世界を動かす技術を、日本語で。

BrowserStackの誰かがユーザーのメールアドレスを漏洩している

2026年4月5日原文(shkspr.mobi)

概要

  • サービスごとに固有のメールアドレス を作成した体験談
  • BrowserStack 利用後、Apollo.io経由で第三者から連絡が来た経緯
  • Apollo.ioの説明と BrowserStackの関与疑惑
  • 個人情報取引の常態化 に対する懸念
  • 次回は 電話番号流出 の話題を予告

サービスごとに固有メールアドレスを使う理由と実際の流出体験

  • 各サービスごとに 独自のメールアドレス を作成し、セキュリティと追跡性を確保
  • 不正利用や 情報漏洩時の特定 が容易になるメリット
  • BrowserStack のOpen Sourceプログラムに登録し、専用アドレスを使用
  • サポートチームとやり取り後、 別の送信者から初めてメール が届く事態発生
  • 送信者によると、 Apollo.io から連絡先情報を取得したとの説明

Apollo.ioとBrowserStackの説明責任

  • Apollo.ioへ 情報取得経路を問い合わせ
  • 「独自アルゴリズムで公開情報と一般的なメール構造を組み合わせた」と回答
  • 実際には 特殊なアドレス であり、アルゴリズムでの推測は不可能
  • 再度指摘すると、「BrowserStackが顧客ネットワーク経由で情報提供」との回答
  • 具体的な収集日 (2026-02-25)まで提示

BrowserStackへの問い合わせと考察

  • BrowserStackに直接問い合わせ るも、返答なし
  • このメールアドレスは BrowserStack専用 で他では未使用
  • 情報流出の可能性として以下を推測
    • BrowserStackが ユーザーデータを外部に提供
    • 利用している 第三者サービスによる情報流出
    • 従業員や委託先によるデータ持ち出し
  • より悪質なケースも考えられるが、 一般的な個人情報取引の一環 と推察

個人情報取引の常態化と今後の予告

  • プライバシー軽視 が常態化した業界の現状に警鐘
  • 次回は 大手企業経由で電話番号が流出 した経緯を解説予定
  • 個人情報管理の重要性 を再認識する必要性

Hackerたちの意見

BrowserStackは、ユーザーのデータを定期的に売ったり、配布したりしている。 BrowserStackが使っているサードパーティのサービスが情報を抜き取って、他に送信している。 BrowserStackの従業員か契約者がユーザーデータを流出させて、他の場所に転送しているか、もっと単純な答えとして、彼らのデータベースやメールリストが侵害されている可能性がある。

一番簡単な答えは、彼らが自らクズになって、ユーザーデータを売って小銭を稼いでいるってこと。 ほぼ普遍的にそうだよね。

BrowserStackはユーザーのデータを定期的に売ったり、配布したりしてる。 > それとも、もっと単純な答えとして、彼らのデータベースやメールリストが侵害されたってこと。最初の選択肢の方がずっとシンプルだと思う。

BrightDataもホスティングされたブラウザを提供している会社で、最近プライベートデータが漏れたけど、顧客に警告のメールは送ったみたい。 この2つの会社がヘッドレスChromeの共通の脆弱性で侵害されたのか、それとも単なる偶然で2つのヘッドレスブラウザ会社が同時にハッキングされたのか気になるな。 俺はヘッドレスブラウザのフィンガープリンティングプロジェクトをやっていて、BrightData経由で取得したURLが、その後AnthropicのClaudebotによって取得されたことがある。 おそらく、顧客データを持っている攻撃者がClaudeを使って分析しているんじゃないかな。

Brightdata?それって、以前Luminatiって呼ばれてたイスラエルの会社で、怪しい「高品質の住宅IP」を売って、ウェブをスクレイピングするために回転させることができるところじゃない?

このスレッドで「データ漏洩」や「侵害」を提案している人たちは、Apolloの仕組みを全く理解していないね。 これはApolloの顧客自身でもよく見落とされていることだよ。 顧客データの共有をオプトアウトしないといけない(そうすると製品の価値を失うけど): https://knowledge.apollo.io/hc/en-us/articles/20727684184589... これが良いか倫理的か(あるいは完全に合法か)についてはコメントしないけど、裏ではこういうことが起きているんだ。

現代の営業/マーケティングに不慣れな人のために、もう少し詳しく説明すると、 1. ユーザーがBrowserStackにサインアップする 2. BrowserStackが自動的にそのユーザーの情報をApolloにアップロードする 3. Apolloがそのユーザーの詳細を、例えば会社の収益やLinkedInのプロフィールなど、既に持っている情報を使って「強化」する 4. BrowserStackの営業担当者がその強化された情報を使ってリードを特定したり、マーケティング用に分類したりする。Apolloの顧客データ共有により、BrowserStackがApolloに送った情報がその人のプロフィールに追加され、Apolloのすべての顧客がアクセスできるようになる。例えば、他のApolloの顧客が「Example, Inc.の意思決定者のメールアドレス」を検索すると、あなたのメールアドレスもリストに含まれる(もしBrowserStackにあなたがExample, Inc.の意思決定者だと伝えていれば)。すべてのマーケティングチームがこれをやっているけど、今回のケースが明らかだったのは、OPがBrowserStackにユニークなメールアドレスを使ったから。オンラインでビジネス製品にサインアップすると、ウェブ上から集めたあなたに関する詳細(およびあなたが提出した詳細)が詰まったApolloのプロフィールが確実に作成されるよ。編集: https://www.apollo.io/privacy-policy/remove オプトアウトリンクだけど、Apolloはこのサービスを提供している多くの会社のうちの一つに過ぎない。

短い話し合いの後、メールを送ってきた人がApollo.ioから私の詳細を得たと言っていた。 Apollo.ioのランディングページには「AI営業プラットフォーム」と書いてある。 つまり、CRMだね。 私の推測では、営業チームの誰かが営業目的で顧客リスト全体をアップロードして、プライバシーの影響に気づいていなかったんじゃないかな。

プライバシーの影響に気づいていない。ほんと、そうだったらいいのに。

いいオタクたちのように、私は登録するサービスごとにユニークなメールアドレスを生成している。 これにはいくつかの利点がある - メッセージが本当にサービスからのものか確認できるし、サービスがハッキングされた場合、ハッカーはクレデンシャルスタッフィングができないし、誰が私のアドレスを漏らしたかすぐにわかる。 多くのサービスは、これらのトリックからメールアドレスを「デアリアス」して、代替アカウントやスパムを防ぎ、実際のアカウント保持者のメールをターゲットにすると思う。 だから、昔のトリックである「+@」は「@」とは異なるユニークなメールとは見なされない。 もしあなたのサイト専用のメールが完全に新しい受信トレイのエイリアスでない限り、もうこれが人々が思っているほど効果的だとは思わない。

だから、もしあなたのサイト専用のメールが完全に新しい受信トレイのエイリアスでない限り、もうこれが人々が思っているほど効果的だとは思わない。 「新しい」エイリアスでも、よく見ると人々がシンプルな方法でアドレスを導き出しているのを見かける。 例えば、facebook@mydomain.exampleみたいな感じ。 安価なLLMを使えば、基になるパターンを自動的に推測するのは難しくないよ。 編集: [1] つまり、このスレッドの中でね。

私はただ @ を使ってるよ。カスタマーサポートとやり取りする時、たまに混乱するけどね ;-)

Hacker Newsで議論の続きを見る