Fortell HN: YC-selskaper skraper GitHub-aktivitet, sender spam-e-poster til brukere

Når GitHub-aktiviteten din blir en annens salgstrakt

Tenk deg å skyve en forpliktelse klokken 23.00, og fikse en knakende autentiseringsfeil i sideprosjektet ditt. To dager senere lander en e-post i innboksen din: "Hei, jeg la merke til at du har jobbet med brukerautentisering for SaaS-en din – verktøyet vårt kan hjelpe." Du har aldri registrert deg for e-postlisten deres. Du har aldri besøkt nettsiden deres. Du ga dem aldri e-postadressen din. Men på en eller annen måte vet de nøyaktig hva du har bygget. Den urovekkende følelsen? Det er ikke paranoia. Det er en systematisk, industrialisert skrapeoperasjon som gjør bidragene dine med åpen kildekode til råmateriale for andres vekstmålinger.

En nylig tråd på Hacker News dukket opp det mange utviklere lenge hadde mistenkt: en undergruppe av Y Combinator-støttede selskaper – og mange ikke-YC-startups som følger den samme spilleboken – har programmatisk høstet GitHub-aktivitetsdata for å identifisere og kald-e-poste utviklere. Tilbakeslaget var raskt og voldsomt. For utviklerfellesskapet krysser dette en grense som ingen smarte veksthack kan krysse.

Hvordan skrapemaskinen faktisk fungerer

GitHubs offentlige API er, ved design, åpen. Den driver legitime integrasjoner, utviklerverktøy og økosystemanalyse. Men den samme infrastrukturen som lar deg bygge et CI/CD-dashbord, kan brukes på nytt for å bygge en pipeline for leadgenerering. Skrapere inntar forpliktelseshistorier, depotemner, antall stjerner, bidragsyterlister og – kritisk – e-postadressene utviklere noen ganger viser i Git-konfigurasjonen eller profilmetadataene deres.

Derfra håndterer berikelsesverktøyene GitHub kryssreferanser mot LinkedIn-profiler, firmadomener og datameglerdatabaser. I løpet av få minutter forvandles et rå GitHub-brukernavn til en fullstendig kontaktpost: selskap, tittel, antatt teknisk stack, omtrentlig teamstørrelse. Noen operasjoner behandler angivelig titusenvis av profiler per dag, og mater resultatene direkte inn i automatiserte e-postsekvenser forkledd som personlig oppsøkende kontakt.

Det sofistikerte ved operasjonen er det som gjør den spesielt invasiv. Dette er ikke masseeksplosjoner til kjøpte lister. De er svært målrettede, kontekstuelt bevisste e-poster laget for å føle at avsenderen faktisk kjenner deg – fordi algoritmisk, i en hul datadrevet forstand, gjør de det. Den tekniske fortroligheten skaper en falsk følelse av legitime forhold der ingen eksisterer.

Hvorfor utviklere er unikt sårbare for denne taktikken

De fleste fagfolk kan oppdage en kald e-post for hva den er. Men utviklere står overfor en spesifikk psykologisk felle: e-posten refererer til ekte, nåværende arbeid. Når noen nevner det nøyaktige depotet du har bidratt til, det spesifikke rammeverket du tok i bruk forrige måned, eller feilmønsteret som dukket opp i de siste commitsene dine, utløser det et "hvordan vet de dette?" svar som midlertidig kan omgå spamfilteret i hjernen din.

Dette forsterkes av kulturen med åpen kildekode-utvikling. Å bidra offentlig til GitHub er både en profesjonell praksis og en fellesskapsverdi. Utviklere deler kode åpent fordi åpenhet og samarbeid er grunnleggende for økosystemet – ikke som en invitasjon til å bli prospektert. Å utnytte den åpenheten for kommersiell vinning uten samtykke er et grunnleggende svik mot kulturen som gjør plattformen verdifull i utgangspunktet.

"Problemet er ikke at startups ønsker å finne kundene sine. Problemet er at de har forvekslet "offentlig synlig" med "fritt tilgjengelig for alle kommersielle formål." Offentlige data og samtykkedata er ikke det samme."

Det er også en kraftasymmetri på spill. Individuelle utviklere har ingen innsyn i hvem som skraper aktiviteten deres eller hvordan dataene deres behandles. En startup kan bygge en utviklerliste på 50 000 personer i løpet av en helg; utviklerne på den listen aner ikke at den eksisterer før e-postene begynner å komme.

Den virkelige kostnaden for startups som spiller dette spillet

Fra et rent leiesoldatperspektiv er strategien selvødeleggende. Utviklermiljøer snakker. Hacker News-tråder

Frequently Asked Questions

How do these companies get my email address from GitHub activity?

Most GitHub profiles include a public email address, and even when they don't, scrapers cross-reference your username against other public data sources — npm packages, commit metadata, forum posts, and leaked data breaches. Automated pipelines then enrich these records with professional emails sourced from services like Hunter.io or Apollo, all without any direct interaction from you.

Is it legal to scrape GitHub profiles and send unsolicited emails?

It exists in a legal grey area. While scraping publicly available data is generally not prohibited outright, sending unsolicited commercial email without consent may violate CAN-SPAM, GDPR, or CASL depending on jurisdiction. GitHub's Terms of Service explicitly prohibit scraping for spamming purposes, but enforcement against offending companies remains inconsistent and largely complaint-driven.

How can I reduce my exposure to developer-targeted sales spam?

Hide your email on GitHub by setting it to private in profile settings and using a masked address for commits via Git config. Consider using a dedicated developer alias for open-source work. If you're building tools for a team, platforms like Mewayz — a 207-module business OS at $19/mo (app.mewayz.com) — let you centralize operations without scattering personal contact details across public repositories.

Why do YC-backed companies rely on GitHub scraping instead of legitimate marketing?

Investor pressure to show rapid user growth creates incentives to prioritize volume over consent. GitHub scraping delivers highly targeted leads — developers actively solving specific problems — at near-zero marginal cost. It's a shortcut that trades long-term brand trust for short-term pipeline metrics. Companies serious about sustainable growth build products worth discovering organically, rather than hijacking developers' workflows as a prospecting database.

Related Posts

• Vis HN: Musikalsk Intervalltrener
• Overdreven tokenbruk i Claude Code
• Eksponeringssimulator
• NanoClaw løser et av OpenClaws største sikkerhetsproblemer