Bei BrowserStack werden E-Mail-Adressen von Nutzern weitergegeben

 (shkspr.mobi)
2 Punkte von GN⁺ 24 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Durch die Verfolgung mit für jeden Dienst eindeutigen E-Mail-Adressen trafen E-Mails von Drittanbietern an einer exklusiven BrowserStack-Adresse ein
  • Nach der Anmeldung für das BrowserStack-Open-Source-Programm gingen externe E-Mails, versendet über Apollo.io, an diese Adresse ein
  • Apollo.io behauptete zunächst, die Adresse sei durch einen auf öffentlichen Informationen basierenden Algorithmus erzeugt worden, korrigierte dies später jedoch zu BrowserStack habe die Daten bereitgestellt
  • Trotz mehrfacher Nachfragen an BrowserStack gab es keine Antwort; als Möglichkeiten werden ein internes Leck, ein Drittanbieterdienst oder die Weitergabe durch Mitarbeitende genannt
  • Der Vorfall wird als Beispiel dafür gewertet, wie personenbezogene Daten kommerziell zwischen Unternehmen ausgetauscht werden und Verantwortung fehlt

Verdacht auf Leck von Nutzer-E-Mail-Adressen bei BrowserStack

  • Ein Fall, bei dem der Leckpfad über für jeden Dienst eindeutige E-Mail-Adressen nachverfolgt wurde
    • Bei jeder Registrierung für einen Dienst wurde eine eigene E-Mail-Adresse verwendet
    • Wenn an eine bestimmte Adresse Spam oder externe E-Mails eingehen, lässt sich sofort erkennen, aus welchem Dienst die Daten geleakt wurden

  • Nach der Anmeldung für das BrowserStack-Open-Source-Programm gingen an diese exklusive E-Mail-Adresse externe E-Mails über Apollo.io ein

    • Nach einigen E-Mail-Wechseln mit dem BrowserStack-Support wurde die Kontoeinrichtung abgeschlossen
    • Schon wenige Tage später traf eine E-Mail eines Dritten ein, die nichts mit BrowserStack zu tun hatte
    • Der Absender gab ausdrücklich an, dass seine Datenquelle Apollo.io sei
    • Apollos erste Erklärung lautete, es handle sich um einen „eigenen Algorithmus auf Basis öffentlicher Informationen“
    • Es wurde erläutert, dass die übliche E-Mail-Struktur „firstname.lastname@companydomain.com“ verwendet worden sei
    • Diese Adresse war jedoch exklusiv für BrowserStack vorgesehen und aus öffentlichen Informationen nicht ableitbar
    • Nach dem Hinweis darauf änderte Apollo seine Antwort und erklärte, BrowserStack habe die Daten über ein Kundennetzwerk für Beiträge bereitgestellt
    • Als Datum der Datenerfassung ist der 25. Februar 2026 verzeichnet

  • BrowserStack reagierte auch auf mehrere Nachfragen nicht

    • Anders als der Satz „No spam, we promise!“ vermuten lässt, gab es überhaupt keine offizielle Antwort
    • Als mögliche Leckpfade werden drei Szenarien genannt
      • BrowserStack verkauft oder gibt Nutzerdaten direkt weiter
      • Ein Informationsleck bei einem von BrowserStack genutzten Drittanbieterdienst
      • Weitergabe nach außen durch interne Mitarbeitende oder Auftragnehmer

  • Kritik an der Kommerzialisierung personenbezogener Daten

    • Als größeres Problem als böswillige Hacks wird die alltägliche Praxis des Austauschs personenbezogener Daten zwischen Unternehmen bezeichnet
    • Der Vorfall gilt als Beispiel für die verantwortungslose Haltung von Unternehmen beim Schutz personenbezogener Daten
    • In einem folgenden Beitrag soll ein Fall behandelt werden, in dem Apollo Telefonnummern von großen Unternehmen erhalten hat

Verwandte Beiträge

1 Kommentare

 
GN⁺ 24 일 전
Hacker-News-Kommentare

  • Früher gab es bei einer OSS-Community-Forum-Software (ich glaube, es war KDE oder Qt) einmal einen Fall, bei dem Benutzer-E-Mail-Adressen versehentlich in HTML-Tags enthalten waren
    Webcrawler haben das eingesammelt und daraus Spam-Datenbanken aufgebaut
    Aufgefallen ist es, als die eindeutige E-Mail-Adresse eines Freundes für Spam verwendet wurde, woraufhin das Foren-Team das Problem nachverfolgt und behoben hat
    Ich denke, dass es sich auch in diesem Fall eher um einen ähnlichen Fehler als um böswilliges Verhalten handeln könnte

  • Viele sprechen von einem „Datenleck“, aber tatsächlich ist das die Standard-Funktionsweise von Apollo
    Wenn Kunden der Datenweitergabe nicht ausdrücklich widersprechen, werden Informationen automatisch geteilt
    Ob das ethisch oder rechtlich vertretbar ist, ist eine andere Frage, aber praktisch läuft es genau so
    Siehe Richtlinie zur Kundendatenfreigabe von Apollo

    • Für alle, die mit modernen Vertriebs- und Marketing-Abläufen nicht vertraut sind:
      1. Ein Nutzer registriert sich bei BrowserStack
      2. Diese Informationen werden automatisch zu Apollo hochgeladen und
      3. Apollo reichert sie mit bereits vorhandenen Daten an, etwa Unternehmensumsatz oder LinkedIn-Profilen
      4. Das Vertriebsteam von BrowserStack nutzt diese Informationen für Lead-Klassifizierung und Marketing
        Diese zusätzlich angereicherten Informationen werden dann für alle Apollo-Kunden durchsuchbar
        Wenn jemand zum Beispiel nach „E-Mail-Adressen von Entscheidungsträgern bei Example Inc.“ sucht, könnte auch meine E-Mail-Adresse darin auftauchen
        Tatsächlich arbeitet fast jedes Marketingteam auf diese Weise
        Dass es diesmal auffällt, liegt nur daran, dass der OP eine eindeutige E-Mail-Adresse verwendet hat
        Es gibt zwar auch einen Link zur Löschanfrage bei Apollo, aber es gibt viele Unternehmen, die solche Dienste anbieten
    • Ironischerweise dürfte dieser Thread Apollo selbst gute Publicity verschaffen
      Am Montagmorgen werden dort vermutlich massenhaft Anfragen eingehen
    • Solche Unternehmen beschaffen sich Daten teils über ein Creditsystem
      Vertriebsmitarbeiter brauchen Credits, um Daten anzureichern, und können sie entweder
      1. mit Geld kaufen oder 2) ein E-Mail-Plugin installieren, das Kontakte aus dem Posteingang scraped
        ZoomInfo ist dabei besonders aggressiv, und Apollo arbeitet auf ähnliche Weise
        Auch in Apollos Erklärung zur Datenerhebung wird so etwas beschrieben

  • Apollo.io wird als „AI-Sales-Plattform“ vorgestellt, ist aber im Grunde ein CRM-System
    Wahrscheinlich hat jemand aus dem Vertrieb die komplette Kundenliste hochgeladen
    Offensichtlich fehlte das Bewusstsein für Datenschutz

    • Eher nicht „aus Versehen“, sondern einfach bewusst ignoriert
    • Wenn ein Vertriebsteam nicht ordentlich mit Kundendaten umgeht, ist das ein erheblicher Vertrauensschaden

  • Ich verwende für jeden Dienst eindeutige E-Mail-Adressen,
    aber inzwischen erkennen viele Dienste solche Adressen durch De-Aliasing wieder als ursprüngliche Adresse
    Wenn es sich nicht um einen komplett separaten Posteingang auf Basis einer neuen Domain handelt, sinkt der Nutzen deutlich

    • Deshalb nutze ich eine Custom-Domain und lege Adressen wie service@custom.com an
      Wenn auf dieser Adresse Spam eingeht, weiß ich sofort, woher das Leck stammt
    • Ich nutze Fastmail zusammen mit 1Password, um automatisch Masked Emails zu erzeugen
      Für jede Website wird eine zufällige Adresse erstellt und gespeichert, wo sie verwendet wurde
      Das ist auch nützlich zum Filtern von Phishing-Mails — zum Beispiel würde meine Bank kaum an eine Adresse für Hundefutter-Proben schreiben
    • iCloud hat eine ähnliche Funktion
      Früher habe ich für meine Domain einen Catch-all-Mailserver betrieben,
      aber irgendwann wurde der Spam so viel, dass ich es aufgegeben habe
    • Ich nutze Firefox Relay, um für jede Website eine eindeutige E-Mail-Adresse zu erzeugen, und bisher funktioniert das perfekt
    • Ich selbst unterscheide nur per „+@“-Format, aber im Kontakt mit dem Kundensupport führt das manchmal zu Verwirrung

  • Es ist möglich, dass BrowserStack Nutzerdaten verkauft oder an Dritte weitergegeben hat,
    oder dass einfach die Datenbank kompromittiert wurde

    • Persönlich halte ich die Erklärung „verkauft“ für die einfachere und realistischere Variante
    • Am Ende werden Nutzerdaten oft zur Monetarisierung verwendet

  • BrightData hatte kürzlich ebenfalls ein Leck bei Kundendaten und hat die Kunden per E-Mail informiert
    Beide Unternehmen könnten von einer Headless-Chrome-Schwachstelle betroffen gewesen sein, oder es ist einfach nur ein Zufall
    Ich betreibe ein Projekt zur Fingerprint-Erfassung von Headless-Browsern und habe beobachtet, dass eine URL, auf die nur über BrightData zugegriffen wurde, später auch von Anthropics Claudebot aufgerufen wurde
    Vermutlich hat ein Angreifer Claude zur Analyse der Daten verwendet

    • BrightData ist ein israelisches Unternehmen, das früher Luminati hieß
      Es verkauft angeblich „hochwertige Residential IPs“, ist aber im Kern ein Proxy-Netzwerk für Web-Scraping

  • Beim britischen Compare The Market ist mir dasselbe passiert
    Ich hatte zwei eindeutige E-Mail-Adressen verwendet, und an demselben Tag begann auf beiden Spam einzugehen
    Ich habe es gemeldet, wurde aber mit der Begründung ignoriert, dass sich das nicht beweisen lasse

  • Wenn man sich Apollos GDPR-Seite ansieht,
    heißt es dort, dass „Einwilligung freiwillig, spezifisch und eindeutig“ sein müsse
    In der Praxis behauptet das Unternehmen jedoch, Daten auf Grundlage von Legitimate Interests zu verarbeiten
    Das Problem ist, dass Kunden diese Rechtsgrundlage oft nicht wirklich prüfen
    BrowserStack hat Daten ohne rechtliche Grundlage weitergegeben,
    und Apollo teilt von Kunden gelieferte Daten erneut, ohne sie zu verifizieren
    Damit könnten am Ende beide Unternehmen gegen die GDPR verstoßen
    Siehe Apollos GDPR-Hinweise

  • Danke an den OP dafür, das öffentlich gemacht zu haben
    Das hilft, die Transparenz von Unternehmen zu erhöhen

  • Canary-E-Mail-Adressen sind nützlich, um die Ursache eines Lecks einzugrenzen
    Wenn nur die Adresse für einen bestimmten Dienst Spam erhält, deutet das eher auf Weitergabe durch Datenbroker hin;
    wenn mehrere Adressen gleichzeitig betroffen sind, ist ein Credential-Leak wahrscheinlicher
    Mit anderen Worten: Der Umfang des Spams ist ein wichtiger Hinweis