Des adresses e-mail d’utilisateurs fuient chez BrowserStack

 (shkspr.mobi)
2 points par GN⁺ 26 일 전 | 1 commentaires | Partager sur WhatsApp
  • En créant des adresses e-mail uniques pour chaque service afin d’en tracer l’origine, des messages envoyés par des tiers sont arrivés sur une adresse réservée à BrowserStack
  • Après l’inscription au programme open source de BrowserStack, des e-mails externes envoyés via Apollo.io ont été reçus sur cette adresse
  • Apollo.io a d’abord affirmé que l’adresse avait été générée via un algorithme basé sur des informations publiques, avant de corriger ensuite en disant que BrowserStack avait fourni les données
  • Malgré plusieurs demandes adressées à BrowserStack, aucune réponse n’a été obtenue ; trois possibilités sont avancées : fuite interne, service tiers ou exfiltration par un employé
  • L’affaire est présentée comme un exemple révélant les pratiques d’échange commercial de données personnelles entre entreprises et l’absence de responsabilité

Soupçon de fuite des e-mails d’utilisateurs chez BrowserStack

  • Cas de traçage de l’origine d’une fuite via la création d’adresses e-mail uniques par service
    • Une adresse distincte est utilisée à chaque inscription à un service
    • Si du spam ou un e-mail externe arrive sur une adresse précise, il est alors possible d’identifier immédiatement quel service a laissé fuiter l’information

  • Après l’inscription au programme open source de BrowserStack, réception sur cette adresse dédiée d’un e-mail externe envoyé via Apollo.io

    • La configuration du compte a été finalisée après plusieurs échanges d’e-mails avec l’équipe de support de BrowserStack
    • Quelques jours plus tard, un e-mail envoyé par un tiers sans lien avec BrowserStack est arrivé
    • L’expéditeur indiquait explicitement que la source de ses données était Apollo.io
    • L’explication initiale d’Apollo.io était celle d’un “algorithme interne basé sur des informations publiques”
    • Il a été expliqué qu’une structure d’e-mail classique de type “firstname.lastname@companydomain.com” avait été utilisée
    • Or, cette adresse était réservée à BrowserStack et ne pouvait pas être déduite à partir d’informations publiques
    • Après cette remarque, Apollo a corrigé sa réponse en indiquant que BrowserStack avait fourni les données via son réseau de contribution client
    • La date de collecte des données est enregistrée au 25 février 2026

  • BrowserStack n’a pas répondu malgré plusieurs sollicitations

    • Contrairement au message “No spam, we promise!”, aucune réponse officielle n’a été fournie
    • Trois scénarios possibles sont évoqués concernant l’origine de la fuite
      • BrowserStack vend ou fournit directement les données des utilisateurs
      • Fuite d’informations via un service tiers utilisé par BrowserStack
      • Exfiltration externe par un employé ou un prestataire interne

  • Mise en cause des pratiques de commercialisation des données personnelles

    • Plus qu’un piratage malveillant, c’est la banalisation des échanges de données personnelles entre entreprises qui est pointée comme le problème principal
    • L’affaire est considérée comme un exemple révélant l’attitude irresponsable des entreprises en matière de protection des données personnelles
    • Un article de suivi abordera un cas où Apollo a obtenu des numéros de téléphone auprès de grandes entreprises

À lire aussi

1 commentaires

 
GN⁺ 26 일 전
Avis Hacker News

  • Il y a quelque temps, un logiciel de forum communautaire OSS (je crois que c’était KDE ou Qt) avait inclus par erreur les adresses e-mail des utilisateurs dans des balises HTML
    Le problème, c’est que des crawlers web les ont récupérées pour alimenter des bases de spam
    On l’a découvert parce que l’adresse e-mail unique d’un ami a commencé à recevoir du spam, et les administrateurs du forum ont fini par remonter à l’origine du problème et le corriger
    Dans ce cas aussi, je pense qu’il est possible qu’il s’agisse d’une erreur similaire plutôt que d’un acte malveillant

  • Beaucoup parlent de « fuite de données », mais en réalité c’est juste le mode de fonctionnement par défaut d’Apollo
    Si le client ne refuse pas explicitement le partage des données, les informations sont partagées automatiquement
    Que ce soit éthique ou légal est une autre question, mais en pratique, c’est comme ça que ça fonctionne
    Voir la politique de partage des données clients d’Apollo

    • Pour ceux qui ne connaissent pas les usages modernes du marketing et des ventes,
      1. un utilisateur s’inscrit sur BrowserStack
      2. ces informations sont automatiquement envoyées à Apollo
      3. Apollo enrichit ensuite ces données avec ce qu’il possède déjà (chiffre d’affaires de l’entreprise, profil LinkedIn, etc.)
      4. l’équipe commerciale de BrowserStack utilise ces informations pour qualifier des leads ou faire du marketing
        Les données ajoutées deviennent ensuite consultables par tous les clients d’Apollo
        Par exemple, si quelqu’un cherche « e-mail d’un décideur chez Example Inc. », mon adresse peut apparaître
        En réalité, presque toutes les équipes marketing travaillent de cette façon
        Si l’OP l’a remarqué cette fois, c’est uniquement parce qu’il utilisait une adresse e-mail unique
        Il existe aussi un lien de demande de suppression des données personnelles chez Apollo, mais beaucoup d’entreprises proposent ce genre de service
    • Ironiquement, ce fil va probablement faire une très bonne pub à Apollo
      Lundi matin, ils risquent d’être submergés de demandes
    • Ces entreprises obtiennent aussi des données via un système de crédits
      Les commerciaux ont besoin de crédits pour enrichir les données, et ils peuvent soit
      1. les acheter en espèces, soit 2) installer un plugin e-mail qui scrape les contacts de leur boîte de réception
        ZoomInfo est particulièrement agressif sur ce point, et Apollo fonctionne de manière similaire
        La description de la collecte de données d’Apollo mentionne aussi ce genre de pratiques

  • Apollo.io se présente comme une « plateforme de vente IA », mais en pratique c’est surtout un système CRM
    Il est probable que quelqu’un dans l’équipe commerciale ait envoyé toute la liste des clients
    Cela donne l’impression d’un manque de sensibilité aux questions de confidentialité

    • Plutôt qu’un « on ne savait pas », ça ressemble surtout à un choix délibéré d’ignorer le problème
    • Si une équipe commerciale gère aussi mal les données clients, cela entame fortement la confiance

  • Je crée une adresse e-mail unique pour chaque service que j’utilise,
    mais de nos jours beaucoup de services font du « de-aliasing » et reconnaissent l’adresse d’origine
    À moins d’utiliser une boîte séparée basée sur un tout nouveau domaine, l’efficacité diminue

    • C’est pour ça que j’utilise un domaine personnalisé pour créer des adresses comme service@custom.com
      Si du spam arrive dessus, je sais immédiatement d’où vient la fuite
    • J’utilise Fastmail avec 1Password pour générer automatiquement des masked emails
      Je crée une adresse aléatoire par site et je garde une trace de l’endroit où je l’ai utilisée
      C’est aussi pratique pour filtrer le phishing — par exemple, ma banque ne va jamais écrire à une adresse utilisée pour tester de la nourriture pour chiens
    • iCloud propose une fonction similaire
      Avant, j’exploitais un serveur mail catch-all avec mon propre domaine,
      mais il y avait tellement de spam que j’ai fini par abandonner
    • J’utilise Firefox Relay pour générer un e-mail unique par site, et jusqu’ici ça fonctionne parfaitement
    • Moi, j’utilise simplement le format « +@ » pour différencier les adresses, mais ça crée parfois de la confusion quand je parle au support client

  • Il est possible que BrowserStack ait vendu les données utilisateurs ou les ait transmises à un tiers,
    ou alors que la base de données ait simplement été piratée

    • Personnellement, l’hypothèse de la « vente » me paraît l’explication la plus simple et la plus réaliste
    • Au final, monétiser les données utilisateurs est souvent le vrai modèle

  • BrightData a aussi récemment exposé des données clients, et l’a signalé par e-mail à ses clients
    Les deux entreprises ont peut-être été touchées par une faille headless Chrome, ou c’est peut-être juste une coïncidence
    Je gère un projet de fingerprinting de navigateurs headless,
    et j’ai vu des URL consultées uniquement via BrightData être visitées ensuite par Claudebot d’Anthropic
    L’attaquant a probablement utilisé Claude pour analyser les données

    • BrightData est une entreprise israélienne anciennement appelée Luminati,
      qui vend des « IP résidentielles premium », mais qui est en pratique surtout un réseau de proxys pour le web scraping

  • J’ai vécu la même chose avec Compare The Market au Royaume-Uni
    J’utilisais deux adresses e-mail uniques, et toutes les deux ont commencé à recevoir du spam le même jour
    Je l’ai signalé, mais on m’a ignoré sous prétexte qu’il était impossible de le prouver

  • Si on lit la page GDPR d’Apollo,
    il est écrit que « le consentement doit être libre, spécifique et non ambigu »
    Mais dans les faits, l’entreprise affirme traiter les données sur la base des intérêts légitimes (Legitimate Interests)
    Le problème, c’est que les clients ne vérifient pas vraiment cette base juridique
    BrowserStack a partagé des données sans fondement légal,
    et Apollo repartage les données transmises par ses clients sans les vérifier
    Au final, les deux entreprises sont probablement en infraction avec le GDPR
    Voir les informations GDPR d’Apollo

  • Merci à l’OP d’avoir rendu ce problème public
    Cela aide à renforcer la transparence des entreprises

  • Les adresses e-mail canari sont utiles pour distinguer l’origine d’une fuite
    Si seule l’adresse dédiée à un service reçoit du spam, cela suggère une revente par un data broker,
    tandis que si plusieurs adresses sont touchées en même temps, cela évoque davantage une fuite d’identifiants
    Autrement dit, l’étendue du spam est un indice