ハクソク

世界を動かす技術を、日本語で。

BrowserStackの誰かがユーザーのメールアドレスを漏洩している

50日前原文(shkspr.mobi)

概要

  • サービスごとに固有のメールアドレス を作成した体験談
  • BrowserStack 利用後、Apollo.io経由で第三者から連絡が来た経緯
  • Apollo.ioの説明と BrowserStackの関与疑惑
  • 個人情報取引の常態化 に対する懸念
  • 次回は 電話番号流出 の話題を予告

サービスごとに固有メールアドレスを使う理由と実際の流出体験

  • 各サービスごとに 独自のメールアドレス を作成し、セキュリティと追跡性を確保
  • 不正利用や 情報漏洩時の特定 が容易になるメリット
  • BrowserStack のOpen Sourceプログラムに登録し、専用アドレスを使用
  • サポートチームとやり取り後、 別の送信者から初めてメール が届く事態発生
  • 送信者によると、 Apollo.io から連絡先情報を取得したとの説明

Apollo.ioとBrowserStackの説明責任

  • Apollo.ioへ 情報取得経路を問い合わせ
  • 「独自アルゴリズムで公開情報と一般的なメール構造を組み合わせた」と回答
  • 実際には 特殊なアドレス であり、アルゴリズムでの推測は不可能
  • 再度指摘すると、「BrowserStackが顧客ネットワーク経由で情報提供」との回答
  • 具体的な収集日 (2026-02-25)まで提示

BrowserStackへの問い合わせと考察

  • BrowserStackに直接問い合わせ るも、返答なし
  • このメールアドレスは BrowserStack専用 で他では未使用
  • 情報流出の可能性として以下を推測
    • BrowserStackが ユーザーデータを外部に提供
    • 利用している 第三者サービスによる情報流出
    • 従業員や委託先によるデータ持ち出し
  • より悪質なケースも考えられるが、 一般的な個人情報取引の一環 と推察

個人情報取引の常態化と今後の予告

  • プライバシー軽視 が常態化した業界の現状に警鐘
  • 次回は 大手企業経由で電話番号が流出 した経緯を解説予定
  • 個人情報管理の重要性 を再認識する必要性

Hackerたちの意見

BrowserStackは、ユーザーのデータを定期的に売ったり、配布したりしている。 BrowserStackが使っているサードパーティのサービスが情報を抜き取って、他に送信している。 BrowserStackの従業員か契約者がユーザーデータを流出させて、他の場所に転送しているか、もっと単純な答えとして、彼らのデータベースやメールリストが侵害されている可能性がある。

一番簡単な答えは、彼らが自らクズになって、ユーザーデータを売って小銭を稼いでいるってこと。 ほぼ普遍的にそうだよね。

BrowserStackはユーザーのデータを定期的に売ったり、配布したりしてる。 > それとも、もっと単純な答えとして、彼らのデータベースやメールリストが侵害されたってこと。最初の選択肢の方がずっとシンプルだと思う。

BrightDataもホスティングされたブラウザを提供している会社で、最近プライベートデータが漏れたけど、顧客に警告のメールは送ったみたい。 この2つの会社がヘッドレスChromeの共通の脆弱性で侵害されたのか、それとも単なる偶然で2つのヘッドレスブラウザ会社が同時にハッキングされたのか気になるな。 俺はヘッドレスブラウザのフィンガープリンティングプロジェクトをやっていて、BrightData経由で取得したURLが、その後AnthropicのClaudebotによって取得されたことがある。 おそらく、顧客データを持っている攻撃者がClaudeを使って分析しているんじゃないかな。

Brightdata?それって、以前Luminatiって呼ばれてたイスラエルの会社で、怪しい「高品質の住宅IP」を売って、ウェブをスクレイピングするために回転させることができるところじゃない?

このスレッドで「データ漏洩」や「侵害」を提案している人たちは、Apolloの仕組みを全く理解していないね。 これはApolloの顧客自身でもよく見落とされていることだよ。 顧客データの共有をオプトアウトしないといけない(そうすると製品の価値を失うけど): https://knowledge.apollo.io/hc/en-us/articles/20727684184589... これが良いか倫理的か(あるいは完全に合法か)についてはコメントしないけど、裏ではこういうことが起きているんだ。

現代の営業/マーケティングに不慣れな人のために、もう少し詳しく説明すると、 1. ユーザーがBrowserStackにサインアップする 2. BrowserStackが自動的にそのユーザーの情報をApolloにアップロードする 3. Apolloがそのユーザーの詳細を、例えば会社の収益やLinkedInのプロフィールなど、既に持っている情報を使って「強化」する 4. BrowserStackの営業担当者がその強化された情報を使ってリードを特定したり、マーケティング用に分類したりする。Apolloの顧客データ共有により、BrowserStackがApolloに送った情報がその人のプロフィールに追加され、Apolloのすべての顧客がアクセスできるようになる。例えば、他のApolloの顧客が「Example, Inc.の意思決定者のメールアドレス」を検索すると、あなたのメールアドレスもリストに含まれる(もしBrowserStackにあなたがExample, Inc.の意思決定者だと伝えていれば)。すべてのマーケティングチームがこれをやっているけど、今回のケースが明らかだったのは、OPがBrowserStackにユニークなメールアドレスを使ったから。オンラインでビジネス製品にサインアップすると、ウェブ上から集めたあなたに関する詳細(およびあなたが提出した詳細)が詰まったApolloのプロフィールが確実に作成されるよ。編集: https://www.apollo.io/privacy-policy/remove オプトアウトリンクだけど、Apolloはこのサービスを提供している多くの会社のうちの一つに過ぎない。

短い話し合いの後、メールを送ってきた人がApollo.ioから私の詳細を得たと言っていた。 Apollo.ioのランディングページには「AI営業プラットフォーム」と書いてある。 つまり、CRMだね。 私の推測では、営業チームの誰かが営業目的で顧客リスト全体をアップロードして、プライバシーの影響に気づいていなかったんじゃないかな。

プライバシーの影響に気づいていない。ほんと、そうだったらいいのに。

いいオタクたちのように、私は登録するサービスごとにユニークなメールアドレスを生成している。 これにはいくつかの利点がある - メッセージが本当にサービスからのものか確認できるし、サービスがハッキングされた場合、ハッカーはクレデンシャルスタッフィングができないし、誰が私のアドレスを漏らしたかすぐにわかる。 多くのサービスは、これらのトリックからメールアドレスを「デアリアス」して、代替アカウントやスパムを防ぎ、実際のアカウント保持者のメールをターゲットにすると思う。 だから、昔のトリックである「+@」は「@」とは異なるユニークなメールとは見なされない。 もしあなたのサイト専用のメールが完全に新しい受信トレイのエイリアスでない限り、もうこれが人々が思っているほど効果的だとは思わない。

だから、もしあなたのサイト専用のメールが完全に新しい受信トレイのエイリアスでない限り、もうこれが人々が思っているほど効果的だとは思わない。 「新しい」エイリアスでも、よく見ると人々がシンプルな方法でアドレスを導き出しているのを見かける。 例えば、facebook@mydomain.exampleみたいな感じ。 安価なLLMを使えば、基になるパターンを自動的に推測するのは難しくないよ。 編集: [1] つまり、このスレッドの中でね。

私はただ @ を使ってるよ。カスタマーサポートとやり取りする時、たまに混乱するけどね ;-)

私は個人的に x@mydomain.com を使ってる。スパムが来た時にすぐわかるからね(お前のことだよ、dji)。

最近はこういうやり方が一般的で(多分著者もそうしてる)、カスタムドメインを使ってメールを受け取るんだ。例えば、service@custom.comみたいなメールアドレスを提供して、service@がスパムを受け取り始めたら、どこから来たのかすぐにわかるってわけ。

iCloudには、ユニークなエイリアスを簡単に生成できる素晴らしい機能があるよ。例えば、iOSのウェブブラウザで新しいサービスにサインアップする時、ボタン一つで新しいアドレスを作れるんだ。何年も前、iCloud Mailを使う前は、自分でメールサーバーを運営してて、ドメイン上のどんなアドレスに送られたメールも受信ボックスに転送するように設定してた。これのおかげで、いつでもランダムなエイリアスを作れるし、そのメールがメインの受信ボックスに届くためにサーバーで何かをする必要もなかった。ただ、すぐに気づいた大きな欠点は、スパマーが存在しないドメインのいろんなメールアドレスにメールを送ってくることだった。キャッチオール設定だったから、そういうのもメインの受信ボックスに届いちゃうんだ。joe@とかsales@みたいな、いろんなメールアドレスがあったよ。だから、彼らは一般的なアドレスを推測してて、私が全てを受け入れてたから、たくさんのスパムも受け取ることになった。

私は自分のドメインでFastmailと1Passwordを使ってる。これらを組み合わせると、フォーム用の「マスクされたメール」ボタンがあって、ランダムなメールアドレス(2つの一般的な単語と4桁の数字)を生成して、そのドメインを記録してくれる。Fastmailのインターフェースからもアドホックで作れるし、漏洩の特定だけでなく、フィッシングフィルターとしても最も価値があるよ。私の銀行が、犬の餌配達のトライアル用にしか使ってないアドレスにメールを送るなんて、あり得ないでしょ?

DuckDuckGo Emailを使ってて、ユニークなアドレスを生成して、メールを受け取ることも(もちろん)できるし、そのメールから返信もできるよ。そのアドレスをシャットダウンして、二度とスパムを受け取らないオプションもある。

seamless ioの連中も同じことをやってる。システムで非常に個人的なメールアドレスを見つけたんだ。誰かが職場でアドレス帳をseamlessに漏らしてると思った。どうやって止めればいいのか分からない。

ApolloのGDPRページからの選ばれた引用: > 同意は「自由に与えられ、特定され、情報に基づき、明確でなければならない。」 そして > Apolloは、彼らのデータがApolloのビジネス連絡先情報のデータベースに追加されたときに通知し、オプトアウトの方法を提供する。 https://knowledge.apollo.io/hc/en-us/articles/4409141087757-... さて、彼らの主張は、ビジネス連絡先データを「正当な利益」の法的根拠の下で処理しているということのようだ。でも、私は「同意」の法的根拠が必要なことを避けるのが好きなファンだけど、彼らが顧客がその根拠にしっかり従っているかどうかを確実にしているとは思えない。言い換えれば、CRMを持っているなら、Apolloと共有する正当な利益を得るかもしれない。でも、顧客の詳細をCRMに入れるための適切な法的根拠が実際にあるか確認する必要があるし、サポートデータベースにはほぼ確実に適切なデータが含まれていない!だから最終的には、これはBrowserstack(法的根拠に従わずにデータを接続し共有しているため)とApollo(顧客が適切な法的根拠なしにデータを送るのを簡単にし、そのデータを適切に検証せずに共有しているため)の両方に問題があると思う。ApolloのプライバシーセンターはGDPRに準拠していると主張しているが、OPの話は彼らが主張するほど厳密に検証していないことを示している。厳密に言えば、両者は違反を報告し、再発を防ぐための措置を講じるべきだ。

ブログ自体に対するメタコメント: そのテーマオプションは本当に素晴らしいね。個人ブログにぴったりの素晴らしい工夫だ!

その会社の名前を挙げて恥をかかせてくれてありがとう。

自分のドメインを持って、みんなにユニークなメールアドレスを渡す… これってカナリアトラップメールアドレスって呼ぶのが正しいのかな? https://en.wikipedia.org/wiki/Canary_trap