BrowserStack bị cáo buộc rò rỉ email người dùng cho nền tảng dữ liệu Apollo
Một người dùng tình cờ phát hiện địa chỉ email duy nhất tạo riêng cho BrowserStack đã bị chia sẻ cho bên thứ ba là Apollo.io. Mặc dù Apollo thừa nhận dữ liệu đến từ BrowserStack, nhưng công ty kiểm thử web này vẫn giữ im lặng, làm dấy lên nghi ngờ về việc buôn bán dữ liệu người dùng.
Như nhiều người đam mê công nghệ khác, tôi luôn tạo một địa chỉ email duy nhất cho từng dịch vụ mà mình đăng ký. Thói quen này mang lại nhiều lợi ích: nó giúp tôi xác minh tin nhắn có thực sự đến từ dịch vụ đó hay không, ngăn chặn tin tặc sử dụng kỹ thuật "credential stuffing" (tự động thử tài khoản bị lộ) nếu dịch vụ bị hack, và quan trọng nhất là tôi biết ngay ai đã làm lộ địa chỉ email của mình.
Hình ảnh minh họa về cam kết không spam
Vấn đề phát sinh với BrowserStack
Vài tuần trước, tôi đăng ký tài khoản trên BrowserStack để tham gia chương trình mã nguồn mở của họ. Tôi có trao đổi một vài email với đội ngũ hỗ trợ và hoàn tất thiết lập tài khoản.
Chỉ vài ngày sau, tôi nhận được một email gửi đến đúng địa chỉ email duy nhất đó, nhưng người gửi lại không phải là BrowserStack. Sau một trao đổi ngắn, người gửi cho biết họ đã lấy thông tin của tôi từ Apollo.io.
Tất nhiên, tôi đã liên hệ ngay với Apollo để hỏi họ lấy thông tin của tôi từ đâu.
Lời giải thích mập mờ và sự thật
Ban đầu, Apollo trả lời:
"Địa chỉ email của bạn được phái sinh bằng thuật toán độc quyền của chúng tôi, tận dụng thông tin công khai kết hợp với cấu trúc email doanh nghiệp điển hình (ví dụ: [email protected])."
Thật tuyệt vời! Một "thuật toán độc quyền", nhỉ? Tôi tự hỏi họ cần bao nhiêu trí tuệ nhân tạo (AI) để suy ra quy tắc "firstname.lastname"?
Rõ ràng, câu trả lời này là vô lý. Không có cách nào một câu lệnh if-else ma thuật nào có thể đoán được chính xác địa chỉ email duy nhất mà tôi đã tạo để dùng cho BrowserStack. Tôi đã thẳng thắn vạch trần điều này và họ cuối cùng đã thừa nhận:
"Địa chỉ email của bạn đến từ BrowserStack (browserstack.com), một trong những khách hàng của chúng tôi tham gia vào mạng lưới đóng góp khách hàng bằng cách chia sẻ danh bạ kinh doanh của họ với nền tảng Apollo."
Ngày thu thập dữ liệu là 2026-02-25.
Sự im lặng đáng ngờ của BrowserStack
Ngay sau đó, tôi đã gửi email cho BrowserStack với nội dung đơn giản: "Chào các bạn, chuyện quái quỷ gì đang xảy ra thế này?"
Tôi rất thích dòng thông báo vui tươi của họ: "Không spam, chúng tôi hứa!"
Tuy nhiên, dù đã nhiều lần cố gắng liên hệ, BrowserStack chưa bao giờ phản hồi.
Xét rằng địa chỉ email này chỉ được sử dụng cho duy nhất một công ty, tôi nghĩ có một vài khả năng xảy ra:
- BrowserStack thường xuyên bán hoặc tặng dữ liệu người dùng cho bên thứ ba.
- Một dịch vụ bên thứ ba mà BrowserStack sử dụng đã âm thầm thu thập và chuyển thông tin ra ngoài.
- Một nhân viên hoặc nhà thầu tại BrowserStack đang rút ruột (exfiltrate) dữ liệu người dùng và chuyển đi nơi khác.
Kết luận
Còn có những lời giải thích đen tối hơn, nhưng tôi cho rằng khả năng đó thấp. Tôi nghi ngờ đây chỉ là sự bình thường hóa của việc buôn bán thông tin cá nhân một cách lỏng lẻo bởi các thực thể không có tôn trọng quyền riêng tư.
Nhưng hóa ra, chuyện còn tệ hơn thế. Bài đăng trên blog tiếp theo của tôi sẽ tiết lộ cách Apollo đã lấy được số điện thoại của tôi từ một công ty cực kỳ lớn khác.
Hẹn gặp lại.
Share this post on…
