No BrowserStack, endereços de e-mail de usuários estão sendo vazados

 (shkspr.mobi)
2 pontos por GN⁺ 24 일 전 | 1 comentários | Compartilhar no WhatsApp
  • Ao criar endereços de e-mail exclusivos por serviço para rastreamento, foi constatado que mensagens de terceiros chegaram a um endereço exclusivo do BrowserStack
  • Após entrar no programa open source do BrowserStack, e-mails externos enviados via Apollo.io foram recebidos nesse endereço
  • A Apollo.io inicialmente alegou que o endereço havia sido gerado por um algoritmo baseado em informações públicas, mas depois corrigiu a resposta dizendo que o BrowserStack forneceu os dados
  • Apesar de vários contatos com o BrowserStack, não houve resposta, e foram levantadas três possibilidades: vazamento interno, serviço de terceiros ou extração por funcionário
  • O caso é apontado como um exemplo de práticas de troca comercial de dados pessoais entre empresas e ausência de responsabilização

Suspeita de vazamento de e-mails de usuários no BrowserStack

  • Caso em que a rota do vazamento foi rastreada por meio da criação de endereços de e-mail exclusivos para cada serviço
    • Ao se cadastrar em cada serviço, era criado e usado um e-mail separado
    • Se spam ou e-mails externos chegassem a um endereço específico, era possível identificar imediatamente de qual serviço havia ocorrido o vazamento

  • Após entrar no programa open source do BrowserStack, e-mails externos foram recebidos nesse endereço exclusivo via Apollo.io

    • Depois de algumas trocas de e-mails com a equipe de suporte do BrowserStack, a configuração da conta foi concluída
    • Alguns dias depois, chegou um e-mail enviado por um terceiro sem relação com o BrowserStack
    • O remetente indicava explicitamente que sua fonte de dados era a Apollo.io
    • A explicação inicial da Apollo.io era “um algoritmo próprio baseado em informações públicas”
    • Disseram que usavam uma estrutura comum de e-mail no formato “firstname.lastname@companydomain.com”
    • No entanto, esse endereço era exclusivo do BrowserStack e tinha um formato impossível de deduzir a partir de informações públicas
    • Após o questionamento, a Apollo corrigiu a resposta dizendo que o BrowserStack havia fornecido os dados por meio de uma rede de contribuição de clientes
    • A data de coleta dos dados estava registrada como 25 de fevereiro de 2026

  • O BrowserStack não respondeu apesar de vários contatos

    • Ao contrário da frase “No spam, we promise!”, não houve qualquer resposta oficial
    • Foram apresentadas três possibilidades para a rota do vazamento
      • O BrowserStack vendeu ou forneceu diretamente os dados dos usuários
      • Houve vazamento de informações em um serviço de terceiros usado pelo BrowserStack
      • Houve extração externa por um funcionário interno ou contratado

  • Questionamentos sobre as práticas de comercialização de dados pessoais

    • Aponta-se que, mais do que ataques maliciosos, o problema maior é a normalização da troca de dados pessoais entre empresas
    • O caso é avaliado como um exemplo da postura irresponsável das empresas em relação à proteção de dados pessoais
    • Um texto de acompanhamento tratará de um caso em que a Apollo obteve números de telefone de grandes empresas

Leituras relacionadas

1 comentários

 
GN⁺ 24 일 전
Comentários do Hacker News

  • Antigamente, em um software de fórum de comunidade OSS (acho que era KDE ou Qt), endereços de e-mail de usuários foram incluídos por engano dentro de tags HTML
    O problema foi que crawlers da web coletaram isso e montaram bancos de dados de spam
    O endereço de e-mail exclusivo de um amigo foi usado em spam, e foi assim que descobriram; os administradores do fórum rastrearam o problema e corrigiram
    Acho que, neste caso também, é possível que tenha sido um erro parecido, mais do que uma ação maliciosa

  • Muita gente chama isso de “vazamento de dados”, mas na prática esse é o modo padrão de funcionamento do Apollo
    Se o cliente não recusar explicitamente o compartilhamento de dados, as informações são compartilhadas automaticamente
    Independentemente de isso ser ético ou legal, é assim que de fato opera
    Veja a política de compartilhamento de dados de clientes do Apollo

    • Para quem não conhece o fluxo moderno de vendas e marketing,
      1. o usuário se cadastra no BrowserStack
      2. essas informações são enviadas automaticamente para o Apollo
      3. o Apollo enriquece (enrich) os dados com o que já possui, como receita da empresa, perfil no LinkedIn etc.
      4. a equipe comercial do BrowserStack usa isso para qualificação de leads e marketing
        Essas informações adicionadas passam a poder ser pesquisadas por todos os clientes do Apollo
        Por exemplo, ao buscar “e-mail do tomador de decisão da Example Inc.”, meu e-mail pode aparecer
        Na verdade, quase toda equipe de marketing trabalha assim
        Isso só veio à tona agora porque o OP usou um endereço de e-mail exclusivo
        Existe também um link do Apollo para solicitação de remoção de dados pessoais, mas há muitas empresas que oferecem esse tipo de serviço
    • Ironicamente, esta própria thread provavelmente vai gerar boa publicidade para o Apollo
      Parece que na manhã de segunda-feira eles vão receber uma enxurrada de contatos
    • Essas empresas também obtêm dados por meio de um sistema de créditos
      Para enriquecer dados, representantes de vendas precisam de créditos, e então
      1. compram com dinheiro ou 2) instalam um plugin de e-mail que raspa os contatos da caixa de entrada
        A ZoomInfo é especialmente agressiva, e o Apollo funciona de forma parecida
        A explicação do Apollo sobre coleta de dados também menciona isso

  • O Apollo.io é apresentado como uma “plataforma de vendas com IA”, mas na prática é basicamente um sistema de CRM
    Provavelmente alguém da equipe comercial fez upload da lista inteira de clientes
    Parece ter havido pouca preocupação com privacidade

    • Mais do que “não sabiam”, parece que simplesmente ignoraram de forma consciente
    • Se uma equipe comercial não sabe lidar corretamente com dados de clientes, isso abala bastante a confiança

  • Eu crio um endereço de e-mail exclusivo para cada serviço que uso,
    mas hoje em dia muitos serviços fazem “de-aliasing” desses endereços e identificam o original
    Se não for uma caixa de e-mail separada baseada em um domínio totalmente novo, a eficácia diminui

    • Por isso eu uso um domínio personalizado e crio endereços como service@custom.com
      Se chegar spam nesse endereço, dá para saber imediatamente de onde vazou
    • Uso Fastmail com 1Password para gerar automaticamente e-mails mascarados
      Crio um endereço aleatório para cada site e registro onde foi usado
      Isso também ajuda a filtrar phishing — por exemplo, um banco não teria por que enviar e-mail para o endereço que usei num teste de ração para cachorro
    • O iCloud também tem um recurso parecido
      Antigamente eu mantinha um servidor de e-mail catch-all no meu domínio,
      mas o spam ficou tão excessivo que acabei desistindo
    • Uso o Firefox Relay para gerar e-mails exclusivos para cada site, e até agora está funcionando perfeitamente
    • Eu simplesmente diferencio usando o formato “+@”, mas às vezes isso confunde quando falo com o suporte ao cliente

  • Há a possibilidade de o BrowserStack ter vendido os dados dos usuários ou os repassado a terceiros,
    ou então de o banco de dados ter sido invadido

    • Pessoalmente, acho que a explicação de que “venderam” é a mais simples e realista
    • No fim, na maioria dos casos dados de usuários acabam sendo usados para ganhar dinheiro

  • A BrightData também vazou dados de clientes recentemente e notificou os clientes por e-mail
    As duas empresas podem ter sido atingidas por uma vulnerabilidade do headless Chrome, ou pode ter sido apenas coincidência
    Eu mantenho um projeto de fingerprinting de navegadores headless,
    e vi URLs acessadas apenas pela BrightData serem acessadas depois também pelo Claudebot da Anthropic
    Acho que o invasor provavelmente usou Claude para analisar os dados

    • A BrightData é uma empresa israelense que antes se chamava Luminati;
      diz vender “IPs residenciais de alta qualidade”, mas na prática é basicamente uma rede de proxies para web scraping

  • A mesma coisa aconteceu com a Compare The Market, no Reino Unido
    Eu usava dois endereços de e-mail exclusivos, e os dois começaram a receber spam no mesmo dia
    Denunciei, mas fui ignorado sob a justificativa de que não havia como provar

  • Se você olhar a página de GDPR do Apollo,
    está escrito que “o consentimento deve ser livre, específico e inequívoco”
    Mas, na prática, eles alegam tratar os dados com base em interesses legítimos (Legitimate Interests)
    O problema é que os clientes não verificam adequadamente essa base legal
    O BrowserStack compartilhou dados sem base legal,
    e o Apollo volta a compartilhá-los sem verificar os dados enviados pelos clientes
    No fim, as duas empresas podem estar violando o GDPR
    Veja a página de GDPR do Apollo

  • Obrigado ao OP por tornar esse problema público
    Isso ajuda a aumentar a transparência corporativa

  • Endereços de e-mail canário são úteis para diferenciar a origem de um vazamento
    Se só chegar spam ao endereço de um serviço específico, é mais provável que tenha havido recompartilhamento por data brokers
    Se vários endereços começarem a receber ao mesmo tempo, é mais provável um vazamento de credenciais
    Ou seja, o alcance do spam é uma pista