# BrowserStack에서 사용자 이메일 주소가 유출되고 있음

> Clean Markdown view of GeekNews topic #28244. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=28244](https://news.hada.io/topic?id=28244)
- GeekNews Markdown: [https://news.hada.io/topic/28244.md](https://news.hada.io/topic/28244.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-04-06T09:56:05+09:00
- Updated: 2026-04-06T09:56:05+09:00
- Original source: [shkspr.mobi](https://shkspr.mobi/blog/2026/04/someone-at-browserstack-is-leaking-users-email-address/)
- Points: 2
- Comments: 1

## Topic Body

- 서비스별로 **고유 이메일 주소를 생성해 추적**한 결과, BrowserStack 전용 주소로 제3자 발신 메일이 도착함
- BrowserStack 오픈소스 프로그램 가입 후, **Apollo.io를 통해 발송된 외부 메일**이 해당 주소로 수신됨
- Apollo.io는 처음엔 **공개 정보 기반 알고리듬**으로 생성된 주소라 주장했으나, 이후 **BrowserStack이 데이터를 제공했다**고 수정 답변함
- BrowserStack에 여러 차례 문의했지만 **응답이 없었으며**, 내부 유출·제3자 서비스·직원 반출 등 세 가지 가능성이 제시됨
- 사건은 **기업의 개인정보 상업적 교환 관행과 책임 부재** 문제를 드러내는 사례로 지적됨

---

### BrowserStack 사용자 이메일 유출 의혹
- **서비스별 고유 이메일 주소 생성 방식**을 통해 유출 경로를 추적한 사례
  - 각 서비스 가입 시마다 별도의 이메일을 만들어 사용
  - 특정 주소로 스팸이나 외부 메일이 오면, 어느 서비스에서 유출됐는지 즉시 확인 가능
- ## BrowserStack 오픈소스 프로그램 가입 후**해당 전용 이메일로**Apollo.io를 통한 외부 발신 메일 수신
  - BrowserStack 지원팀과 몇 차례 이메일을 주고받은 뒤 계정 설정 완료
  - 이후 며칠 만에 BrowserStack과 무관한 제3자 발신 메일이 도착
  - 발신자는 자신의 데이터 출처가 **Apollo.io**라고 명시
  - **Apollo.io의 초기 해명은 “공개 정보 기반의 자체 알고리듬”** 이라는 주장
  - “firstname.lastname@companydomain.com” 형태의 일반적 이메일 구조를 사용했다고 설명
  - 그러나 해당 주소는 BrowserStack 전용으로, 공개 정보로는 유추 불가능한 형태
  - 지적 이후 Apollo는 **BrowserStack이 고객 기여 네트워크를 통해 데이터를 제공했다**고 수정 답변
  - 데이터 수집일은 **2026년 2월 25일**로 기록
- ## BrowserStack 측은 여러 차례 문의에도 응답하지 않음
  - “No spam, we promise!”라는 문구와 달리, 공식 답변이 전혀 없었음
  - 가능한 유출 경로로 세 가지 시나리오가 제시됨
    - BrowserStack이 사용자 데이터를 직접 판매 또는 제공
    - BrowserStack이 사용하는 **제3자 서비스에서의 정보 유출**
    - 내부 직원이나 계약자에 의한 외부 반출
- ## 개인정보 상업화 관행에 대한 문제 제기
  - 악의적 해킹보다 **기업 간 개인정보 교환의 일상화**가 더 큰 문제로 지적됨
  - 개인정보 보호에 대한 **기업의 무책임한 태도**가 드러난 사례로 평가됨
  - 이어지는 후속 글에서는 Apollo가 **대형 기업으로부터 전화번호를 확보한 사례**를 다룰 예정임

## Comments



### Comment 54726

- Author: neo
- Created: 2026-04-06T09:56:06+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47649117) 
- 예전에 **OSS 커뮤니티 포럼 소프트웨어**(아마 KDE나 Qt였던 것 같음)에서 사용자 이메일 주소가 HTML 태그 안에 실수로 포함된 적이 있었음  
  웹 크롤러들이 그걸 수집해 스팸 데이터베이스를 만든 게 문제였음  
  친구의 **고유 이메일 주소**가 스팸에 쓰이면서 발견되었고, 포럼 운영진이 문제를 추적해 수정했음  
  이번 사례도 악의적 행위보다는 비슷한 실수일 가능성이 있다고 생각함  

- 많은 사람들이 “데이터 유출”이라고 하지만, 사실 이건 **Apollo의 기본 작동 방식**임  
  고객이 명시적으로 데이터 공유를 거부하지 않으면 자동으로 정보가 공유됨  
  윤리적이거나 합법적인지는 별개로, 실제로는 이런 식으로 운영되고 있음  
  [Apollo 고객 데이터 공유 정책](https://knowledge.apollo.io/hc/en-us/articles/20727684184589) 참고
  - 현대 영업·마케팅 흐름을 모르는 사람들을 위해 설명하자면,  
    1) 사용자가 BrowserStack에 가입하면  
    2) 그 정보가 자동으로 Apollo로 업로드되고  
    3) Apollo는 이미 가진 데이터(회사 매출, LinkedIn 프로필 등)로 **정보를 보강(enrich)** 함  
    4) BrowserStack 영업팀은 이 정보를 활용해 리드 분류나 마케팅을 진행함  
    이렇게 추가된 정보는 Apollo의 모든 고객이 검색할 수 있게 됨  
    예를 들어 “Example Inc.의 의사결정자 이메일”을 검색하면 내 이메일이 포함될 수도 있음  
    사실 거의 모든 마케팅팀이 이런 식으로 일하고 있음  
    OP가 **고유 이메일 주소**를 썼기 때문에 이번에만 드러난 것뿐임  
    [Apollo 개인정보 삭제 요청 링크](https://www.apollo.io/privacy-policy/remove)도 있지만, 이런 서비스를 제공하는 회사는 많음
  - 아이러니하게도, 이 스레드 자체가 Apollo에 **좋은 홍보 효과**를 줄 것 같음  
    월요일 아침에 문의가 폭주할 듯함
  - 이런 회사들은 **크레딧 시스템**으로 데이터를 얻기도 함  
    영업 담당자가 데이터를 보강하려면 크레딧이 필요한데,  
    1) 현금으로 사거나 2) 이메일 플러그인을 설치해 받은 편지함의 연락처를 **스크래핑**함  
    ZoomInfo가 특히 공격적이고, Apollo도 비슷한 방식임  
    [Apollo의 데이터 수집 설명](https://knowledge.apollo.io/hc/en-us/articles/20727684184589)에도 이런 내용이 있음  

- Apollo.io가 “AI 세일즈 플랫폼”이라고 소개되어 있는데, 사실상 **CRM 시스템**임  
  아마 영업팀 누군가가 고객 리스트 전체를 업로드했을 가능성이 큼  
  개인정보 보호에 대한 인식이 부족했던 것 같음
  - “모르고 했다”기보단, 그냥 **의식적으로 무시한 것** 같음  
  - 고객 데이터를 제대로 다루지 못하는 영업팀이라면 **신뢰도에 타격**이 큼  

- 나는 서비스마다 **고유 이메일 주소**를 만들어 쓰는데,  
  요즘은 서비스들이 이런 주소를 “디앨리어싱(de-aliasing)”해서 원래 주소로 인식하는 경우가 많음  
  완전히 새로운 도메인 기반의 별도 메일함이 아니라면 효과가 줄어듦
  - 그래서 나는 **커스텀 도메인**을 써서 service@custom.com 같은 주소를 만듦  
    그 주소로 스팸이 오면 어디서 유출됐는지 바로 알 수 있음  
  - Fastmail과 1Password를 함께 써서 “**마스크드 이메일**”을 자동 생성함  
    사이트별로 무작위 주소를 만들고, 어디서 썼는지 기록해둠  
    피싱 메일 필터링에도 유용함 — 예를 들어 은행이 개 사료 체험용 주소로 메일을 보낼 리는 없으니까  
  - iCloud도 비슷한 기능이 있음  
    예전엔 내 도메인으로 **catch-all 메일 서버**를 운영했는데,  
    스팸이 너무 많아져서 결국 포기했음  
  - Firefox Relay를 써서 사이트마다 고유 이메일을 생성하는데, 지금까지는 **완벽히 작동**하고 있음  
  - 나는 단순히 “+@” 형식으로 구분해서 쓰는데, 고객 지원과 대화할 때는 가끔 헷갈림  

- BrowserStack이 사용자 데이터를 팔거나 제3자에게 넘겼을 가능성,  
  혹은 단순히 **DB가 해킹된 가능성**이 있음  
  - 개인적으로는 “팔았다”는 쪽이 더 단순하고 현실적인 설명 같음  
  - 결국 **사용자 데이터를 돈벌이 수단**으로 삼는 경우가 대부분임  

- BrightData도 최근 고객 데이터를 유출했는데, 고객에게 이메일로 통보했음  
  두 회사 모두 **headless Chrome 취약점**에 당했을 수도 있고, 단순한 우연일 수도 있음  
  나는 headless 브라우저 **지문 추적 프로젝트**를 운영 중인데,  
  BrightData로만 접근한 URL이 나중에 Anthropic의 Claudebot으로도 접근된 걸 봤음  
  아마 공격자가 Claude를 이용해 데이터를 분석한 것 같음
  - BrightData는 예전 이름이 **Luminati**였던 이스라엘 회사로,  
    “고품질 주거용 IP”를 판다고 하지만 사실상 **웹 스크래핑용 프록시 네트워크**임  

- 영국의 Compare The Market에서도 같은 일을 겪었음  
  두 개의 고유 이메일 주소를 썼는데, 같은 날 둘 다 스팸이 오기 시작했음  
  신고했지만, **증명할 방법이 없다는 이유로 무시당함**  

- Apollo의 **GDPR 페이지**를 보면,  
  “동의는 자유롭고 구체적이며 명확해야 한다”고 되어 있음  
  하지만 실제로는 “**정당한 이익(Legitimate Interests)**”을 근거로 데이터를 처리한다고 주장함  
  문제는 고객들이 그 근거를 제대로 검증하지 않는다는 점임  
  BrowserStack은 법적 근거 없이 데이터를 공유했고,  
  Apollo는 고객이 보낸 데이터를 검증 없이 다시 공유함  
  결국 두 회사 모두 **GDPR 위반 가능성**이 있음  
  [Apollo GDPR 안내](https://knowledge.apollo.io/hc/en-us/articles/4409141087757-) 참고  

- 이런 문제를 공개해준 OP에게 감사함  
  **기업의 투명성**을 높이는 데 도움이 됨  

- **캐너리 이메일 주소**는 유출 원인을 구분하는 데 유용함  
  특정 서비스용 주소만 스팸이 오면 **데이터 브로커 재공유**,  
  여러 주소가 동시에 오면 **크리덴셜 유출** 가능성이 높음  
  즉, 스팸의 **범위가 단서**가 됨