BrowserStackでユーザーのメールアドレスが漏えいしている疑い

 (shkspr.mobi)
2 ポイント 投稿者 GN⁺ 24 일 전 | 1件のコメント | WhatsAppで共有
  • サービスごとに固有のメールアドレスを生成して追跡した結果、BrowserStack専用アドレス宛てに第三者送信のメールが到着
  • BrowserStackのオープンソースプログラム登録後、Apollo.io経由で送信された外部メールがそのアドレスに届いた
  • Apollo.ioは当初、公開情報ベースのアルゴリズムで生成したアドレスだと主張したが、その後BrowserStackがデータを提供したと回答を修正
  • BrowserStackには何度も問い合わせたが返答はなく、内部漏えい・第三者サービス・従業員による持ち出しの3つの可能性が示された
  • この件は、企業による個人情報の商業的なやり取りの慣行と責任不在を浮き彫りにする事例だと指摘されている

BrowserStackユーザーのメール漏えい疑惑

  • サービスごとに固有のメールアドレスを作成する方式で漏えい経路を追跡した事例
    • 各サービスに登録するたびに別々のメールアドレスを作成して使用
    • 特定のアドレスにスパムや外部メールが届けば、どのサービスから漏えいしたか即座に確認できる

  • BrowserStackのオープンソースプログラム登録後、その専用メールアドレスにApollo.io経由の外部送信メールが届く

    • BrowserStackのサポートチームと数回メールをやり取りした後、アカウント設定を完了
    • その後数日で、BrowserStackと無関係な第三者送信のメールが届いた
    • 送信者は自分のデータの出所がApollo.ioだと明記
    • **Apollo.ioの当初の説明は「公開情報ベースの独自アルゴリズム」**という主張
    • firstname.lastname@companydomain.com 形式の一般的なメール構造を使ったと説明
    • しかしそのアドレスはBrowserStack専用であり、公開情報からは推測不可能な形式だった
    • 指摘後、ApolloはBrowserStackが顧客貢献ネットワークを通じてデータを提供したと回答を修正
    • データ収集日は2026年2月25日と記録されている

  • BrowserStack側は何度問い合わせても回答しない

    • 「No spam, we promise!」という文句とは裏腹に、公式な返答は一切なかった
    • 漏えい経路として3つのシナリオが示されている
      • BrowserStackがユーザーデータを直接販売または提供した
      • BrowserStackが利用する第三者サービスで情報漏えいが起きた
      • 内部の従業員または契約者による外部持ち出し

  • 個人情報の商業化慣行への問題提起

    • 悪意あるハッキングよりも、企業間で個人情報をやり取りすることの日常化のほうが大きな問題だと指摘
    • 個人情報保護に対する企業の無責任な姿勢が表れた事例と評価されている
    • 続く後続記事では、Apolloが大企業から電話番号を確保した事例を扱う予定

関連記事

1件のコメント

 
GN⁺ 24 일 전
Hacker News のコメント

  • 以前、OSS コミュニティフォーラムソフトウェア(たしか KDE か Qt だったと思う)で、ユーザーのメールアドレスが誤って HTML タグ内に含まれていたことがあった
    Web クローラーがそれを収集してスパムデータベースを作ったのが問題だった
    友人の固有メールアドレスがスパムに使われたことで発覚し、フォーラム運営が原因を追跡して修正した
    今回の件も、悪意ある行為というより同様のミスである可能性が高いと思う

  • 多くの人は「データ漏えい」だと言うが、実際にはこれは Apollo の標準的な動作
    顧客が明示的にデータ共有を拒否しない限り、自動的に情報が共有される
    倫理的または合法的かどうかは別として、実際にはこう運用されている
    Apollo の顧客データ共有ポリシー 参照

    • 現代の営業・マーケティングの流れを知らない人向けに説明すると、
      1. ユーザーが BrowserStack に登録すると
      2. その情報が自動的に Apollo にアップロードされ
      3. Apollo は既存データ(会社の売上、LinkedIn プロフィールなど)で**情報を補強(enrich)**する
      4. BrowserStack の営業チームはこの情報を使ってリード分類やマーケティングを行う
        こうして追加された情報は Apollo の全顧客が検索できるようになる
        たとえば「Example Inc. の意思決定者のメール」を検索すると、自分のメールが含まれているかもしれない
        実際、ほぼすべてのマーケティングチームがこういうやり方で動いている
        OP が固有メールアドレスを使っていたから今回だけ表面化したにすぎない
        Apollo 個人情報削除依頼リンク もあるが、この種のサービスを提供している会社は多い
    • 皮肉なことに、このスレッド自体が Apollo に良い宣伝効果をもたらしそうだ
      月曜の朝には問い合わせが殺到しそうだ
    • こうした会社はクレジットシステムでデータを集めることもある
      営業担当者がデータを補強するにはクレジットが必要で、
      1. 現金で買うか、2) メールプラグインを入れて受信箱の連絡先をスクレイピングする
        ZoomInfo は特に攻撃的で、Apollo も似たようなやり方だ
        Apollo のデータ収集説明 にもこのような内容がある

  • Apollo.io は「AI セールスプラットフォーム」と紹介されているが、実態はCRM システム
    おそらく営業チームの誰かが顧客リスト全体をアップロードしたのだろう
    個人情報保護に対する意識が欠けていたように見える

    • 「知らずにやった」というより、単に意識的に無視したように思える
    • 顧客データをまともに扱えない営業チームなら、信頼性への打撃は大きい

  • 私はサービスごとに固有メールアドレスを作って使っているが、
    最近はこうしたアドレスをサービス側が「ディエイリアス(de-aliasing)」して元のアドレスとして認識することが多い
    まったく新しいドメインベースの別メールボックスでない限り、効果は薄くなる

    • だから私はカスタムドメインを使って service@custom.com のようなアドレスを作っている
      そこにスパムが届けば、どこから漏れたかすぐ分かる
    • Fastmail と 1Password を組み合わせて、マスクドメールを自動生成している
      サイトごとにランダムなアドレスを作り、どこで使ったか記録している
      フィッシングメールのフィルタリングにも有用だ — たとえば銀行が犬の餌お試し用アドレスにメールしてくるはずがないからだ
    • iCloud にも似た機能がある
      以前は自分のドメインでcatch-all メールサーバーを運用していたが、
      スパムが多すぎて結局やめた
    • Firefox Relay を使ってサイトごとに固有のメールを作っているが、今のところ完璧に機能している
    • 私は単に「+@」形式で区別して使っているが、カスタマーサポートとやり取りするときにたまに混乱する

  • BrowserStack がユーザーデータを売った、あるいは第三者に渡した可能性、
    もしくは単にDB がハックされた可能性がある

    • 個人的には「売った」という方が、より単純で現実的な説明に思える
    • 結局のところ、ユーザーデータを収益化手段として扱うケースがほとんどだ

  • BrightData も最近顧客データを漏えいし、顧客にメールで通知していた
    両社とも headless Chrome の脆弱性の被害を受けた可能性もあるし、単なる偶然かもしれない
    私は headless ブラウザのフィンガープリンティング追跡プロジェクトを運営しているが、
    BrightData 経由でしかアクセスされていない URL に、後から Anthropic の Claudebot でもアクセスがあったのを見た
    おそらく攻撃者が Claude を使ってデータを分析したのだろう

    • BrightData は以前 Luminati という名前だったイスラエル企業で、
      「高品質な住宅用 IP」を売ると称しているが、実態はWeb スクレイピング用プロキシネットワーク

  • イギリスの Compare The Market でも同じことがあった
    2つの固有メールアドレスを使っていたのに、同じ日に両方にスパムが届き始めた
    報告したが、証明する方法がないという理由で無視された

  • Apollo の GDPR ページを見ると、
    「同意は自由で、具体的かつ明確でなければならない」と書かれている
    しかし実際には、データ処理の根拠として「正当な利益(Legitimate Interests)」を主張している
    問題は、顧客がその根拠をきちんと検証していないことだ
    BrowserStack は法的根拠なしにデータを共有し、
    Apollo は顧客から送られたデータを検証せずに再共有している
    結局、両社ともGDPR 違反の可能性がある
    Apollo GDPR 案内 参照

  • こうした問題を公表してくれた OP に感謝したい
    企業の透明性を高める助けになる

  • カナリアメールアドレスは漏えい元を切り分けるのに有用だ
    特定サービス用アドレスにだけスパムが来るならデータブローカーによる再共有
    複数アドレスに同時に来るなら認証情報漏えいの可能性が高い
    つまり、スパムの広がり方が手がかりになる