database.

Related Posts

• A Ferramenta de Sandboxing de Linha de Comando Pouco Conhecida do macOS (2025)
• A odisséia criptográfica do DJB: do herói do código ao gadfly dos padrões
• IRS perdeu 40% da equipe de TI, 80% dos líderes de tecnologia em reorganização por 'eficiência'
• A Máfia Gay da Tecnologia