BrowserStack'te kullanıcı e-posta adresleri sızdırılıyor

 (shkspr.mobi)
2 puan yazan GN⁺ 24 일 전 | 1 yorum | WhatsApp'ta paylaş
  • Hizmet bazında benzersiz e-posta adresleri oluşturup izleme yöntemiyle yapılan takipte, BrowserStack'e özel adrese üçüncü taraf kaynaklı e-postalar ulaştı
  • BrowserStack açık kaynak programına katıldıktan sonra, Apollo.io üzerinden gönderilen harici e-postalar bu adrese teslim edildi
  • Apollo.io önce adresin herkese açık bilgilere dayalı bir algoritmayla üretildiğini savundu, ancak daha sonra veriyi BrowserStack'in sağladığını söyleyerek yanıtını düzeltti
  • BrowserStack'e defalarca sorulmasına rağmen yanıt gelmedi; iç sızıntı, üçüncü taraf hizmet veya çalışan kaynaklı dışarı sızdırma olmak üzere üç olasılık öne sürüldü
  • Olayın, şirketler arasında kişisel verilerin ticari amaçla paylaşılması ve sorumluluk eksikliği sorununu ortaya koyan bir örnek olduğu belirtiliyor

BrowserStack kullanıcı e-posta sızıntısı şüphesi

  • Hizmete özel benzersiz e-posta adresi oluşturma yöntemiyle sızıntı yolunun izlenmesine dair bir örnek
    • Her hizmete kayıt olurken ayrı bir e-posta adresi oluşturup kullanma
    • Belirli bir adrese spam ya da harici e-posta gelirse, hangi hizmetten sızdığını anında doğrulama

  • BrowserStack açık kaynak programına katıldıktan sonra bu özel e-posta adresine Apollo.io üzerinden harici gönderici e-postaları gelmesi

    • BrowserStack destek ekibiyle birkaç kez e-posta yazışması yaptıktan sonra hesap ayarları tamamlandı
    • Ardından birkaç gün içinde BrowserStack ile ilgisiz bir üçüncü taraftan gönderilen e-posta ulaştı
    • Gönderen, verisinin kaynağının Apollo.io olduğunu açıkça belirtti
    • Apollo.io'nun ilk açıklaması, “herkese açık bilgilere dayalı kendi algoritması” olduğu yönündeydi
    • firstname.lastname@companydomain.com biçimindeki genel e-posta yapısını kullandığını söyledi
    • Ancak bu adres BrowserStack'e özeldi ve herkese açık bilgilerden çıkarılabilecek bir biçimde değildi
    • Bu noktaya dikkat çekilmesinin ardından Apollo, BrowserStack'in veriyi müşteri katkı ağı üzerinden sağladığını söyleyerek yanıtını düzeltti
    • Veri toplama tarihi 25 Şubat 2026 olarak kaydedildi

  • BrowserStack tarafı, defalarca sorulmasına rağmen yanıt vermedi

    • “No spam, we promise!” ifadesine rağmen hiçbir resmi yanıt gelmedi
    • Olası sızıntı yolu için üç senaryo öne sürüldü
      • BrowserStack'in kullanıcı verilerini doğrudan satması veya sağlaması
      • BrowserStack'in kullandığı üçüncü taraf hizmette bilgi sızıntısı yaşanması
      • İçerideki çalışan ya da yüklenici kaynaklı dışarı veri çıkarılması

  • Kişisel verilerin ticarileştirilmesi pratiğine yönelik eleştiri

    • Kötü niyetli hack'lerden çok, şirketler arasında kişisel veri alışverişinin sıradanlaşması daha büyük sorun olarak gösteriliyor
    • Olay, şirketlerin kişisel veri korumasına yönelik sorumsuz tutumunu ortaya koyan bir örnek olarak değerlendiriliyor
    • Devam yazısında Apollo'nun büyük şirketlerden telefon numarası elde ettiği vakalar ele alınacak

İlgili okumalar

1 yorum

 
GN⁺ 24 일 전
Hacker News yorumları

  • Geçmişte OSS topluluk forum yazılımında (sanırım KDE ya da Qt idi) kullanıcı e-posta adresleri yanlışlıkla HTML etiketlerinin içine dahil edilmişti
    Web crawler’ları bunu toplayıp spam veritabanları oluşturmuştu
    Bir arkadaşımın benzersiz e-posta adresi spam’de kullanıldığı için fark edilmişti ve forum yöneticileri sorunun izini sürüp düzeltmişti
    Bu olayın da kötü niyetli bir eylemden çok benzer bir hata olabileceğini düşünüyorum

  • Birçok kişi buna “veri sızıntısı” diyor ama aslında bu, Apollo’nun varsayılan çalışma biçimi
    Müşteri veri paylaşımını açıkça reddetmezse bilgiler otomatik olarak paylaşılıyor
    Bunun etik ya da yasal olup olmadığı ayrı mesele, ama pratikte sistem böyle işliyor
    Apollo müşteri veri paylaşım politikası

    • Modern satış/pazarlama akışını bilmeyenler için açıklayayım:
      1. Kullanıcı BrowserStack’e kaydoluyor
      2. Bu bilgi otomatik olarak Apollo’ya yükleniyor
      3. Apollo, elindeki mevcut verilerle (şirket geliri, LinkedIn profili vb.) bilgiyi zenginleştiriyor (enrich)
      4. BrowserStack satış ekibi bu bilgiyi lead sınıflandırması ve pazarlama için kullanıyor
        Eklenen bu bilgiler daha sonra Apollo’nun tüm müşterileri tarafından aranabilir hale geliyor
        Örneğin “Example Inc. karar verici e-postaları” diye aratıldığında benim e-postam da çıkabilir
        Aslında neredeyse tüm pazarlama ekipleri böyle çalışıyor
        OP’nin benzersiz e-posta adresi kullanmış olması, bunun bu kez görünür olmasını sağlamış
        Apollo kişisel veri kaldırma talep bağlantısı de var, ama bu tür hizmetleri veren çok sayıda şirket bulunuyor
    • İronik biçimde bu başlığın kendisi Apollo için iyi bir tanıtım etkisi yaratabilir
      Pazartesi sabahı talepler yağabilir
    • Bu şirketler bazen veriyi kredi sistemiyle topluyor
      Satış temsilcileri veriyi zenginleştirmek için krediye ihtiyaç duyuyor,
      1. bunu nakitle satın alıyorlar ya da 2) e-posta eklentisi kurup gelen kutularındaki kişileri scrape ediyorlar
        ZoomInfo bu konuda özellikle agresif, Apollo da benzer şekilde çalışıyor
        Apollo’nun veri toplama açıklaması içinde de bunlar yer alıyor

  • Apollo.io kendini “AI sales platform” olarak tanıtıyor ama özünde bir CRM sistemi
    Muhtemelen satış ekibinden biri tüm müşteri listesini yükledi
    Görünüşe göre gizlilik konusunda farkındalık eksikti

    • Bu, “bilmeden yaptılar”dan çok, bilinçli biçimde görmezden gelme gibi duruyor
    • Müşteri verisini düzgün yönetemeyen bir satış ekibi için bu, güvenilirliğe darbe olur

  • Ben her hizmet için benzersiz e-posta adresleri oluşturup kullanıyorum,
    ama artık birçok hizmet bu adresleri “de-aliasing” yapıp asıl adrese bağlayabiliyor
    Tamamen yeni alan adına dayalı ayrı bir posta kutusu değilse etkisi azalıyor

    • Bu yüzden özel alan adı kullanıp service@custom.com gibi adresler oluşturuyorum
      O adrese spam gelirse nereden sızdığını hemen anlayabiliyorum
    • Fastmail ve 1Password birlikte kullanarak otomatik masked email oluşturuyorum
      Site bazında rastgele adresler üretiyor ve nerede kullandığımı kaydediyorum
      Phishing e-postalarını filtrelemede de faydalı — örneğin bankamın köpek maması deneme adresime e-posta göndermesi beklenmez
    • iCloud’da da benzer bir özellik var
      Eskiden kendi alan adımda catch-all mail server çalıştırıyordum,
      ama spam o kadar arttı ki sonunda vazgeçtim
    • Firefox Relay ile her site için benzersiz e-posta oluşturuyorum ve şimdiye kadar kusursuz çalıştı
    • Ben sadece “+@” biçiminde ayırarak kullanıyorum, ama müşteri desteğiyle konuşurken bazen kafa karıştırabiliyor

  • BrowserStack’in kullanıcı verisini satmış ya da üçüncü taraflara aktarmış olma ihtimali var,
    ya da sadece veritabanının hacklenmiş olması da mümkün

    • Kişisel olarak “satmışlar” açıklaması bana daha basit ve gerçekçi geliyor
    • Sonuçta çoğu zaman kullanıcı verisi para kazanma aracı olarak görülüyor

  • BrightData da yakın zamanda müşteri verilerini sızdırdı ve müşterilere e-postayla haber verdi
    İki şirket de headless Chrome açığının kurbanı olmuş olabilir ya da bu sadece tesadüftür
    Ben bir headless tarayıcı fingerprinting projesi yürütüyorum,
    yalnızca BrightData üzerinden erişilen bir URL’nin daha sonra Anthropic’in Claudebot’u tarafından da ziyaret edildiğini gördüm
    Muhtemelen saldırgan Claude’u kullanarak veriyi analiz etti

    • BrightData, eski adıyla Luminati olan bir İsrail şirketi;
      “yüksek kaliteli residential IP” sattığını söylüyor ama pratikte bu bir web scraping proxy ağı

  • Birleşik Krallık’taki Compare The Market’te de aynı şeyi yaşadım
    İki farklı benzersiz e-posta adresi kullanmıştım ve ikisine de aynı gün spam gelmeye başladı
    Bildirdim ama kanıtlayamayacağım gerekçesiyle görmezden gelindi

  • Apollo’nun GDPR sayfasına bakarsanız,
    “rıza özgür, belirli ve açık olmalıdır” deniyor
    Ama pratikte veriyi “meşru menfaat (Legitimate Interests)” gerekçesiyle işlediklerini savunuyorlar
    Sorun, müşterilerin bu dayanağı gerçekten doğrulamaması
    BrowserStack veriyi yasal dayanak olmadan paylaşmış,
    Apollo ise müşteriden gelen veriyi doğrulamadan yeniden paylaşıyor
    Sonuç olarak her iki şirketin de GDPR ihlali yapmış olma ihtimali var
    Apollo GDPR açıklaması

  • Bunu kamuya açık hale getiren OP’ye teşekkürler
    Kurumsal şeffaflığın artmasına yardımcı oluyor

  • Canary e-posta adresleri, sızıntının kaynağını ayırt etmekte işe yarar
    Yalnızca belirli bir hizmete ait adrese spam gelirse bu, veri broker’ı tarafından yeniden paylaşım anlamına gelebilir;
    birden çok adrese aynı anda geliyorsa kimlik bilgisi sızıntısı olasılığı daha yüksektir
    Yani spam’in kapsamı başlı başına bir ipucu olur