BrowserStack में उपयोगकर्ताओं के ईमेल पते लीक हो रहे हैं

Hacker News की राय

• पहले OSS community forum software में (शायद KDE या Qt था) गलती से users के email addresses HTML tags के अंदर शामिल हो गए थे
  web crawlers ने उन्हें इकट्ठा करके spam database बना लिया था
  एक दोस्त का unique email address spam में इस्तेमाल होने से यह बात पकड़ में आई, और forum admins ने समस्या को ट्रेस करके ठीक किया
  मुझे लगता है कि इस बार भी malicious activity से ज़्यादा ऐसी ही कोई गलती होने की संभावना है

• बहुत लोग इसे “data leak” कह रहे हैं, लेकिन असल में यह Apollo के default working model का हिस्सा है
  अगर customer साफ़ तौर पर data sharing को opt out नहीं करता, तो जानकारी अपने-आप share हो जाती है
  यह ethical है या legal, वह अलग बात है, लेकिन व्यवहार में यह ऐसे ही चलता है
  Apollo customer data sharing policy देखें

  • जो लोग modern sales·marketing flow से परिचित नहीं हैं, उनके लिए,
    1. user BrowserStack पर sign up करता है
    2. वह जानकारी अपने-आप Apollo पर upload हो जाती है
    3. Apollo अपने पास पहले से मौजूद data (company revenue, LinkedIn profile आदि) से जानकारी को enrich करता है
    4. BrowserStack की sales team इस जानकारी का इस्तेमाल lead qualification या marketing के लिए करती है
       इस तरह जोड़ी गई जानकारी Apollo के सभी customers के लिए searchable हो जाती है
       उदाहरण के लिए, “Example Inc. के decision-maker emails” खोजने पर मेरा email भी आ सकता है
       सच कहें तो लगभग हर marketing team ऐसे ही काम करती है
       OP ने unique email address इस्तेमाल किया था, इसलिए इस बार यह सामने आ गया
       Apollo personal data removal request link भी है, लेकिन ऐसी service देने वाली companies बहुत हैं
  • विडंबना यह है कि यह thread खुद Apollo के लिए अच्छी publicity बन सकता है
    सोमवार सुबह inquiries की बाढ़ आ सकती है
  • ऐसी companies कभी-कभी credit system से भी data हासिल करती हैं
    sales reps को data enrich करने के लिए credits चाहिए होते हैं, और
    1. वे उन्हें cash से खरीदते हैं या 2) email plugin install करके inbox contacts को scrape करते हैं
       ZoomInfo इसमें खास तौर पर aggressive है, और Apollo भी कुछ ऐसा ही करता है
       Apollo की data collection explanation में भी इसका ज़िक्र है

• Apollo.io खुद को “AI sales platform” बताता है, लेकिन असल में यह CRM system है
  संभव है कि sales team में किसी ने पूरी customer list upload कर दी हो
  लगता है privacy protection को लेकर जागरूकता की कमी थी

  • “अनजाने में किया” से ज़्यादा, यह बस जानबूझकर नज़रअंदाज़ करने जैसा लगता है
  • अगर sales team customer data को ठीक से संभाल नहीं पाती, तो विश्वसनीयता पर बड़ा असर पड़ता है

• मैं हर service के लिए unique email address बनाकर इस्तेमाल करता हूँ,
  लेकिन आजकल कई services ऐसे addresses को “de-aliasing” करके original address पहचान लेती हैं
  अगर वह पूरी तरह नया domain-based अलग mailbox न हो, तो इसका असर कम हो जाता है

  • इसलिए मैं custom domain इस्तेमाल करके service@custom.com जैसे addresses बनाता हूँ
    उस address पर spam आते ही तुरंत पता चल जाता है कि leak कहाँ से हुआ
  • मैं Fastmail और 1Password साथ में इस्तेमाल करके “masked email” अपने-आप generate करता हूँ
    हर site के लिए random address बनाता हूँ और कहाँ इस्तेमाल किया, उसका रिकॉर्ड रखता हूँ
    phishing mail filtering में भी यह काम आता है — जैसे, bank कभी dog food trial वाले address पर mail नहीं भेजेगा
  • iCloud में भी ऐसा ही feature है
    पहले मैं अपने domain पर catch-all mail server चलाता था,
    लेकिन spam इतना बढ़ गया कि आखिरकार छोड़ना पड़ा
  • मैं Firefox Relay से हर site के लिए unique email बनाता हूँ, और अभी तक यह बिल्कुल सही काम कर रहा है
  • मैं तो बस “+@” format से अलग-अलग पहचानता हूँ, लेकिन customer support से बात करते समय कभी-कभी गड़बड़ हो जाती है

• संभव है BrowserStack ने user data बेचा हो या किसी third party को दिया हो,
  या फिर सिर्फ DB hack हुआ हो

  • व्यक्तिगत रूप से मुझे “बेचा गया” वाला पक्ष ज़्यादा सीधा और यथार्थवादी लगता है
  • आखिर में ज़्यादातर मामलों में user data को कमाई का साधन बना लिया जाता है

• BrightData ने भी हाल में customer data leak किया था, और customers को email से बताया था
  दोनों companies शायद headless Chrome vulnerability की शिकार हुई हों, या यह सिर्फ संयोग हो
  मैं headless browser fingerprinting project चलाता हूँ,
  और मैंने देखा कि जिस URL को सिर्फ BrightData के ज़रिए access किया गया था, उसे बाद में Anthropic के Claudebot ने भी access किया
  शायद attacker ने Claude का इस्तेमाल data analysis के लिए किया हो

  • BrightData एक Israeli company है, जिसका पुराना नाम Luminati था,
    वह “high-quality residential IP” बेचने का दावा करती है, लेकिन असल में यह web scraping proxy network है

• UK की Compare The Market में भी यही हुआ था
  मैंने दो अलग unique email addresses इस्तेमाल किए थे, और एक ही दिन दोनों पर spam आना शुरू हो गया
  शिकायत की, लेकिन यह कहकर नज़रअंदाज़ कर दिया गया कि इसे साबित नहीं किया जा सकता

• Apollo के GDPR page पर लिखा है,
  “consent स्वतंत्र, specific और unambiguous होना चाहिए”
  लेकिन व्यवहार में वह data processing के लिए “Legitimate Interests” को आधार बताता है
  समस्या यह है कि customers उस आधार को ठीक से verify नहीं करते
  BrowserStack ने बिना किसी legal basis के data share किया,
  और Apollo customers से मिले data को verify किए बिना आगे share करता है
  नतीजतन, दोनों companies के GDPR violation में शामिल होने की संभावना है
  Apollo GDPR guide देखें

• यह मुद्दा सामने लाने के लिए OP का धन्यवाद
  इससे corporate transparency बढ़ाने में मदद मिलती है

• canary email addresses leak के source को अलग करने में उपयोगी होते हैं
  अगर सिर्फ किसी एक service वाले address पर spam आए, तो data broker re-sharing की संभावना है,
  और अगर कई addresses पर एक साथ आए, तो credential leak की संभावना ज़्यादा होती है
  यानी spam का scope ही एक संकेत होता है