Розкажіть HN: компанії YC збирають активність GitHub, надсилають користувачам спам

Коли ваша діяльність на GitHub стає чиєюсь воронкою продажів

Уявіть собі, що ви натискаєте комміт о 23:00, виправляючи неприємну помилку автентифікації у вашому побічному проекті. Через два дні у вашу папку «Вхідні» приходить електронний лист: «Привіт, я помітив, що ви працюєте над автентифікацією користувача для свого SaaS — наш інструмент може допомогти». Ви ніколи не підписувалися на їхній список розсилки. Ви ніколи не відвідували їхній сайт. Ви ніколи не давали їм свою електронну адресу. Проте якимось чином вони точно знають, що ви будуєте. Це тривожне відчуття? Це не параноя. Це систематична індустріальна операція збирання, яка перетворює ваші внески з відкритим кодом на сировину для чиїхось показників зростання.

Нещодавня тема на Hacker News виявила те, про що багато розробників давно підозрювали: підмножина компаній, які підтримують Y Combinator, і багато стартапів, які не належать до YC, дотримуючись тієї самої інструкції, програмно збирали дані про діяльність GitHub, щоб ідентифікувати розробників і надсилати їм холодну електронну пошту. Зворотна реакція була швидкою і жорстокою. Для спільноти розробників це переходить межу, яку не може перетнути жоден розумний хак для зростання.

Як насправді працює скребкова машина

Загальнодоступний API GitHub є відкритим. Він забезпечує законну інтеграцію, інструменти розробника та екосистемну аналітику. Але ту саму інфраструктуру, яка дозволяє створити інформаційну панель CI/CD, можна перепрофілювати для створення конвеєра генерації потенційних клієнтів. Скрепери завантажують історію комітів, теми сховища, кількість зірок, списки учасників і, що важливо, адреси електронної пошти, які розробники іноді надають у конфігурації Git або метаданих профілю.

Звідти інструменти збагачення перехресно посилаються на обробки GitHub із профілями LinkedIn, доменами компаній і базами даних посередників даних. За лічені хвилини необроблене ім’я користувача GitHub перетворюється на повний контактний запис: компанія, посада, передбачуваний стек технологій, приблизний розмір команди. Повідомляється, що деякі операції обробляють десятки тисяч профілів на день, надаючи результати безпосередньо в автоматизовані послідовності електронних листів під виглядом персоналізованого охоплення.

Витонченість операції робить її особливо інвазивною. Це не масові вибухи до списків покупок. Це чітко націлені електронні листи з контекстною підтримкою, створені таким чином, щоб відчути, що відправник справді вас знає, оскільки алгоритмічно, у порожнистому сенсі, що керується даними, вони так і є. Технічне знайомство створює хибне відчуття законних стосунків там, де їх не існує.

Чому розробники надзвичайно вразливі до цієї тактики

Більшість професіоналів можуть розпізнати холодний електронний лист таким, яким він є. Але розробники стикаються зі специфічною психологічною пасткою: електронний лист містить посилання на реальну поточну роботу. Коли хтось згадує точний репозиторій, до якого ви робили внесок, конкретну структуру, яку ви прийняли минулого місяця, або шаблон помилки, що відображається у ваших останніх комітах, це викликає запитання: «Звідки вони це знають?» відповідь, яка може на мить обійти фільтр спаму у вашому мозку.

Це доповнюється культурою розробки з відкритим кодом. Публічний внесок у GitHub є як професійною практикою, так і цінністю для спільноти. Розробники відкрито діляться кодом, оскільки прозорість і співпраця є основою екосистеми, а не як запрошення до пошуку. Використання цієї відкритості для отримання комерційної вигоди без згоди є фундаментальною зрадою культури, яка робить платформу цінною в першу чергу.

«Проблема не в тому, що стартапи хочуть знайти своїх клієнтів. Проблема в тому, що вони сплутали «загальнодоступні» з «вільно доступними для будь-яких комерційних цілей». Загальнодоступні дані та консенсусні дані — це не одне й те саме».

Існує також асиметрія влади. Окремі розробники не бачать, хто збирає їхню діяльність або як обробляються їхні дані. Стартап може створити список розробників із 50 000 осіб за вихідні; розробники в цьому списку навіть не підозрюють про його існування, поки не почнуть надходити електронні листи.

Реальна вартість для стартапів, які грають у цю гру

З чисто найманської точки зору ця стратегія є самопровалом. Обговорення спільнот розробників. Новини про хакерів

Frequently Asked Questions

How do these companies get my email address from GitHub activity?

Most GitHub profiles include a public email address, and even when they don't, scrapers cross-reference your username against other public data sources — npm packages, commit metadata, forum posts, and leaked data breaches. Automated pipelines then enrich these records with professional emails sourced from services like Hunter.io or Apollo, all without any direct interaction from you.

Is it legal to scrape GitHub profiles and send unsolicited emails?

It exists in a legal grey area. While scraping publicly available data is generally not prohibited outright, sending unsolicited commercial email without consent may violate CAN-SPAM, GDPR, or CASL depending on jurisdiction. GitHub's Terms of Service explicitly prohibit scraping for spamming purposes, but enforcement against offending companies remains inconsistent and largely complaint-driven.

How can I reduce my exposure to developer-targeted sales spam?

Hide your email on GitHub by setting it to private in profile settings and using a masked address for commits via Git config. Consider using a dedicated developer alias for open-source work. If you're building tools for a team, platforms like Mewayz — a 207-module business OS at $19/mo (app.mewayz.com) — let you centralize operations without scattering personal contact details across public repositories.

Why do YC-backed companies rely on GitHub scraping instead of legitimate marketing?

Investor pressure to show rapid user growth creates incentives to prioritize volume over consent. GitHub scraping delivers highly targeted leads — developers actively solving specific problems — at near-zero marginal cost. It's a shortcut that trades long-term brand trust for short-term pipeline metrics. Companies serious about sustainable growth build products worth discovering organically, rather than hijacking developers' workflows as a prospecting database.

Related Posts

• Привілей - це погана граматика
• Теренс Тао, 8 років (1984) [pdf]
• QGIS 4.0
• Японські вірші про смерть