Hacker News • 55일 전

BrowserStack에서 사용자 이메일이 유출되고 있습니다

IMP

8/10

핵심 요약

한 개발자가 BrowserStack 가입 시 생성한 고유 이메일 주소가 며칠 만에 외부 데이터 브로커인 Apollo.io로 넘어간 사실을 적발했습니다. 문의 결과 Apollo는 BrowserStack이 자사의 고객 기여 네트워크에 참여하여 사용자 연락처를 공유했다고 실토했습니다. 다수의 항의에도 BrowserStack은 어떠한 공식 답변도 내놓지 않고 있어 사용자 정보 유출 의혹이 짙어지고 있습니다.

번역된 본문

진정한 IT 덕후라면 누구나 그렇듯, 저는 가입하는 모든 서비스마다 고유한 이메일 주소를 생성해서 사용합니다. 이 방법에는 여러 장점이 있습니다. 메시지가 해당 서비스에서 정당하게 발송된 것인지 확인할 수 있고, 서비스가 해킹을 당해도 해커들이 다른 서비스에도 대입해 볼 수(credential stuffing) 없으며, 제 이메일을 유출한 곳이 누구인지 즉시 알 수 있습니다. 몇 주 전, 저는 BrowserStack의 오픈 소스 프로그램에 참여하고 싶어 해당 서비스에 가입했습니다. 고객 지원 팀과 이메일을 몇 번 주고받은 끝에 마침내 계정 설정을 마쳤습니다. 며칠 후, BrowserStack이 아닌 다른 발신자로부터 해당 이메일 주소로 메일을 하나 받았습니다. 짧은 대화를 나눈 후, 상대방은 제 연락처를 Apollo.io에서 얻었다고 말했습니다. 당연히 저는 Apollo에 연락하여 그들이 대체 어디에서 제 정보를 가져왔는지 물어봤습니다. 그들은 다음과 같이 답변했습니다. "귀하의 이메일 주소는 공개적으로 접근 가능한 정보와 일반적인 기업 이메일 구조(예: firstname.lastname@companydomain.com)를 활용하는 당사의 독점적인 알고리즘을 사용하여 도출되었습니다." 와우! 독점적인 알고리즘이라고요? '이름.성'을 조합하는 데 대체 얼마나 고도의 AI가 필요하다는 걸까요???? 당연히도 그들의 답변은 거짓말이었습니다. 그들의 마법 같은 if-else 조건문이 제가 BrowserStack에서만 사용했던 특정 이메일 주소를 알아낼 방법은 전혀 없었습니다. 저는 그들의 새빨간 거짓말을 직설적으로 꼬집었고, 그들은 다음과 같이 답변했습니다. "귀하의 이메일 주소는 당사 플랫폼과 비즈니스 연락처를 공유하는 '고객 기여 네트워크(Customer contributor network)'에 참여하는 당사 고객 중 한 곳인 BrowserStack(browserstack.com)으로부터 왔습니다. 수집 날짜는 2026년 2월 25일입니다." 그래서 저는 BrowserStack에 짧게 "이봐요, 대체 무슨 짓을 한 거요?"라는 이메일을 보냈습니다. 그들이 특유의 밝은 톤으로 남겼던 '스팸은 절대 보내지 않겠습니다. 약속합니다!'라는 문구가 참으로 사랑스럽군요. 여러 차례 연락을 시도했음에도 불구하고 BrowserStack은 단 한 번도 답장하지 않았습니다. 이 이메일 주소를 오직 한 회사에서만 사용했다는 점을 감안할 때, Apollo가 이것을 알게 된 경로는 다음과 같은 몇 가지 가능성이 있습니다. 첫째, BrowserStack이 사용자 데이터를 상습적으로 팔거나 뿌리고 있다. 둘째, BrowserStack이 사용하는 서드파티 서비스가 정보를 빼내어 다른 곳에 보내고 있다. 셋째, BrowserStack의 직원이나 하청업체가 사용자 데이터를 빼돌려 외부로 전송하고 있다. 더 악의적인 다른 설명들도 가능하겠지만, 저는 그럴 가능성이 낮다고 생각합니다. 그저 개인정보를 중요하게 여기지 않는 주체들에 의해 이 저열한 개인정보 매매가 일상화되었을 뿐이라고 의심합니다. 하지만 사태는 더 심각해집니다. 다음 블로그 게시물에서는 Apollo가 아주 거대한 기업으로부터 제 휴대폰 번호를 어떻게 손에 넣었는지 밝히겠습니다. 또 보겠습니다 👌 이 게시물을 공유해주세요...

원문 보기

원문 보기 (영어)

Like all good nerds, I generate a unique email address for every service I sign up to. This has several advantages - it allows me to see if a message is legitimately from a service, if a service is hacked the hackers can't go credential stuffing, and I instantly know who leaked my address. A few weeks ago I signed up for BrowserStack as I wanted to join their Open Source programme. I had a few emails back-and-forth with their support team and finally got set up. A couple of days later I received an email to that email address from someone other than BrowserStack. After a brief discussion, the emailer told me they got my details from Apollo.io. Naturally, I reached out to Apollo to ask them where they got my details from. They replied: Your email address was derived using our proprietary algorithm that leverages publicly accessible information combined with typical corporate email structures (e.g., firstname.lastname@companydomain.com). Wow! A proprietary algorithm, eh? I wonder how much AI it takes to work out "firstname.lastname"???? Obviously, their response was inaccurate. There's no way their magical if-else statement could have derived the specific email I'd used with BrowserStack. I called them out on their bullshit and they replied with: Your email address came from BrowserStack (browserstack.com) one of our customers who participates in our customer contributor network by sharing their business contacts with the Apollo platform. The date of collection is 2026-02-25. So I emailed BrowserStack a simple "Hey guys, what the fuck?" I love their cheery little "No spam, we promise!" Despite multiple attempts to contact them, BrowserStack never replied. Given that this email address was only used with one company, I think there are a few likely possibilities for how Apollo got it. BrowserStack routinely sell or give away their users' data. A third-party service used by BrowserStack siphons off information to send to others. An employee or contractor at BrowserStack is exfiltrating user data and transferring it elsewhere. There are other, more nefarious, explanations - but I consider that to be unlikely. I suspect it is just the normalisation of the shabby trade in personal information undertaken by entities with no respect for privacy. But, it turns out, it gets worse. My next blog post reveals how Apollo got my phone number from from a very big company. Be seeing you 👌 Share this post on…

개인정보 유출 데이터 브로커 BrowserStack 보안 개인정보 보호