Địa chỉ email người dùng đang bị rò rỉ từ BrowserStack

Ý kiến trên Hacker News

• Trước đây đã từng có trường hợp trong phần mềm diễn đàn cộng đồng OSS (hình như là KDE hoặc Qt) địa chỉ email người dùng bị vô tình chèn vào bên trong thẻ HTML
  Vấn đề là các web crawler đã thu thập chúng và tạo thành cơ sở dữ liệu spam
  Người ta phát hiện ra vì địa chỉ email riêng biệt của một người bạn bị dùng để gửi spam, và đội vận hành diễn đàn đã lần theo rồi sửa lỗi
  Tôi nghĩ trường hợp lần này cũng có thể là một sai sót tương tự hơn là hành vi ác ý

• Nhiều người gọi đây là “rò rỉ dữ liệu”, nhưng thật ra đây là cách Apollo vận hành mặc định
  Nếu khách hàng không chủ động từ chối chia sẻ dữ liệu, thông tin sẽ tự động được chia sẻ
  Chuyện đó có đạo đức hay hợp pháp hay không là vấn đề khác, nhưng thực tế là họ đang vận hành theo cách này
  Xem chính sách chia sẻ dữ liệu khách hàng của Apollo

  • Giải thích cho những ai không quen với quy trình bán hàng/marketing hiện đại,
    1. người dùng đăng ký BrowserStack
    2. thông tin đó tự động được tải lên Apollo và
    3. Apollo làm giàu dữ liệu (enrich) bằng dữ liệu sẵn có của họ (doanh thu công ty, hồ sơ LinkedIn, v.v.)
    4. đội sales của BrowserStack dùng thông tin này để phân loại lead hoặc làm marketing
       Những thông tin được bổ sung theo cách này sau đó sẽ trở thành dữ liệu mà mọi khách hàng của Apollo đều có thể tìm kiếm
       Ví dụ, nếu tìm “email người ra quyết định ở Example Inc.” thì email của tôi cũng có thể xuất hiện
       Thực ra gần như mọi đội marketing đều làm việc theo kiểu này
       Chỉ là lần này OP dùng địa chỉ email riêng biệt nên nó mới bị lộ ra
       Cũng có liên kết yêu cầu xóa dữ liệu cá nhân khỏi Apollo, nhưng có rất nhiều công ty cung cấp dịch vụ kiểu này
  • Trớ trêu là chính thread này có lẽ lại mang đến hiệu ứng quảng bá tốt cho Apollo
    Sáng thứ Hai chắc sẽ nhận được cả đống yêu cầu liên hệ
  • Những công ty kiểu này cũng lấy dữ liệu bằng hệ thống credit
    Nhân viên sales cần credit để làm giàu dữ liệu, và họ có thể
    1. mua bằng tiền mặt hoặc 2) cài plugin email để scrape danh bạ trong hộp thư đến
       ZoomInfo đặc biệt hung hăng, và Apollo cũng làm theo cách tương tự
       Trong mô tả về việc thu thập dữ liệu của Apollo cũng có nội dung như vậy

• Apollo.io được giới thiệu là “nền tảng sales AI”, nhưng về bản chất nó là một hệ thống CRM
  Rất có thể ai đó trong đội sales đã tải lên toàn bộ danh sách khách hàng
  Có vẻ họ thiếu nhận thức về bảo vệ dữ liệu cá nhân

  • Không hẳn là “không biết”, mà có vẻ đúng hơn là cố tình phớt lờ
  • Nếu một đội sales không thể xử lý dữ liệu khách hàng cho đúng cách thì độ tin cậy sẽ bị ảnh hưởng nặng

• Tôi tạo địa chỉ email riêng biệt cho từng dịch vụ,
  nhưng dạo này nhiều dịch vụ lại “de-aliasing” những địa chỉ đó để nhận ra địa chỉ gốc
  Nếu không phải là một hộp thư riêng trên một domain hoàn toàn mới thì hiệu quả sẽ giảm đi

  • Vì thế tôi dùng domain tùy chỉnh để tạo các địa chỉ như service@custom.com
    Nếu spam gửi đến địa chỉ đó thì tôi biết ngay nó bị lộ từ đâu
  • Tôi dùng Fastmail với 1Password để tự động tạo “email được che giấu”
    Nó tạo địa chỉ ngẫu nhiên cho từng trang và lưu lại đã dùng ở đâu
    Cũng hữu ích để lọc email phishing — ví dụ ngân hàng sẽ không đời nào gửi thư tới địa chỉ dùng để nhận mẫu thử thức ăn cho chó
  • iCloud cũng có tính năng tương tự
    Trước đây tôi từng vận hành một máy chủ email catch-all trên domain của mình,
    nhưng spam nhiều quá nên cuối cùng phải bỏ
  • Tôi dùng Firefox Relay để tạo email riêng cho từng trang, và đến giờ nó vẫn hoạt động hoàn hảo
  • Tôi chỉ đơn giản dùng kiểu “+@” để phân biệt, nhưng khi trao đổi với bộ phận hỗ trợ khách hàng thì đôi lúc hơi rối

• Có khả năng BrowserStack đã bán dữ liệu người dùng hoặc chuyển cho bên thứ ba,
  hoặc cũng có thể chỉ là CSDL bị hack

  • Cá nhân tôi thấy giả thuyết “đã bán” là lời giải thích đơn giản và thực tế hơn
  • Rốt cuộc thì phần lớn trường hợp đều coi dữ liệu người dùng là công cụ kiếm tiền

• BrightData gần đây cũng làm lộ dữ liệu khách hàng và đã thông báo cho khách hàng qua email
  Cả hai công ty đều có thể đã dính lỗ hổng headless Chrome, hoặc cũng có thể chỉ là trùng hợp
  Tôi đang vận hành một dự án theo dõi fingerprint của trình duyệt headless,
  và tôi từng thấy một URL chỉ được truy cập bởi BrightData sau đó lại bị Claudebot của Anthropic truy cập
  Có lẽ kẻ tấn công đã dùng Claude để phân tích dữ liệu

  • BrightData là công ty Israel trước đây có tên Luminati,
    họ nói là bán “IP dân cư chất lượng cao” nhưng thực chất là một mạng proxy phục vụ web scraping

• Compare The Market ở Anh cũng từng làm điều tương tự
  Tôi dùng hai địa chỉ email riêng biệt, và cả hai đều bắt đầu nhận spam trong cùng một ngày
  Tôi đã báo cáo nhưng bị phớt lờ với lý do không thể chứng minh

• Xem trang GDPR của Apollo thì thấy,
  họ viết rằng “sự đồng ý phải là tự do, cụ thể và rõ ràng”
  Nhưng trên thực tế, họ lại nói rằng việc xử lý dữ liệu dựa trên “Lợi ích hợp pháp (Legitimate Interests)”
  Vấn đề là khách hàng không thực sự kiểm chứng cơ sở đó
  BrowserStack đã chia sẻ dữ liệu mà không có căn cứ pháp lý,
  còn Apollo thì lại chia sẻ tiếp dữ liệu do khách hàng gửi lên mà không xác minh
  Kết quả là cả hai công ty đều có khả năng vi phạm GDPR
  Xem hướng dẫn GDPR của Apollo

• Cảm ơn OP đã công khai vấn đề này
  Nó giúp tăng tính minh bạch của doanh nghiệp

• Địa chỉ email canary rất hữu ích để phân biệt nguyên nhân rò rỉ
  Nếu chỉ địa chỉ dành cho một dịch vụ cụ thể nhận spam thì nhiều khả năng là bị broker dữ liệu chia sẻ lại,
  còn nếu nhiều địa chỉ cùng lúc nhận spam thì khả năng cao là rò rỉ thông tin xác thực
  Nói cách khác, phạm vi spam chính là đầu mối