Alamat email pengguna bocor dari BrowserStack

 (shkspr.mobi)
2 poin oleh GN⁺ 2026-04-06 | 1 komentar | Bagikan ke WhatsApp
  • Hasil melacak dengan membuat alamat email unik untuk tiap layanan menunjukkan bahwa email dari pengirim pihak ketiga tiba ke alamat khusus BrowserStack
  • Setelah mendaftar ke program open source BrowserStack, email eksternal yang dikirim melalui Apollo.io diterima di alamat tersebut
  • Apollo.io awalnya mengklaim alamat itu dibuat dengan algoritme berbasis informasi publik, tetapi kemudian merevisi jawabannya menjadi BrowserStack yang memberikan data tersebut
  • Meskipun telah beberapa kali menghubungi BrowserStack, tidak ada tanggapan, dan diajukan tiga kemungkinan: kebocoran internal, layanan pihak ketiga, atau pembawaan data oleh karyawan
  • Insiden ini ditunjuk sebagai contoh yang memperlihatkan masalah praktik pertukaran komersial data pribadi oleh perusahaan dan absennya tanggung jawab

Dugaan kebocoran email pengguna BrowserStack

  • Kasus pelacakan jalur kebocoran melalui metode pembuatan alamat email unik per layanan
    • Membuat dan memakai email terpisah setiap kali mendaftar ke layanan
    • Jika spam atau email eksternal masuk ke alamat tertentu, bisa langsung diketahui dari layanan mana kebocoran terjadi

  • Setelah mendaftar ke program open source BrowserStack, email eksternal melalui Apollo.io diterima di alamat khusus tersebut

    • Setelah beberapa kali bertukar email dengan tim dukungan BrowserStack, pengaturan akun selesai
    • Beberapa hari kemudian, email dari pihak ketiga yang tidak terkait dengan BrowserStack pun tiba
    • Pengirim menyebut sumber datanya adalah Apollo.io
    • Penjelasan awal Apollo.io adalah “algoritme internal berbasis informasi publik”
    • Dijelaskan bahwa mereka menggunakan struktur email umum berbentuk “firstname.lastname@companydomain.com”
    • Namun alamat tersebut khusus untuk BrowserStack, sehingga tidak mungkin ditebak dari informasi publik
    • Setelah hal ini ditunjukkan, Apollo merevisi jawabannya dengan menyatakan BrowserStack memberikan data melalui jaringan kontribusi pelanggan
    • Tanggal pengumpulan data tercatat sebagai 25 Februari 2026

  • Pihak BrowserStack tidak menanggapi meski sudah beberapa kali dihubungi

    • Berbeda dengan frasa “No spam, we promise!”, tidak ada jawaban resmi sama sekali
    • Tiga skenario diajukan sebagai kemungkinan jalur kebocoran
      • BrowserStack secara langsung menjual atau memberikan data pengguna
      • Kebocoran informasi dari layanan pihak ketiga yang digunakan BrowserStack
      • Pembawaan data ke luar oleh karyawan internal atau kontraktor
      Iklan

  • Menyoroti praktik komersialisasi data pribadi

    • Dibanding peretasan berniat jahat, rutinisasi pertukaran data pribadi antarperusahaan ditunjuk sebagai masalah yang lebih besar
    • Ini dinilai sebagai contoh yang memperlihatkan sikap perusahaan yang tidak bertanggung jawab terhadap perlindungan data pribadi
    • Dalam tulisan lanjutan, akan dibahas kasus Apollo memperoleh nomor telepon dari perusahaan besar

Bacaan terkait

1 komentar

 
GN⁺ 2026-04-06
Komentar Hacker News

  • Dulu di perangkat lunak forum komunitas OSS (sepertinya KDE atau Qt), alamat email pengguna pernah secara tidak sengaja dimasukkan ke dalam tag HTML
    Masalahnya, perayap web mengumpulkannya lalu membuat basis data spam
    Ini ketahuan ketika alamat email unik milik seorang teman mulai dipakai untuk spam, dan pengelola forum kemudian menelusuri masalahnya lalu memperbaikinya
    Saya rasa kasus kali ini juga mungkin lebih berupa kesalahan serupa daripada tindakan jahat

  • Banyak orang menyebut ini sebagai “kebocoran data”, padahal sebenarnya ini adalah cara kerja default Apollo
    Jika pelanggan tidak secara eksplisit menolak pembagian data, informasi akan dibagikan secara otomatis
    Terlepas dari apakah ini etis atau legal, praktiknya memang berjalan seperti itu
    Lihat kebijakan pembagian data pelanggan Apollo

    • Untuk yang tidak mengikuti alur kerja penjualan dan pemasaran modern,
      1. pengguna mendaftar ke BrowserStack
      2. informasi itu otomatis diunggah ke Apollo, lalu
      3. Apollo memperkaya (enrich) data tersebut dengan informasi yang sudah dimilikinya, seperti pendapatan perusahaan atau profil LinkedIn
      4. tim penjualan BrowserStack memakai informasi ini untuk klasifikasi lead atau pemasaran
        Informasi tambahan ini lalu bisa dicari oleh semua pelanggan Apollo
        Misalnya, jika seseorang mencari “email pengambil keputusan di Example Inc.”, email saya bisa saja muncul
        Faktanya, hampir semua tim pemasaran bekerja seperti ini
        Kasus ini hanya terungkap kali ini karena OP memakai alamat email unik
        Ada juga tautan permintaan penghapusan data pribadi Apollo, tetapi ada banyak perusahaan yang menyediakan layanan seperti ini
    • Ironisnya, thread ini sendiri tampaknya akan memberi efek promosi yang bagus untuk Apollo
      Senin pagi kemungkinan permintaan masuk akan membludak
    • Perusahaan-perusahaan seperti ini juga sering memperoleh data lewat sistem kredit
      Staf penjualan membutuhkan kredit untuk memperkaya data, dan mereka bisa
      1. membelinya dengan uang tunai atau 2) memasang plugin email yang kemudian mengikis (scrape) kontak dari kotak masuk mereka
        ZoomInfo sangat agresif dalam hal ini, dan Apollo juga mirip
        Penjelasan pengumpulan data Apollo juga memuat hal seperti ini

  • Apollo.io diperkenalkan sebagai “platform penjualan AI”, tetapi pada dasarnya ini adalah sistem CRM
    Sangat mungkin ada seseorang di tim penjualan yang mengunggah seluruh daftar pelanggan
    Tampaknya kesadaran mereka soal perlindungan privasi memang kurang

    • Ini bukan soal “tidak tahu”, melainkan lebih seperti mengabaikannya secara sadar
    • Jika tim penjualan tidak bisa menangani data pelanggan dengan benar, itu akan merusak kepercayaan

  • Saya membuat dan memakai alamat email unik untuk tiap layanan,
    tetapi belakangan banyak layanan melakukan “de-aliasing” pada alamat seperti itu sehingga mengenalinya sebagai alamat asli
    Kalau bukan kotak surat terpisah berbasis domain yang benar-benar baru, efektivitasnya jadi berkurang

    • Karena itu saya memakai domain kustom dan membuat alamat seperti service@custom.com
      Jika spam datang ke alamat itu, saya bisa langsung tahu dari mana kebocorannya
    • Saya memakai Fastmail dan 1Password bersama untuk membuat “masked email” secara otomatis
      Saya membuat alamat acak untuk tiap situs dan mencatat di mana alamat itu dipakai
      Ini juga berguna untuk memfilter email phishing — misalnya, bank jelas tidak akan mengirim email ke alamat yang dipakai untuk uji coba makanan anjing
    • iCloud juga punya fitur serupa
      Dulu saya menjalankan server email catch-all dengan domain saya sendiri,
      tetapi akhirnya saya menyerah karena spamnya terlalu banyak
    • Saya memakai Firefox Relay untuk membuat email unik per situs, dan sejauh ini hasilnya bekerja sempurna
    • Saya sendiri hanya membedakannya dengan format “+@”, tetapi itu kadang membingungkan saat berbicara dengan dukungan pelanggan

  • Ada kemungkinan BrowserStack menjual data pengguna atau menyerahkannya ke pihak ketiga,
    atau mungkin saja basis datanya diretas

    • Secara pribadi, penjelasan bahwa mereka “menjualnya” terasa lebih sederhana dan realistis
    • Pada akhirnya, data pengguna sering dijadikan sarana untuk menghasilkan uang

  • BrightData juga baru-baru ini membocorkan data pelanggan dan memberi tahu pelanggan lewat email
    Bisa jadi kedua perusahaan sama-sama terkena kerentanan headless Chrome, atau mungkin ini hanya kebetulan
    Saya menjalankan proyek pelacakan sidik jari browser headless,
    dan saya melihat URL yang hanya diakses lewat BrightData kemudian juga diakses oleh Claudebot milik Anthropic
    Kemungkinan penyerangnya memakai Claude untuk menganalisis data

    • BrightData adalah perusahaan Israel yang dulu bernama Luminati,
      dan meski mengklaim menjual “IP residensial berkualitas tinggi”, pada praktiknya ini adalah jaringan proksi untuk web scraping

  • Saya mengalami hal yang sama dengan Compare The Market di Inggris
    Saya memakai dua alamat email unik, dan pada hari yang sama keduanya mulai menerima spam
    Saya melaporkannya, tetapi diabaikan dengan alasan tidak ada cara untuk membuktikannya

  • Jika melihat halaman GDPR Apollo,
    tertulis bahwa “persetujuan harus diberikan secara bebas, spesifik, dan tidak ambigu”
    Namun dalam praktiknya mereka mengklaim memproses data berdasarkan “kepentingan yang sah (Legitimate Interests)
    Masalahnya, pelanggan tidak benar-benar memverifikasi dasar tersebut
    BrowserStack membagikan data tanpa dasar hukum,
    dan Apollo kembali membagikan data yang dikirim pelanggan tanpa verifikasi
    Pada akhirnya, ada kemungkinan keduanya melanggar GDPR
    Lihat panduan GDPR Apollo

  • Terima kasih kepada OP yang telah mempublikasikan masalah ini
    Ini membantu meningkatkan transparansi perusahaan

  • Alamat email canary berguna untuk membedakan sumber kebocoran
    Jika hanya alamat untuk layanan tertentu yang menerima spam, kemungkinan itu karena data dibagikan ulang oleh broker data
    Jika beberapa alamat menerima spam secara bersamaan, kemungkinan besar ada kebocoran kredensial
    Dengan kata lain, cakupan spam itu sendiri menjadi petunjuk