Des adresses e-mail d’utilisateurs fuient chez BrowserStack

 (shkspr.mobi)
2 points par GN⁺ 24 일 전 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • En créant des adresses e-mail uniques pour chaque service afin d’en tracer l’origine, des messages envoyés par des tiers sont arrivés sur une adresse réservée à BrowserStack
  • Après l’inscription au programme open source de BrowserStack, des e-mails externes envoyés via Apollo.io ont été reçus sur cette adresse
  • Apollo.io a d’abord affirmé que l’adresse avait été générée via un algorithme basé sur des informations publiques, avant de corriger ensuite en disant que BrowserStack avait fourni les données
  • Malgré plusieurs demandes adressées à BrowserStack, aucune réponse n’a été obtenue ; trois possibilités sont avancées : fuite interne, service tiers ou exfiltration par un employé
  • L’affaire est présentée comme un exemple révélant les pratiques d’échange commercial de données personnelles entre entreprises et l’absence de responsabilité

Soupçon de fuite des e-mails d’utilisateurs chez BrowserStack

  • Cas de traçage de l’origine d’une fuite via la création d’adresses e-mail uniques par service
    • Une adresse distincte est utilisée à chaque inscription à un service
    • Si du spam ou un e-mail externe arrive sur une adresse précise, il est alors possible d’identifier immédiatement quel service a laissé fuiter l’information

  • Après l’inscription au programme open source de BrowserStack, réception sur cette adresse dédiée d’un e-mail externe envoyé via Apollo.io

    • La configuration du compte a été finalisée après plusieurs échanges d’e-mails avec l’équipe de support de BrowserStack
    • Quelques jours plus tard, un e-mail envoyé par un tiers sans lien avec BrowserStack est arrivé
    • L’expéditeur indiquait explicitement que la source de ses données était Apollo.io
    • L’explication initiale d’Apollo.io était celle d’un “algorithme interne basé sur des informations publiques”
    • Il a été expliqué qu’une structure d’e-mail classique de type “firstname.lastname@companydomain.com” avait été utilisée
    • Or, cette adresse était réservée à BrowserStack et ne pouvait pas être déduite à partir d’informations publiques
    • Après cette remarque, Apollo a corrigé sa réponse en indiquant que BrowserStack avait fourni les données via son réseau de contribution client
    • La date de collecte des données est enregistrée au 25 février 2026

  • BrowserStack n’a pas répondu malgré plusieurs sollicitations

    • Contrairement au message “No spam, we promise!”, aucune réponse officielle n’a été fournie
    • Trois scénarios possibles sont évoqués concernant l’origine de la fuite
      • BrowserStack vend ou fournit directement les données des utilisateurs
      • Fuite d’informations via un service tiers utilisé par BrowserStack
      • Exfiltration externe par un employé ou un prestataire interne

  • Mise en cause des pratiques de commercialisation des données personnelles

    • Plus qu’un piratage malveillant, c’est la banalisation des échanges de données personnelles entre entreprises qui est pointée comme le problème principal
    • L’affaire est considérée comme un exemple révélant l’attitude irresponsable des entreprises en matière de protection des données personnelles
    • Un article de suivi abordera un cas où Apollo a obtenu des numéros de téléphone auprès de grandes entreprises

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.