BrowserStack에서 사용자 이메일 주소가 유출되고 있음

 (shkspr.mobi)
1P by GN⁺ 4시간전 | ★ favorite | 댓글 1개
  • 서비스별로 고유 이메일 주소를 생성해 추적한 결과, BrowserStack 전용 주소로 제3자 발신 메일이 도착함
  • BrowserStack 오픈소스 프로그램 가입 후, Apollo.io를 통해 발송된 외부 메일이 해당 주소로 수신됨
  • Apollo.io는 처음엔 공개 정보 기반 알고리듬으로 생성된 주소라 주장했으나, 이후 BrowserStack이 데이터를 제공했다고 수정 답변함
  • BrowserStack에 여러 차례 문의했지만 응답이 없었으며, 내부 유출·제3자 서비스·직원 반출 등 세 가지 가능성이 제시됨
  • 사건은 기업의 개인정보 상업적 교환 관행과 책임 부재 문제를 드러내는 사례로 지적됨

BrowserStack 사용자 이메일 유출 의혹

  • 서비스별 고유 이메일 주소 생성 방식을 통해 유출 경로를 추적한 사례
    • 각 서비스 가입 시마다 별도의 이메일을 만들어 사용
    • 특정 주소로 스팸이나 외부 메일이 오면, 어느 서비스에서 유출됐는지 즉시 확인 가능

  • BrowserStack 오픈소스 프로그램 가입 후해당 전용 이메일로Apollo.io를 통한 외부 발신 메일 수신

    • BrowserStack 지원팀과 몇 차례 이메일을 주고받은 뒤 계정 설정 완료
    • 이후 며칠 만에 BrowserStack과 무관한 제3자 발신 메일이 도착
    • 발신자는 자신의 데이터 출처가 Apollo.io라고 명시
    • Apollo.io의 초기 해명은 “공개 정보 기반의 자체 알고리듬” 이라는 주장
    • “firstname.lastname@companydomain.com” 형태의 일반적 이메일 구조를 사용했다고 설명
    • 그러나 해당 주소는 BrowserStack 전용으로, 공개 정보로는 유추 불가능한 형태
    • 지적 이후 Apollo는 BrowserStack이 고객 기여 네트워크를 통해 데이터를 제공했다고 수정 답변
    • 데이터 수집일은 2026년 2월 25일로 기록

  • BrowserStack 측은 여러 차례 문의에도 응답하지 않음

    • “No spam, we promise!”라는 문구와 달리, 공식 답변이 전혀 없었음
    • 가능한 유출 경로로 세 가지 시나리오가 제시됨
      • BrowserStack이 사용자 데이터를 직접 판매 또는 제공
      • BrowserStack이 사용하는 제3자 서비스에서의 정보 유출
      • 내부 직원이나 계약자에 의한 외부 반출

  • 개인정보 상업화 관행에 대한 문제 제기

    • 악의적 해킹보다 기업 간 개인정보 교환의 일상화가 더 큰 문제로 지적됨
    • 개인정보 보호에 대한 기업의 무책임한 태도가 드러난 사례로 평가됨
    • 이어지는 후속 글에서는 Apollo가 대형 기업으로부터 전화번호를 확보한 사례를 다룰 예정임

함께 보면 좋은 글 β

GN⁺ 4시간전  [-]
Hacker News 의견들

  • 예전에 OSS 커뮤니티 포럼 소프트웨어(아마 KDE나 Qt였던 것 같음)에서 사용자 이메일 주소가 HTML 태그 안에 실수로 포함된 적이 있었음
    웹 크롤러들이 그걸 수집해 스팸 데이터베이스를 만든 게 문제였음
    친구의 고유 이메일 주소가 스팸에 쓰이면서 발견되었고, 포럼 운영진이 문제를 추적해 수정했음
    이번 사례도 악의적 행위보다는 비슷한 실수일 가능성이 있다고 생각함

  • 많은 사람들이 “데이터 유출”이라고 하지만, 사실 이건 Apollo의 기본 작동 방식
    고객이 명시적으로 데이터 공유를 거부하지 않으면 자동으로 정보가 공유됨
    윤리적이거나 합법적인지는 별개로, 실제로는 이런 식으로 운영되고 있음
    Apollo 고객 데이터 공유 정책 참고

    • 현대 영업·마케팅 흐름을 모르는 사람들을 위해 설명하자면,
      1. 사용자가 BrowserStack에 가입하면
      2. 그 정보가 자동으로 Apollo로 업로드되고
      3. Apollo는 이미 가진 데이터(회사 매출, LinkedIn 프로필 등)로 정보를 보강(enrich)
      4. BrowserStack 영업팀은 이 정보를 활용해 리드 분류나 마케팅을 진행함
        이렇게 추가된 정보는 Apollo의 모든 고객이 검색할 수 있게 됨
        예를 들어 “Example Inc.의 의사결정자 이메일”을 검색하면 내 이메일이 포함될 수도 있음
        사실 거의 모든 마케팅팀이 이런 식으로 일하고 있음
        OP가 고유 이메일 주소를 썼기 때문에 이번에만 드러난 것뿐임
        Apollo 개인정보 삭제 요청 링크도 있지만, 이런 서비스를 제공하는 회사는 많음
    • 아이러니하게도, 이 스레드 자체가 Apollo에 좋은 홍보 효과를 줄 것 같음
      월요일 아침에 문의가 폭주할 듯함
    • 이런 회사들은 크레딧 시스템으로 데이터를 얻기도 함
      영업 담당자가 데이터를 보강하려면 크레딧이 필요한데,
      1. 현금으로 사거나 2) 이메일 플러그인을 설치해 받은 편지함의 연락처를 스크래핑
        ZoomInfo가 특히 공격적이고, Apollo도 비슷한 방식임
        Apollo의 데이터 수집 설명에도 이런 내용이 있음

  • Apollo.io가 “AI 세일즈 플랫폼”이라고 소개되어 있는데, 사실상 CRM 시스템
    아마 영업팀 누군가가 고객 리스트 전체를 업로드했을 가능성이 큼
    개인정보 보호에 대한 인식이 부족했던 것 같음

    • “모르고 했다”기보단, 그냥 의식적으로 무시한 것 같음
    • 고객 데이터를 제대로 다루지 못하는 영업팀이라면 신뢰도에 타격이 큼

  • 나는 서비스마다 고유 이메일 주소를 만들어 쓰는데,
    요즘은 서비스들이 이런 주소를 “디앨리어싱(de-aliasing)”해서 원래 주소로 인식하는 경우가 많음
    완전히 새로운 도메인 기반의 별도 메일함이 아니라면 효과가 줄어듦

    • 그래서 나는 커스텀 도메인을 써서 service@custom.com 같은 주소를 만듦
      그 주소로 스팸이 오면 어디서 유출됐는지 바로 알 수 있음
    • Fastmail과 1Password를 함께 써서 “마스크드 이메일”을 자동 생성함
      사이트별로 무작위 주소를 만들고, 어디서 썼는지 기록해둠
      피싱 메일 필터링에도 유용함 — 예를 들어 은행이 개 사료 체험용 주소로 메일을 보낼 리는 없으니까
    • iCloud도 비슷한 기능이 있음
      예전엔 내 도메인으로 catch-all 메일 서버를 운영했는데,
      스팸이 너무 많아져서 결국 포기했음
    • Firefox Relay를 써서 사이트마다 고유 이메일을 생성하는데, 지금까지는 완벽히 작동하고 있음
    • 나는 단순히 “+@” 형식으로 구분해서 쓰는데, 고객 지원과 대화할 때는 가끔 헷갈림

  • BrowserStack이 사용자 데이터를 팔거나 제3자에게 넘겼을 가능성,
    혹은 단순히 DB가 해킹된 가능성이 있음

    • 개인적으로는 “팔았다”는 쪽이 더 단순하고 현실적인 설명 같음
    • 결국 사용자 데이터를 돈벌이 수단으로 삼는 경우가 대부분임

  • BrightData도 최근 고객 데이터를 유출했는데, 고객에게 이메일로 통보했음
    두 회사 모두 headless Chrome 취약점에 당했을 수도 있고, 단순한 우연일 수도 있음
    나는 headless 브라우저 지문 추적 프로젝트를 운영 중인데,
    BrightData로만 접근한 URL이 나중에 Anthropic의 Claudebot으로도 접근된 걸 봤음
    아마 공격자가 Claude를 이용해 데이터를 분석한 것 같음

    • BrightData는 예전 이름이 Luminati였던 이스라엘 회사로,
      “고품질 주거용 IP”를 판다고 하지만 사실상 웹 스크래핑용 프록시 네트워크

  • 영국의 Compare The Market에서도 같은 일을 겪었음
    두 개의 고유 이메일 주소를 썼는데, 같은 날 둘 다 스팸이 오기 시작했음
    신고했지만, 증명할 방법이 없다는 이유로 무시당함

  • Apollo의 GDPR 페이지를 보면,
    “동의는 자유롭고 구체적이며 명확해야 한다”고 되어 있음
    하지만 실제로는 “정당한 이익(Legitimate Interests)”을 근거로 데이터를 처리한다고 주장함
    문제는 고객들이 그 근거를 제대로 검증하지 않는다는 점임
    BrowserStack은 법적 근거 없이 데이터를 공유했고,
    Apollo는 고객이 보낸 데이터를 검증 없이 다시 공유함
    결국 두 회사 모두 GDPR 위반 가능성이 있음
    Apollo GDPR 안내 참고

  • 이런 문제를 공개해준 OP에게 감사함
    기업의 투명성을 높이는 데 도움이 됨

  • 캐너리 이메일 주소는 유출 원인을 구분하는 데 유용함
    특정 서비스용 주소만 스팸이 오면 데이터 브로커 재공유,
    여러 주소가 동시에 오면 크리덴셜 유출 가능성이 높음
    즉, 스팸의 범위가 단서가 됨

답변달기