มีการรั่วไหลของที่อยู่อีเมลผู้ใช้จาก BrowserStack

 (shkspr.mobi)
2 คะแนน โดย GN⁺ 24 일 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • จากการ สร้างที่อยู่อีเมลเฉพาะสำหรับแต่ละบริการเพื่อติดตาม พบว่ามีอีเมลจากบุคคลที่สามส่งมายังที่อยู่อีเมลที่ใช้กับ BrowserStack โดยเฉพาะ
  • หลังสมัครเข้าร่วมโปรแกรมโอเพนซอร์สของ BrowserStack ก็ได้รับ อีเมลภายนอกที่ส่งผ่าน Apollo.io มายังที่อยู่นั้น
  • ในตอนแรก Apollo.io อ้างว่าเป็นที่อยู่อีเมลที่ สร้างขึ้นด้วยอัลกอริทึมจากข้อมูลสาธารณะ แต่ภายหลังแก้คำตอบว่า BrowserStack เป็นผู้ให้ข้อมูล
  • มีการติดต่อสอบถาม BrowserStack หลายครั้งแต่ ไม่ได้รับการตอบกลับ และมีการเสนอความเป็นไปได้ไว้ 3 ทาง ได้แก่ การรั่วไหลภายใน บริการของบุคคลที่สาม หรือการนำข้อมูลออกไปโดยพนักงาน
  • เหตุการณ์นี้ถูกชี้ว่าเป็นกรณีที่สะท้อนปัญหา แนวปฏิบัติการแลกเปลี่ยนข้อมูลส่วนบุคคลเชิงพาณิชย์ของบริษัทและการขาดความรับผิดชอบ

ข้อสงสัยเรื่องการรั่วไหลของอีเมลผู้ใช้ BrowserStack

  • กรณีศึกษาการติดตามเส้นทางการรั่วไหลด้วย วิธีสร้างที่อยู่อีเมลเฉพาะสำหรับแต่ละบริการ
    • ทุกครั้งที่สมัครใช้บริการจะสร้างอีเมลแยกต่างหากขึ้นมาใช้
    • หากมีสแปมหรืออีเมลภายนอกส่งมาที่อยู่นั้น ก็จะทราบได้ทันทีว่ารั่วไหลมาจากบริการใด

  • หลังสมัครเข้าร่วมโปรแกรมโอเพนซอร์สของ BrowserStack ก็ได้รับอีเมลภายนอกผ่าน Apollo.io มายังอีเมลเฉพาะนั้น

    • หลังจากโต้ตอบทางอีเมลกับทีมซัพพอร์ตของ BrowserStack หลายครั้ง ก็ได้ตั้งค่าบัญชีเสร็จเรียบร้อย
    • จากนั้นเพียงไม่กี่วัน ก็มีอีเมลจากบุคคลที่สามที่ไม่เกี่ยวข้องกับ BrowserStack ส่งเข้ามา
    • ผู้ส่งระบุชัดเจนว่าแหล่งที่มาของข้อมูลของตนคือ Apollo.io
    • คำชี้แจงแรกของ Apollo.io คือ “อัลกอริทึมภายในที่อิงจากข้อมูลสาธารณะ”
    • โดยอธิบายว่าใช้โครงสร้างอีเมลทั่วไปในรูปแบบ “firstname.lastname@companydomain.com”
    • แต่ที่อยู่นี้เป็นอีเมลเฉพาะสำหรับ BrowserStack จึงไม่ใช่รูปแบบที่สามารถอนุมานได้จากข้อมูลสาธารณะ
    • หลังถูกทักท้วง Apollo จึงแก้คำตอบว่า BrowserStack ได้ให้ข้อมูลผ่านเครือข่ายการมีส่วนร่วมของลูกค้า
    • วันที่เก็บข้อมูลถูกบันทึกไว้เป็น 25 กุมภาพันธ์ 2026

  • ฝั่ง BrowserStack ไม่ตอบกลับแม้จะมีการสอบถามหลายครั้ง

    • ตรงกันข้ามกับข้อความ “No spam, we promise!” กลับไม่มีคำตอบอย่างเป็นทางการใด ๆ เลย
    • มีการเสนอ 3 สมมติฐานเกี่ยวกับเส้นทางการรั่วไหลที่เป็นไปได้
      • BrowserStack ขายหรือให้ข้อมูลผู้ใช้โดยตรง
      • เกิด การรั่วไหลของข้อมูลจากบริการบุคคลที่สาม ที่ BrowserStack ใช้งาน
      • มีการนำข้อมูลออกไปภายนอกโดยพนักงานหรือผู้รับจ้าง

  • การตั้งคำถามต่อแนวปฏิบัติการทำข้อมูลส่วนบุคคลให้เป็นสินค้า

    • มีการชี้ว่าปัญหาใหญ่กว่าการแฮ็กโดยเจตนาร้าย คือ การแลกเปลี่ยนข้อมูลส่วนบุคคลระหว่างบริษัทที่กลายเป็นเรื่องปกติในชีวิตประจำวัน
    • ถูกมองว่าเป็นกรณีที่สะท้อน ท่าทีไร้ความรับผิดชอบของบริษัทต่อการคุ้มครองข้อมูลส่วนบุคคล
    • ในบทความติดตามผลถัดไปจะกล่าวถึงกรณีที่ Apollo ได้หมายเลขโทรศัพท์มาจากบริษัทขนาดใหญ่

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 24 일 전
ความเห็นจาก Hacker News

  • ก่อนหน้านี้เคยมีกรณีในซอฟต์แวร์ฟอรัมชุมชน OSS (น่าจะเป็น KDE หรือ Qt) ที่เผลอฝังอีเมลผู้ใช้ไว้ในแท็ก HTML
    ปัญหาคือเว็บครอว์เลอร์เก็บข้อมูลนั้นไปสร้างฐานข้อมูลสแปม
    มีการพบเรื่องนี้เพราะอีเมลเฉพาะตัวของเพื่อนถูกนำไปใช้กับสแปม แล้วทีมดูแลฟอรัมก็ไล่ตรวจจนแก้ปัญหาได้
    คิดว่ากรณีนี้ก็น่าจะเป็นความผิดพลาดลักษณะคล้ายกันมากกว่าจะเป็นการกระทำโดยเจตนาร้าย

  • หลายคนเรียกสิ่งนี้ว่า “ข้อมูลรั่วไหล” แต่จริง ๆ แล้วนี่คือวิธีทำงานปกติของ Apollo
    ถ้าลูกค้าไม่ได้ปฏิเสธการแชร์ข้อมูลอย่างชัดเจน ข้อมูลก็จะถูกแชร์โดยอัตโนมัติ
    เรื่องจะมีจริยธรรมหรือถูกกฎหมายไหมเป็นอีกประเด็นหนึ่ง แต่ในทางปฏิบัติเขาทำกันแบบนี้จริง ๆ
    ดู นโยบายการแชร์ข้อมูลลูกค้าของ Apollo

    • สำหรับคนที่ไม่คุ้นกับกระบวนการขาย/การตลาดสมัยใหม่
      1. ผู้ใช้สมัคร BrowserStack
      2. ข้อมูลนั้นถูกอัปโหลดไปยัง Apollo โดยอัตโนมัติ
      3. Apollo จะเพิ่มข้อมูลเสริม (enrich) โดยใช้ข้อมูลที่ตัวเองมีอยู่แล้ว (เช่น รายได้บริษัท, โปรไฟล์ LinkedIn)
      4. ทีมขายของ BrowserStack ใช้ข้อมูลนี้ในการคัดแยกลีดและทำการตลาด
        จากนั้นข้อมูลที่เพิ่มเข้ามาก็จะถูกค้นหาได้โดยลูกค้าทั้งหมดของ Apollo
        เช่น ถ้าค้นหา “อีเมลผู้มีอำนาจตัดสินใจของ Example Inc.” ก็อาจมีอีเมลของฉันรวมอยู่ด้วย
        จริง ๆ แล้วแทบทุกทีมการตลาดทำงานกันแบบนี้
        ที่เรื่องนี้ถูกเปิดโปงได้ก็เพราะ OP ใช้อีเมลเฉพาะตัว
        มี ลิงก์ขอลบข้อมูลส่วนตัวจาก Apollo ด้วย แต่ก็มีบริษัทอีกมากที่ให้บริการแบบนี้
    • น่าแปลกตรงที่เธรดนี้เองน่าจะกลายเป็นการประชาสัมพันธ์ชั้นดีให้ Apollo
      เช้าวันจันทร์น่าจะมีคำถามส่งเข้ามาถล่มทลาย
    • บริษัทพวกนี้ยังหาข้อมูลผ่านระบบเครดิตด้วย
      ถ้าพนักงานขายอยากเพิ่มข้อมูลเสริมก็ต้องใช้เครดิต
      โดย 1) ซื้อด้วยเงินสด หรือ 2) ติดตั้งปลั๊กอินอีเมลแล้วสแครปรายชื่อผู้ติดต่อจากกล่องจดหมาย
      ZoomInfo ขึ้นชื่อว่าใช้วิธีเชิงรุกมากเป็นพิเศษ และ Apollo ก็คล้ายกัน
      เรื่องนี้ก็มีอธิบายไว้ใน คำอธิบายการเก็บข้อมูลของ Apollo เช่นกัน

  • Apollo.io บอกตัวเองว่าเป็น “แพลตฟอร์มขาย AI” แต่จริง ๆ แล้วแทบจะเป็นระบบ CRM
    เป็นไปได้มากว่าคงมีใครสักคนในทีมขายอัปโหลดรายชื่อลูกค้าทั้งหมดขึ้นไป
    ดูเหมือนจะขาดความตระหนักเรื่องการคุ้มครองข้อมูลส่วนบุคคล

    • มากกว่าจะเป็น “ทำไปโดยไม่รู้” น่าจะเป็นแบบจงใจมองข้ามมากกว่า
    • ถ้าทีมขายจัดการข้อมูลลูกค้าไม่ดีพอ ก็ย่อมกระทบความน่าเชื่อถืออย่างมาก

  • ฉันสร้างอีเมลเฉพาะตัวแยกสำหรับแต่ละบริการที่ใช้
    แต่ช่วงนี้หลายบริการมักทำ “de-aliasing” กับที่อยู่อีเมลแบบนี้จนรู้กลับไปถึงอีเมลจริง
    ถ้าไม่ใช่กล่องเมลแยกบนโดเมนใหม่แบบสมบูรณ์ ประสิทธิภาพก็จะลดลง

    • เพราะแบบนั้นฉันเลยใช้โดเมนกำหนดเอง สร้างอีเมลอย่าง service@custom.com
      ถ้ามีสแปมส่งมาที่อยู่นั้นก็รู้ได้ทันทีว่าหลุดมาจากที่ไหน
    • ฉันใช้ Fastmail กับ 1Password ร่วมกันเพื่อสร้าง “masked email” อัตโนมัติ
      ทำที่อยู่สุ่มแยกตามแต่ละเว็บไซต์ และเก็บบันทึกไว้ว่าใช้ที่ไหน
      ยังมีประโยชน์กับการกรองอีเมลฟิชชิงด้วย — เช่น ธนาคารคงไม่ส่งเมลมาที่อีเมลที่ใช้สมัครทดลองอาหารสุนัข
    • iCloud ก็มีฟีเจอร์คล้ายกัน
      เมื่อก่อนฉันเคยรันcatch-all mail server บนโดเมนของตัวเอง
      แต่สุดท้ายต้องเลิกเพราะสแปมเยอะเกินไป
    • ฉันใช้ Firefox Relay สร้างอีเมลเฉพาะสำหรับแต่ละเว็บ และจนถึงตอนนี้มันทำงานได้สมบูรณ์แบบ
    • ฉันแค่แยกด้วยรูปแบบ “+@” แบบง่าย ๆ แต่เวลาคุยกับฝ่ายบริการลูกค้าบางทีก็ทำให้งงเหมือนกัน

  • มีความเป็นไปได้ว่า BrowserStack ขายข้อมูลผู้ใช้หรือส่งต่อให้บุคคลที่สาม
    หรือไม่ก็อาจเป็นแค่ฐานข้อมูลถูกแฮ็ก

    • ส่วนตัวฉันคิดว่าฝั่ง “ขายข้อมูล” เป็นคำอธิบายที่ง่ายและสมจริงกว่า
    • สุดท้ายแล้วหลายกรณีก็แค่เอาข้อมูลผู้ใช้ไปหารายได้

  • ช่วงหลัง BrightData ก็มีข้อมูลลูกค้ารั่วเช่นกัน และแจ้งลูกค้าทางอีเมล
    ทั้งสองบริษัทอาจโดนช่องโหว่ของ headless Chrome เหมือนกัน หรืออาจเป็นแค่เรื่องบังเอิญ
    ฉันกำลังทำโปรเจ็กต์ติดตามลายนิ้วมือเบราว์เซอร์แบบ headless อยู่
    และเคยเห็น URL ที่มีแต่ BrightData เท่านั้นที่เข้าถึง ต่อมาถูกเข้าถึงโดย Claudebot ของ Anthropic ด้วย
    ดูเหมือนว่าผู้โจมตีอาจใช้ Claude ในการวิเคราะห์ข้อมูล

    • BrightData เป็นบริษัทอิสราเอลที่เมื่อก่อนใช้ชื่อว่า Luminati
      อ้างว่าขาย “IP ที่อยู่อาศัยคุณภาพสูง” แต่จริง ๆ แล้วแทบจะเป็นเครือข่ายพร็อกซีสำหรับเว็บสแครป

  • Compare The Market ในสหราชอาณาจักรก็เคยเจอเรื่องเดียวกัน
    ฉันใช้อีเมลเฉพาะตัวสองอัน แล้วทั้งคู่ก็เริ่มได้รับสแปมในวันเดียวกัน
    พอไปรายงานก็ถูกเมินเพราะบอกว่าไม่มีทางพิสูจน์ได้

  • ถ้าดูหน้า GDPR ของ Apollo
    เขาระบุว่า “ความยินยอมต้องเป็นไปโดยเสรี เฉพาะเจาะจง และชัดเจน”
    แต่ในทางปฏิบัติกลับอ้างว่าใช้ “Legitimate Interests” เป็นฐานในการประมวลผลข้อมูล
    ปัญหาคือลูกค้าของพวกเขาไม่ได้ตรวจสอบฐานนั้นอย่างจริงจัง
    BrowserStack แชร์ข้อมูลโดยไม่มีฐานทางกฎหมาย
    ส่วน Apollo ก็แชร์ต่อข้อมูลที่ลูกค้าส่งมาอีกทอดโดยไม่ตรวจสอบ
    สุดท้ายแล้วทั้งสองบริษัทจึงอาจละเมิด GDPR
    ดู คำอธิบาย GDPR ของ Apollo

  • ขอบคุณ OP ที่เปิดเผยปัญหาแบบนี้ออกมา
    มันช่วยเพิ่มความโปร่งใสของบริษัทได้

  • อีเมลคานารีมีประโยชน์ในการแยกแยะสาเหตุของการรั่วไหล
    ถ้ามีสแปมมาที่อีเมลสำหรับบริการใดบริการหนึ่งเท่านั้น ก็มักสื่อถึงการนำข้อมูลไปแชร์ต่อโดย data broker
    แต่ถ้าหลายที่อยู่โดนพร้อมกัน ก็มีแนวโน้มว่าเป็นข้อมูลรับรองรั่วไหล
    กล่าวคือ ขอบเขตของสแปม เองก็คือเบาะแส