En BrowserStack se están filtrando direcciones de correo electrónico de usuarios

 (shkspr.mobi)
2 puntos por GN⁺ 24 일 전 | 1 comentarios | Compartir por WhatsApp
  • Tras crear direcciones de correo únicas para rastrear cada servicio, llegaron correos de terceros a una dirección exclusiva de BrowserStack
  • Después de registrarse en el programa open source de BrowserStack, llegaron a esa dirección correos externos enviados mediante Apollo.io
  • Al principio, Apollo.io afirmó que la dirección había sido generada por un algoritmo basado en información pública, pero luego corrigió su respuesta y dijo que BrowserStack proporcionó los datos
  • Aunque se consultó a BrowserStack varias veces, no hubo respuesta, y se plantean tres posibilidades: filtración interna, fuga desde un servicio de terceros o extracción por parte de empleados
  • El caso se señala como un ejemplo de las prácticas de intercambio comercial de datos personales entre empresas y la falta de responsabilidad

Sospecha de filtración de correos electrónicos de usuarios en BrowserStack

  • Un caso en el que se rastreó la vía de filtración creando direcciones de correo únicas para cada servicio
    • Al registrarse en cada servicio, se usaba un correo distinto
    • Si llegaba spam o correo externo a una dirección específica, era posible identificar de inmediato desde qué servicio se había filtrado

  • Después de inscribirse en el programa open source de BrowserStack, llegaron a esa dirección exclusiva correos externos enviados mediante Apollo.io

    • Tras intercambiar varios correos con el equipo de soporte de BrowserStack, se completó la configuración de la cuenta
    • Unos días después, llegó un correo de un tercero sin relación con BrowserStack
    • El remitente indicó explícitamente que la fuente de sus datos era Apollo.io
    • La explicación inicial de Apollo.io fue que se trataba de “un algoritmo propio basado en información pública”
    • Explicó que había utilizado una estructura de correo común como “firstname.lastname@companydomain.com”
    • Sin embargo, esa dirección era exclusiva para BrowserStack, por lo que no podía deducirse a partir de información pública
    • Después de que se le señalara esto, Apollo corrigió su respuesta y dijo que BrowserStack proporcionó los datos a través de su red de contribución de clientes
    • La fecha de recopilación de los datos figura como 25 de febrero de 2026

  • BrowserStack no respondió pese a varias consultas

    • A diferencia del lema “No spam, we promise!”, no hubo ninguna respuesta oficial
    • Se plantean tres escenarios posibles para la filtración
      • BrowserStack vendió o proporcionó directamente los datos de los usuarios
      • Fuga de información en un servicio de terceros utilizado por BrowserStack
      • Extracción externa por parte de un empleado interno o contratista

  • Cuestionamientos sobre la comercialización de datos personales

    • Se señala que, más que el hacking malicioso, el problema mayor es la normalización del intercambio de datos personales entre empresas
    • Se considera un caso que deja en evidencia la actitud irresponsable de las empresas respecto a la protección de datos personales
    • En una publicación posterior se abordará un caso en el que Apollo obtuvo números de teléfono de grandes empresas

Lecturas relacionadas

1 comentarios

 
GN⁺ 24 일 전
Comentarios en Hacker News

  • Hace tiempo, en un software de foro de comunidad OSS (creo que era KDE o Qt), las direcciones de correo de los usuarios quedaron incluidas por error dentro de etiquetas HTML
    El problema fue que los rastreadores web recopilaron eso y armaron bases de datos de spam
    Se descubrió porque la dirección de correo única de un amigo empezó a usarse para spam, y los administradores del foro rastrearon el problema y lo corrigieron
    Creo que en este caso también podría ser un error similar más que una acción maliciosa

  • Mucha gente lo llama “filtración de datos”, pero en realidad así es como Apollo funciona por defecto
    Si el cliente no rechaza explícitamente compartir los datos, la información se comparte automáticamente
    Más allá de si es ético o legal, en la práctica así operan
    Ver la política de compartición de datos de clientes de Apollo

    • Para quienes no conocen el flujo moderno de ventas y marketing,
      1. un usuario se registra en BrowserStack
      2. esa información se sube automáticamente a Apollo y
      3. Apollo enriquece la información con los datos que ya tiene (ingresos de la empresa, perfil de LinkedIn, etc.)
      4. el equipo de ventas de BrowserStack usa esa información para clasificar leads o hacer marketing
        Esa información añadida pasa a poder ser buscada por todos los clientes de Apollo
        Por ejemplo, si alguien busca “correo del responsable de decisiones en Example Inc.”, mi correo podría aparecer
        De hecho, casi todos los equipos de marketing trabajan así
        Esto solo salió a la luz ahora porque el OP usó una dirección de correo única
        También existe el enlace para solicitar la eliminación de datos personales en Apollo, pero hay muchas empresas que ofrecen este tipo de servicio
    • Irónicamente, este mismo hilo probablemente le dé a Apollo muy buena publicidad
      Parece que el lunes por la mañana van a recibir una avalancha de consultas
    • Estas empresas también obtienen datos con un sistema de créditos
      Los vendedores necesitan créditos para enriquecer datos, y pueden
      1. comprarlos con dinero o 2) instalar un plugin de correo para hacer scraping de los contactos del buzón
        ZoomInfo es especialmente agresiva, y Apollo funciona de forma parecida
        La explicación de recopilación de datos de Apollo también menciona esto

  • Apollo.io se presenta como una “plataforma de ventas con IA”, pero en la práctica es básicamente un sistema CRM
    Lo más probable es que alguien del equipo de ventas haya subido la lista completa de clientes
    Parece que faltó conciencia sobre la protección de datos personales

    • Más que “no sabían”, parece que simplemente lo ignoraron de forma consciente
    • Si es un equipo de ventas que no sabe manejar bien los datos de clientes, eso golpea mucho la confianza

  • Yo creo una dirección de correo única para cada servicio,
    pero hoy en día muchos servicios hacen “de-aliasing” de esas direcciones y reconocen la dirección original
    Si no es un buzón separado basado en un dominio completamente nuevo, pierde efectividad

    • Por eso yo uso un dominio personalizado y creo direcciones como service@custom.com
      Si llega spam a esa dirección, sé de inmediato dónde se filtró
    • Uso Fastmail junto con 1Password para generar automáticamente correos enmascarados
      Creo una dirección aleatoria por sitio y dejo registrado dónde la usé
      También sirve para filtrar phishing; por ejemplo, no tendría sentido que mi banco me escriba a la dirección que usé para una prueba de comida para perros
    • iCloud también tiene una función parecida
      Antes operaba un servidor de correo catch-all con mi dominio,
      pero al final lo dejé porque el spam se volvió demasiado
    • Uso Firefox Relay para generar un correo único por sitio y hasta ahora ha funcionado perfectamente
    • Yo simplemente uso el formato “+@” para distinguirlos, pero a veces confunde cuando hablo con soporte al cliente

  • Existe la posibilidad de que BrowserStack haya vendido los datos de usuarios o se los haya entregado a un tercero,
    o simplemente que la base de datos haya sido hackeada

    • Personalmente, me parece que la explicación de que “los vendieron” es la más simple y realista
    • Al final, muchas veces los datos de los usuarios terminan usándose para ganar dinero

  • BrightData también filtró datos de clientes recientemente, y les avisó por correo
    Ambas empresas podrían haber sido afectadas por una vulnerabilidad de headless Chrome, o podría ser simple coincidencia
    Yo manejo un proyecto de fingerprinting de navegadores headless,
    y vi que una URL a la que solo se accedió desde BrightData más tarde también fue accedida por Claudebot de Anthropic
    Probablemente el atacante usó Claude para analizar los datos

    • BrightData es una empresa israelí antes conocida como Luminati,
      y aunque dice vender “IP residenciales de alta calidad”, en realidad es básicamente una red de proxies para web scraping

  • En Compare The Market, en Reino Unido, pasó lo mismo
    Usé dos direcciones de correo únicas, y las dos empezaron a recibir spam el mismo día
    Lo reporté, pero lo ignoraron diciendo que no había forma de demostrarlo

  • Si miras la página de GDPR de Apollo,
    dice que “el consentimiento debe ser libre, específico e inequívoco”
    Pero en la práctica afirman que procesan los datos con base en intereses legítimos (Legitimate Interests)
    El problema es que los clientes no verifican bien esa base legal
    BrowserStack compartió datos sin base legal,
    y Apollo vuelve a compartir sin verificar los datos que le envían sus clientes
    Al final, ambas empresas podrían estar infringiendo el GDPR
    Ver la guía de GDPR de Apollo

  • Gracias al OP por hacer público este problema
    Esto ayuda a mejorar la transparencia empresarial

  • Las direcciones canary de correo son útiles para distinguir la causa de una filtración
    Si solo llega spam a la dirección usada para un servicio específico, probablemente hubo reventa por parte de un data broker;
    si llegan mensajes a varias direcciones al mismo tiempo, es más probable una filtración de credenciales
    Es decir, el alcance del spam da pistas