VegNonVeg schützt Sneakerheads mit F5 vor schädlichen Bots

Turnschuhe, die stark nachgefragt und nur in begrenzter Stückzahl verfügbar sind, sind dank der „Sneakerheads“, die beliebte Schuhe sammeln, zu einem Phänomen der Popkultur mit einem Marktwert von fast 100 Milliarden US-Dollar geworden. VegNonVeg wurde 2016 eröffnet, um indischen Verbrauchern Premium-Sneaker anzubieten, darunter Schuhe von Nike, Adidas, Converse, Reebok und anderen. Das Unternehmen hat seinen Sitz in Delhi sowie Filialen in Mumbai und Bangalore und Verbindungen nach Bollywood. Seinen Namen verdankt es der Idee, das Köstlichste aus der vegetarischen und nicht-vegetarischen Küche zu genießen. Diese „Das Beste von allem“-Philosophie spiegelt sich in der kuratierten Auswahl an Schuhen, Streetwear, Büchern und Sammlerstücken wider.

Das Unternehmen stellt an den angekündigten Terminen attraktive Schuhe zur Verfügung und verzeichnet an diesen Einführungs- oder „Drop“-Terminen einen enormen Anstieg des Website-Verkehrs. Der Web-Datenverkehr von VegNonVeg kann innerhalb einer Stunde auf das 50- oder 100-fache des Normalwerts ansteigen und dann wieder abfallen. Deshalb verwendet das Unternehmen Amazon CloudFront, um seine Infrastruktur schnell zu skalieren und die Verfügbarkeit aufrechtzuerhalten.

Doch die Kapazität reicht nicht aus. VegNonVeg musste den Datenverkehr von Bots stoppen. Mithilfe der Edge-Sicherheitsdienste von AWS konnten zwar DDoS-Angriffe abgemildert werden, doch konnten sie nicht verhindern, dass sich Kunden darüber beschwerten, dass Schuhe in Sekundenschnelle ausverkauft waren, weil geskriptete Bots schneller einkauften als jeder Mensch.

„Es gibt viele bösartige Bots, die nicht jedem eine faire Chance geben“, sagt Kamal Kalra, Director of Operations bei VegNonVeg. „Beim ersten Mal waren wir schockiert. Wir dachten, es müsse ein technisches Problem vorliegen.“ Durch Analysen konnte aufgedeckt werden, dass Bots den Großteil oder das gesamte Inventar des Unternehmens für Weiterverkäufer aufkauften, die die Schuhe dann wie Ticket-Scalper zu überhöhten Preisen verkauften. 

VegNonVeg machte zwar immer noch Umsatz, aber nicht bei den Sneaker-Fans, die sie ansprechen wollten, und ohne eine Kundengemeinschaft für andere Produkte aufzubauen. Kalra sagt: „Aus geschäftlicher Sicht ist das ein doppelter Schlag. Erstens erhalten Ihre tatsächlichen Kunden das Produkt nicht und zweitens ist das Erlebnis auf der Website schlecht und es ist ein Problem für den Ruf der Marke.“

Gleichzeitig beanspruchten Bots Datenbank- und Serverkapazität und trieben die Infrastrukturkosten des Unternehmens in die Höhe. Kalra sagt: „Es hatte große Auswirkungen auf unser Geschäft.“

Das Team von VegNonVeg hat zahlreiche Techniken zur Bot-Abwehr ausprobiert, von CAPTCHA und Honeypots bis hin zu einer Web Application Firewall (WAF) und selektiver Datenverkehrsblockierung. Einige dieser Versuche führten zu Reibungen für die Kunden, und selbst Bemühungen, die einmal funktionierten, scheiterten schnell, da die Bots sich anpassten und stärker als zuvor zurückkamen. Kalra sagt: „Wir haben viel Zeit, Effizienz und Energie darauf verwendet, eine Lösung zu finden. Wir haben auf unserer Seite vieles versucht, aber das Problem wurde nicht gelöst.“

Zu diesem Zeitpunkt wandte sich VegNonVeg hilfesuchend an F5. Das Unternehmen hat Mitte 2022 F5 Distributed Cloud Bot Defense implementiert.  Laut Kalra war die Implementierung „sehr unkompliziert“. (Dank eines vorgefertigten AWS-Connectors, der kürzlich von F5 eingeführt wurde, ist sie heute sogar noch einfacher.)

Bot-Angriffe und Server-Zugriffe gingen sofort zurück, was Kalra als „einen der größten Erfolgsfaktoren bezeichnet, den wir fast sofort erkennen konnten.“ Wir haben die Bot-Plage, mit der wir konfrontiert waren, gelöst.“ 

Kalra lobt die Möglichkeit, den Schutz so zu optimieren, dass er hochmotivierte Bots stoppt, einschließlich solcher, die für die Anpassung an Abwehrmaßnahmen umgerüstet wurden, ohne dass es zu unnötigen Reibungsverlusten für menschliche Kunden kommt. Auch seine Serviceerfahrung mit F5 bezeichnet er als „außergewöhnlich“. 

„Da wir ein sehr kleines Start-up sind, haben wir nicht mit sehr schnellen Antworten gerechnet und auch nicht damit, dass das gesamte F5-Team mit uns zusammenarbeiten würde.“ Laut Kalra war VegNonVeg angenehm überrascht, beides zu bekommen.

Er bezeichnet das Dashboard und die Analysefunktionen der Lösung als „Augenöffner“. „F5 hat mir Einblicke in viele Dinge gegeben, die mir nicht bewusst waren – andere Scraper und Crawler, die auf die Website gelangen und die wir vielleicht nie entdeckt hätten.“

Hierzu gehörte das Scraping von Bestandsaufzeichnungen rund um die Uhr, sodass die Wiederverkäufer bereits vor der Markteinführung eines Schuhs die genauen Größen und Preise von VegNonVeg kannten. Kalra sagt, dass dies eine größere Bedrohung als die automatisierten Verkäufe war, aber Distributed Cloud Bot Defense hat sie bewältigt.

„Als wir die Scraper und Crawler stoppten, waren die Wiederverkäufer völlig überrumpelt“, sagt er. „Das war eine tolle Erfahrung mit F5.“

Kalra teilt das F5-Dashboard mit seinem Führungsteam, um die Vorteile der Lösung deutlich zu machen.

„Die Zahl der Beschwerden ist zurückgegangen, das allgemeine Kundenerlebnis hat sich verbessert, es gibt keine Serverausfälle oder Probleme beim Schreiben in die Datenbank mehr und die Geschwindigkeit der Website hat sich verbessert“, sagt er.

Er gibt einen Tipp zur E-Commerce-Sicherheit. „Wenn Sie glauben, dass etwas faul ist, wenden Sie sich an die Experten, anstatt zu versuchen, das Problem selbst zu lösen. Sie sparen Zeit und Geld, die Sie sonst verschwendet hätten.“

VegNonVeg wählt sein Schuhwerk sorgfältig aus, sei es ein Paar angesagte Nikes oder Birkenstock-Sandalen. Zur Abwehr von Bots kommt jedoch nur eine Variante in Frage: Der Experte der Wahl von VegNonVeg ist F5.